Кибератаки на критическую информационную инфраструктуру

Безопасность критической информационной инфраструктуры РФ

Основная статья: Безопасность критической информационной инфраструктуры РФ

2026

Хакеры взломали энергосистему Польши и навсегда уничтожили ключевое оборудование

Массированная хакерская атака на энергосистему Польши привела к уничтожению ключевого оборудования на объектах без возможности восстановления. Об этом говорится в отчете, который в конце января 2026 года обнародовала компания Dragos, специализирующаяся на вопросах кибербезопасности. Подробнее здесь

Серверы испанской энергетической компании Endesa взломаны

В январе 2026 года крупный испанский провайдер энергетических услуг Endesa сообщил о компрометации данных клиентов в результате кибератаки. Злоумышленник заявлял о хищении 1,05 ТБ данных, якобы принадлежащих более чем 20 млн клиентов. Однако в действительности общее количество клиентов Endesa в Испании составляет около 10 млн человек. Подробнее здесь

Хакеры взломали серверы крупнейшей авиакомпании Испании Iberia и украли 77 Гбайт данных, в том числе схемы повреждений самолетов

В январе 2026 года испанская авиакомпания Iberia заявила, что утечка корпоративных данных, о которой сообщила ИБ-компания Hudson Rock, связана с инцидентом, выявленным в ноябре 2025 года. Тогда в ходе атаки было похищено 77 Гбайт информации, включая техническую документацию по самолетам Airbus A320 и A321, файлы по техническому обслуживанию и схемы повреждений воздушных судов. Подробнее здесь.

2025

Компания:Европейское Космическое Агентство (ESA)

31 декабря 2025 года Европейское космическое агентство (ЕКА) подтвердило кибератаку на свои научные серверы. Хакерская группа заявила о хищении около 200 Гбайт данных, включая конфиденциальные документы и исходный код. Подробнее здесь.

Хакеры отключили систему оповещения о чрезвычайных ситуациях по всем США

25 ноября 2025 года компания Crisis24 подтвердила масштабную кибератаку на свою платформу OnSolve CodeRED, обеспечивающую работу систем экстренного оповещения по всей территории США. Инцидент парализовал систему уведомлений для государственных и местных органов власти, полицейских и пожарных департаментов. Подробнее здесь.

Инфраструктура компании, обслуживающей шесть морских терминалов в России, подверглась масштабной DDoS-атаке

Компания «Портовый Альянс» объявила в своем Telegram-канале 13 ноября, что ее цифровая инфраструктура подверглась масштабной DDoS-атаке с одновременной попыткой взлома из-за рубежа. Подробнее здесь

«Немедленно покиньте станцию»: Хакеры взломали транспортную ИТ-инфраструктуру Лос-Анджелеса и вывели угрозы на экранах метро

21 октября 2025 года в Лос-Анджелесе подверглась взлому система электронных табло, расположенных в районе 6-й улицы и Вермонт Авеню. Злоумышленники вывели на экраны тревожное сообщение: «СРОЧНОЕ ПРЕДУПРЕЖДЕНИЕ. НЕМЕДЛЕННО ПОКИНЬТЕ СТАНЦИЮ. РИСК САМОПОДРЫВА». Это спровоцировало панику среди прохожих и ожидавших транспорт пассажиров. Вскоре фотоснимки с места инцидента стали публиковаться в местных СМИ. Подробнее здесь.

Авиакомпанию «КрасАвиа» атаковали хакеры. Сайт не работает уже несколько дней

18 сентября 2025 года авиакомпания «КрасАвиа» сообщила о сбое в работе своих информационных систем. Из-за хакерского вторжения нарушено функционирвоание ряда сервисов, а сайт авиаперевозчика недоступен в течение нескольких дней. Подробнее здесь.

