В сетях федеральных органов исполнительной власти (ФОИВ) РФ с 2017 года действовали хакерские группировки, сообщает RSpectr.com в среду со ссылкой на отчёт «Ростелеком-Солар».
В обнаружении и анализе нападения участвовал также Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Проникновение в сети ФОИВ началось в 2017 году, наибольшую активность хакеры развили в 2020-м. «Однажды ночью при обеспечении мер безопасности один из наших инженеров обнаружил попытки «прикосновения» к серверу заказчика. Следы хакеров исчезли в течение нескольких минут, но этого было достаточно для понимания происходящего. …Мы не можем сказать, что кто-то из ИБ-специалистов плохо работал. Условно говоря, безопасники готовились к боксёрскому поединку, а когда вышли на ринг, увидели танк. Настолько неожиданны угрозы нового типа», – комментирует вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов.
Выявленные атаки отличают несколько характерных особенностей. Во-первых, вредоносное ПО использовало для выгрузки данных облачные хранилища «Яндекса» и Mail.ru Group. Сетевую активность хакеры маскировали под работу утилит Yandex Disk и Disk-O. Подобное вредоносное ПО ранее нигде не встречалось, сообщает «Ростелеком-Солар». «Хакеры изучили особенности администрирования работы одного из российских антивирусов и использовали его компоненты для кражи информации в атакуемой сети, полагают в компании.
Пресс-конференция (длительность видеозаписи 1 час 6 минут), на которой сообщалось об инциденте, состоялась во вторник. На ней сообщалось, что до 80% атак на государственные информационные ресурсы РФ начинаются с почтового фишинга, и что фишинговые (и просто подозрительные) письма открывает каждый четвертый госслужащий.
