В госорганизациях Казахстана выявили иностранных кибершпионов
Кибершпионов, работавших на иностранные государства выявили в казахстанских госорганизациях. Пресечением высокотехнологичных видов преступлений занималось АО "Государственная техническая служба" совместно с КНБ, передаёт BaigeNews.kz.
В стране нейтрализована деятельность хакерской группировки, осуществлявшей кибершпионаж путём негласного сбора документов из инфраструктур нескольких государственных органов и организаций.
"Кибергруппировка вела деятельность скрытно. Для закрепления позиций и кражи файлов запускаемые вредоносные программы маскировались под легитимные процессы операционной системы или установленное программное обеспечение, подписанное реальными разработчиками. Они не вызывали подозрений у обычных пользователей и даже у системных администраторов. Хакеры использовали бреши в защите, так называемые "0-day" уязвимости, а также ранее неизвестное для антивирусных лабораторий вредоносное программное обеспечение и техники APT. Средства защиты информации не детектировали данное вредоносное программное обеспечение, что позволяло хакерам беспрепятственно вести деятельность", - сообщили в КНБ РК.
По данным ведомства, злоумышленникам удалось скомпрометировать основные элементы информационно-коммуникационных инфраструктур госорганов и организаций, в том числе зафиксированы факты компрометации рабочих станций руководителей. Атакующих интересовали и технические данные самой инфраструктуры, они занимались сбором сетевых схем и учётных записей для дальнейшего продвижения.
"В результате изучения активности группировки, а также используемых методов и сбора иной информации, предположено, что в организациях орудовала хакерская группировка, действующая в интересах иностранного государства. Она состоит из высококлассных специалистов, имеющих серьёзную финансовую поддержку для реализации своих целей. Кибершпионы имели устойчивые каналы связи с инфраструктурами жертв, имелся и арсенал резервных. Они вели высокотехнологичный кибершпионаж, при котором госорганизации не подозревали о наличии постороннего в своей инфраструктуре. Все работало, как и прежде. Хакеров интересовала только "чувствительная" информация, они не крали всё подряд", - пояснили в КНБ.
Для реагирования на инцидент АО "ГТС" и КНБ совместно с госорганами проведена работа по изучению методов проникновения злоумышленников и подготовке соответствующей инфраструктуры. Действия потребовали значительных усилий, так как имелись серьёзные недочёты в организации защиты.
"Для качественной зачистки требовались кардинальные меры. По согласованию с первыми руководителями госорганов проведены масштабные мероприятия, удалось максимально локализовать присутствие хакерской деятельности в отечественных сетях. Для исключения функционирования резервных каналов сбора информации АО "ГТС" и КНБ проведён второй этап мероприятий, в ходе которого любые подозрительные активности воспринимались через призму нулевого доверия и тщательно проверялись, а также велась дальнейшая деятельность по зачистке, но уже более точечно", - рассказали подробности спецоперации.
Попытки возврата в инфраструктуру фиксировались ежедневно, группировка использовала разные методы атак: фишинговые письма, поиск уязвимостей, различные сетевые атаки. Накопленный опыт и слаженная работа с организациями-жертвами позволили не допустить повторной компрометации.
"Противостояние продолжается по сей день, специалисты ведут постоянный мониторинг событий информационной безопасности", - пояснили в КНБ и признали, что вопросам информационной безопасности не уделялось достаточного внимания, следствием чего стали многочисленные утечки конфиденциальной информации.