В Иране взломаны Linux-системы управления судами. Десятки танкеров простаивают

В конце августа 2025 года стало известно о том, что хакеры вывели из строя системы связи на борту десятков иранских нефтяных танкеров и грузовых судов. Это одна из крупнейших кибератак на морской сектор страны. Подробнее здесь

Хакеры атакуют промышленные предприятия США, используя поддельные договоры о неразглашении данных

Киберпреступники развернули масштабную кампанию социальной инженерии против американских промышленных предприятий, входящих в критически важные глобальные цепочки поставок. Злоумышленники применяют вредоносное программное обеспечение MixShell, которое функционирует исключительно в оперативной памяти зараженных устройств и позволяет хакерам действовать незаметно для систем безопасности. Об обнаружении новой схемы атак сообщили эксперты Check Point Research в августе 2025 года. Подробнее здесь.

Хакеры остановили работу ГЭС в Польше и рассказали, как они это сделали

В середине августа 2025 года стало известно о том, что хакерам удалось нарушить работу гидроэлектростанции в Польше. В результате вторжения пострадали системы управления объекта. Подробнее здесь.

Кибершпионская группировка PhantomCore атаковала объекты российской критически значимой инфраструктуры

С мая по июль 2025 года специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружили в российских организациях более 180 зараженных систем. Вредоносная активность исходила от киберпреступной группы PhantomCore и была направлена исключительно на российскую критически значимую инфраструктуру. Эксперты PT ESC TI идентифицировали жертв и уведомили их о киберугрозах до наступления недопустимых событий. Об этом PT сообщила 18 августа 2025 года. Подробнее здесь.

Российская сеть дата-центров Datahouse атакована хакерами. Поврежден главный магистральный маршрутизатор

Российская сеть дата-центров Datahouse подверглась скоординированной кибератаке, в результате которой была нарушена конфигурация главного магистрального маршрутизатора сети передачи данных. Атака также затронула оператора связи Citytelecom, обе компании входят в периметр группы компаний «Филанко». Инцидент произошел в ночь на 11 августа 2025 года около 01:00 по московскому времени. Подробнее здесь.

Хакеры заявили об уничтожении 7 тыс. серверов «Аэрофлота». Компьютеры не работают, компания не может заправить самолеты

28 июля 2025 года ИТ-инфраструктура «Аэрофлота» подверглась масштабной кибератаке. В результате хакерского вторжения нарушена работа компьютерных систем авиаперевозчика — десятки рейсов отменены. По данным Telegram-канала «Авиаторщина», у «Аэрофлота» не работают компьютеры, компания не может заправить самолеты.

Ответственность за взлом взяли на себя злоумышленники из группировки Silent Crow, действовавшие вместе с хакерами «Киберпартизаны BY». По заявлениям организаторов атаки, они находились внутри корпоративной сети «Аэрофлота» в течение года, «методично развивая доступ» и «углубляясь до самого ядра инфраструктуры». В результате, киберпреступники смогли «получить и выгрузить полный массив баз данных» истории перелетов, а также скомпрометировать все критические корпоративные системы, в том числе CREW, Sabre, SharePoint, Exchange, КАСУД, Sirax, CRM, ERP, 1C, DLP и др. Кроме того, хакеры утверждают, что они получили контроль над персональными компьютерами сотрудников, включая высшее руководство. Были скопированы данные с серверов, в частности, аудиозаписи телефонных разговоров.

Хакеры сообщили о разрушении 7 тысяч серверов «Аэрофлота». Из-за этого компьютеры вышли из строя, и компания испытывает трудности с заправкой самолетов

Уничтожено около 7000 серверов — физических и виртуальных. Объем полученной информации — 12 Тбайт баз данных, 8 Тбайт файлов с Windows Share, 2 Тбайт корпоративной почты. Все эти ресурсы теперь недоступны или уничтожены, восстановление будет требовать, возможно, десятки миллионов долларов, — заявляет Silent Crow.

На сайте «Аэрофлота» говорится, что в работе информационных систем авиакомпании произошел сбой. Пассажирам отмененных рейсов будут доступны возврат денежных средств или переоформление билетов после возобновления работы сервисов. По имеющимся данным, всем работникам до особого указания запретили пользоваться корпоративной почтой и рабочими компьютерами. По поручению Генпрокуратуры России Московская межрегиональная транспортная прокуратура взяла на контроль ситуацию в аэропорту Шереметьево, где задержаны свыше 80 и отменены около 60 рейсов.^[1]

Китайская APT-группировка атакует российских ИТ-подрядчиков с помощью кастомизированных вредоносных утилит

Центр кибербезопасности Solar при «Ростелекоме» в конце февраля 2025 года опубликовал результаты исследования вредоносных инструментов, которые группировка Space Pirates/Erudite Mogwai использует в атаках на российские ИТ-предприятия, предоставляющие услуги для госсектора. Подробнее здесь.

2024

На российские госорганы обрушились кибератаки с помощью вирусов, замаксированных под «Google Таблицы»

Хакерская группировка Cloud Atlas начала использовать облачные сервисы Google для проведения фишинговых атак на государственные учреждения России. Об этом стало известно 16 декабря 2024 года из данных компании Positive Technologies. Подробнее здесь.

АРТ-группировка Cloud Atlas атакует госсектор России и Белоруссии

В отдел реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies обратилась за помощью российская государственная организация, обнаружившая фишинговую рассылку. Расследование показало, что этот инцидент является частью кампании против госучреждений России и Белоруссии, за которой специалисты департамента исследования угроз PT ESC наблюдают с октября 2024 года. За кибератаками стоит APT-группировка с десятилетним стажем Cloud Atlas. Об этом Positive Technologies сообщили 12 декабря 2024 года. Подробнее здесь.

Китайские хакеры атакуют российский госсектор

В начале августа 2024 года стало известно о том, что китайские киберпреступные группировки атакуют десятки компьютерных систем, используемых в российских госструктурах и ИТ-организациях. Вредоносная кампания, получившая название EastWind, направлена прежде всего на кражу служебной информации.

Об обнаружении сложных целевых атак на российские структуры сообщает «Лаборатория Касперского». Анализ показал, что для первоначального заражения системы жертвы злоумышленники рассылают письма с архивами во вложении, внутри которых находятся вредоносные ярлыки, замаскированные под документы. При нажатии на ярлыки активируется установка троянской программы, взаимодействующей с киберпреступниками при помощи облачного хранилища Dropbox.

Китайские хакеры атакуют госсектор России

Одним из применяемых в рамках киберкампании инструментов является обновленная версия бэкдора CloudSorcerer. Злоумышленники усовершенствовали это ПО, добавив в него возможность использовать российскую социальную сеть «Живой Журнал» (LiveJournal) в качестве первоначального командного сервера. Благодаря этому обеспечивается дополнительная маскировка.

Помимо CloudSorcerer, на компьютеры внедряются вредоносные модули, используемые говорящими на китайском языке кибергруппами APT27 и APT31. Эти зловреды обладают обширной функциональностью: они позволяют злоумышленникам осуществлять кражу файлов, наблюдать за действиями на экране и записывать нажатия клавиш на зараженных устройствах.

В ходе обнаруженных атак применялось вредоносное ПО двух групп, которые при этом говорят на одном языке — китайском. Это является признаком того, что данные группы работают совместно, активно обмениваются знаниями и инструментами для атак. Как показывает практика, подобное взаимодействие позволяет продвинутым злоумышленникам работать более эффективно, — отмечает «Лаборатория Касперского».[2]

ФСТЭК обяжет госорганы, банки и предприятия ТЭК хранить информацию о кибератаках в течение 3 лет

В начале августа 2024 года стало известно о том, что Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК) разработала новые требования к защите информации в госорганах и организациях, относящихся к критической информационной инфраструктуре (КИИ). Речь идет о банках, предприятиях топливно-энергетического комплекса (ТЭК) и пр.

Как сообщает газета «Коммерсантъ», документ ФСТЭК предусматривает изменение требований в отношении безопасного хранения данных, не составляющих государственную тайну, в госорганах и на объектах КИИ. Таким организациям будет необходимо внедрить антивирусную защиту ИТ-систем, обеспечить предупреждение вторжений в инфраструктуру и контроль защиты информации в целом. Кроме того, информационные системы объектов КИИ должны обладать ресурсами, необходимыми для пропускания трафика, вдвое превышающего по объему обычные показатели.

ФСТЭК разработала новые требования к защите информации в госорганах и организациях, относящихся к критической информационной инфраструктуре

При возникновении киберугрозы участникам рассматриваемого рынка необходимо взаимодействовать с госсистемой обнаружения компьютерных атак, а также с провайдером хостинга или организацией, предоставляющей услуги связи. Под угрозами безопасности в документе подразумеваются кибератаки по модели DDoS.

Новые правила также предполагают, что организации должны будут в течение трех лет хранить информацию о киберинцидентах. Такие сведения должны включать дату и время начала и окончания атаки, тип угрозы, ее интенсивность (Гбит/с), перечень сетевых адресов, являющихся источником угроз, и меры защиты, которые были приняты.

Гендиректор хостинг-провайдера RUVDS Никита Цаплин полагает, что предложенные меры необходимы рынку, поскольку DDoS-атаки стали регулярным явлением. Однако реализация требований может привести к дополнительным расходам компаний из-за необходимости модернизации программно-аппаратных комплексов.^[3]

Хакеры атаковали госсектор и компании в России через взломанные системы для лифтов

8 июля 2024 года стало известно о масштабной кибератаке на государственный сектор и компании в России, осуществленной через взломанные системы управления лифтами. Хакерская группировка Lifting Zmiy из Восточной Европы использовала уязвимости в контроллерах SCADA-систем для проникновения в ИT-инфраструктуру различных организаций. Подробнее здесь.

Российские гос- и финансовые компании атакует новая кибергруппировка Lazy Koala

В начале апреля 2024 года в ИБ-компании Positive Technologies сообщили о выявлении новой хакерской группировки под названием Lazy Koala, которая атакует государственные и финансовые компании, а также медицинские и образовательные учреждения. Подробнее здесь.

«Кибердетективы» из Индии атаковали российскую нефтегазовую компанию

Компания «Перспективный мониторинг (АО ПМ)» в конце марта 2024 года опубликовала отчет под названием «Миллионеры из трущоб»^[4], в котором раскрыла подробности расследования одной спамерской атаки. Эксперты компании обнаружили, что их клиентам в начале 2024 года начали приходить письма с вредоносным вложением. Как сообщили эксперты «Перспективного мониторинга» атакой была затронута инфраструктура крупной российской нефтегазовой компании. В каждом из писем фигурировал домен cloudsecure[.]live, который, как оказалось в процессе расследования, связан с индийской кибергруппировкой CyberRoot.

В основном атаки этой группировки была направлены против физических лиц, – пояснила Анна Хромова, системный аналитик «Перспективного мониторинга». – Они пытались узнать о них какую-нибудь конфиденциальную информацию, чтобы в дальнейшем получить доступ к инфраструктуре самой компании.

В результате расследования было установлено, что сотрудники CyberRoot выдавали себя за журналистов, руководителей бизнеса и медийных личностей, чтобы войти в доверие своих жертв. При этом они изучали информацию из социальных сетей подписчиков, друзей и членов семей жертвы, чтобы создать вызывающие доверие фейковые учетные записи, с помощью которых и вытягивали нужную для атаки информацию.

В отчете «Перспективного мониторинга» сказано, что основным инструментом компании является фишинг, цель которого – воровство учетных данных руководителей компании-жертвы с помощью вредоносных программ. Финалом атаки является установленный на мобильные устройства руководства компании шпион, который позволяет тайно записывать события, происходящие на телефоне, и отсылать их на командный сервер разработчика. Собранные с помощью подобных инструментов данные используются в том числе и для проникновения инфраструктуру компании, которой он управляет.

Однако в процессе изучения инфраструктуры CyberRoot обнаружилось, что она является частью более общей международной инфраструктуры хакерских атак, которая связана с индийскими разработчиками шпионских программ Appin. Кроме названных компаний, в сферу влияния индийских разработчиков шпионского ПО также входят такие организации как Rebsec, BellTrex и DarkBasin.

Компания Appin стала популярной в ноябре 2023 года, когда SentinelOne совместно с Reuters опубликовали подробные обзоры^[5] деятельности компании и ее дочерних структур. По данным международных исследователей, Appin была основана в 2003 году и занималась разработкой шпионского ПО для частных детективов из США, Великобритании, Швейцарии и других стран. Инструменты компании под названием My Commando позволяли организовать взлом почты, настольных и мобильных устройств жертв для их дальнейшей разработки. Однако 22 декабря прошлого года оба отчета (технический SentinelOne и политический Reuters) были сняты с публикации по требованию адвокатов Appin.

Впрочем, первоначально информация о группе Appin была опубликована еще в 2011 году после взлома их инфраструктуры хакерской группировкой Tigers of Indian Cyber. Ее представители утверждали, что Appin использует студентов, которые обучаются у них на курсах, для создания фишинговых страниц.

После публичного раскрытия информации группировка заявила о прекращении своей деятельности в 2012 году. Однако на самом деле началось активное переименование компаний и создание различных дочерних структур в группе. Так, в 2012 году была создана Rebsec, а CyberRoot и BellTrox – в 2013 году. Впрочем, и сама компания Appin Software Security в 2014 году была переименована сначала в Approachinfinite Computer and Security Consultance Grp, а в 2015 – в Adaptive Control Security Global Corp. Компания Appin Technology Pvt в 2015 превратилась в Mobile Order Management private limited, а через год – в Sunkissed Organic Farms.

ФСТЭК назвала 6 главных причин успешных кибератак на предприятия и госорганы

В середине февраля 2024 года в Федеральной службе по техническому и экспортному контролю (ФСТЭК) перечислили четыре главных причины успешных хакерских атак на предприятия и госорганы:

• слабые пароли пользователей и администраторов;
• однофакторная идентификация;
• использование паролей, установленных по умолчанию;
• активные учетные записи уволенных сотрудников;
• использование для доступа к информационной инфраструктуре личных устройств работников;
• использование на рабочих местах личных мессенджеров и социальных сетей.

Результаты анализа компьютерных инцидентов, которые, к сожалению, у нас имели место быть за последние два года, позволили сформировать рейтинг основных недостатков, которые очень часто становятся предпосылками для успешной реализации компьютерных атак, - отметил начальник управления ФСТЭК Сергей Бондаренко, говоря о причинах, из-за которых чаще всего происходит взлом ИТ-систем компаний и государственных органов.

ФСТЭК перечислил четыре главных причины успешных хакерских атак на предприятия и госорганы

По словам Бондаренко, для создания надежной киберзащиты на предприятиях и в госорганах необходимо проводить инвентаризацию информационных ресурсов, устанавливать антивирусные программы, защищать периметр информационной инфраструктуры и контролировать почтовые вложения на предмет наличия вредоносного программного обеспечения.

В середине февраля 2024 года замглавы Минцифры РФ Александр Шойтов заявил, что атаки на критическую информационную инфраструктуру и госсистемы РФ, включая банки, усложнились. Часто хакеры, прикрываясь простыми DDoS-атаками, проводят еще несколько для дальнейшего негативного воздействия на ИТ-системы.

Мы даже не всегда и видим, - сказал Шойтов, выступая на одной из конференций, посвященной теме информационной безопасности.[6]

2023

Рост числа кибератак на объекты критической информационной инфраструктуры России на 16%

Число кибератак на объекты критической информационной инфраструктуры (КИИ) России за 2023 год выросло на 16% в сравнении с 2022-м. Об этом свидетельствуют данные Национального координационного центра по компьютерным инцидентам (НКЦКИ), о которых стало известно в мае 2024 года.

Как сообщает «Коммерсантъ» со ссылкой на материалы центра, примерно треть организаций-владельцев КИИ имеют в инфраструктуре уязвимые ресурсы. Самая частая причина — это использование зарубежного ПО без технической поддержки и обновлений.

Число кибератак на объекты критической информационной инфраструктуры (КИИ) России за 2023 год выросло на 16% в сравнении с 2022-м

Если проанализировать кейсы компрометации на закрытых сессиях с НКЦКИ, то выяснится, что только малая часть атак на КИИ связана со сложными целевыми компьютерными атаками на уровне возможности иностранных спецслужб, — говорит руководитель отдела кибербезопасности компании «Криптонит» Павел Боглай.

По его словам, наибольшее число нападений на объекты КИИ происходит при помощи DDoS-атак, использования вирусов-трояной, а также при эксплуатации человеческого фактора (одинаковые пароли, пересылка важных данных через сторонние мессенджеры и пр.).

Эксперты ИБ-компании «Солар» отмечают, что злоумышленники стали тщательнее готовиться к атакам, делая их более точечными и сложными. Также хакеры активно пользуются инструментами киберразведки и социальной инженерии при подготовке и развитии атаки, добавили в группе.

Согласно исследованию специалистов Angara Security, порядка 40% атак на ИТ-инфраструктуру ведомств и объекты КИИ связаны с вредоносным программным обеспечением, фишингом и DDoS-атаками на сетевое оборудование, сайты и серверы.

Руководитель отдела развития продуктов InfoWatch ARMA Демид Балашов подчеркнул, что важными условиями для обеспечения киберзащиты объекта КИИ является планирование максимально защищенной ИТ-инфраструктуру, создание архитектуры системы защиты, применение подхода Secure-by-Design для минимизации уязвимостей и уменьшение поверхности для атак.^[7]

ФСБ задержала гражданина РФ, вступившего в киберразведку Украины для атаки на российскую КИИ

Сотрудники ФСБ РФ задержали в городе Белово Кемеровской области гражданина России, который вел противоправную деятельность, направленную против безопасности Российской Федерации. Задержанному предъявлено обвинение в совершении преступления, предусмотренного ст. 275 УК России (государственная измена в форме оказания иной помощи иностранной организации), избрана мера пресечения в виде содержания под стражей. Информация об этом опубликована на официальном сайте ФСБ в сообщении от 31 октября 2023 г.

Установлено, что задержанный с помощью интернет-мессенджера вступил в украинское киберподразделение, действующее в интересах разведывательных служб Украины, в составе которого осуществлял компьютерные атаки с применением вредоносного программного обеспечения на информационные ресурсы России, которые привели к нарушению работоспособности объектов критической инфраструктуры страны.

По информации ФСБ, в адресах проживания и работы фигуранта уголовного дела, а также его связей проведены следственные действия и оперативно-разыскные мероприятия, в ходе которых изъяты средства вычислительной техники и связи, получены данные, подтверждающие его антироссийскую деятельность.^[8]

На российский госсектор обрушилась мощнейшая хакерская атака

Летом 2023 года на госсектор обрушилась мощнейшая хакерская атака. О ней 24 октября 2023 года рассказали в «Лаборатории Касперского».

По данным экспертов российской антивирусной компании, злоумышленники использовали фишинговые письма, чтобы красть данные организаций с помощью нового бэкдора. Он запускал вредоносный скрипт [NSIS].nsi, который с помощью нескольких модулей пытался украсть данные с зараженного устройства.

Фишинговые письма — один из популярных способов проникновения злоумышленников в инфраструктуру. Атакующие, как в данном случае, стремятся использовать правдоподобные легенды, легитимные документы и применять всё более сложные тактики для скрытия своей деятельности. Так, исполнение вредоносного кода с помощью .nsi скрипта усложняет анализ вредоносной активности, - отметил эксперт по кибербезопасности «Лаборатории Касперского» Тимофей Ежов.

Как пояснили в «Лаборатории Касперского», после запуска зловред проверяет доступ в интернет и пытается подключиться к легитимным веб-ресурсам — зарубежным СМИ. Затем он проверяет заражённое устройство на наличие ПО и инструментов, которые могли бы обнаружить его присутствие — например, песочниц или виртуальных сред. В случае наличия хотя бы одной, бэкдор прекращал свою активность. Когда все проверки были пройдены, зловред подключался к серверу атакующих и загружал модули, которые позволяли ему красть информацию из буфера обмена, делать снимки экрана, находить пользовательские документы в популярных расширениях (например, doc, .docx, .pdf, .xls, .xlsx). Все данные передавались на сервер управления.

В середине августа 2023 года была обнаружена вторая волна рассылок. Исследователи сообщили, что злоумышленники внесли некоторые изменения в свою систему, но цепочка заражения и скрипт-загрузчик остались неизменными. Неясно, пострадала ли какая-либо организация в результате этих двух волн рассылок.^[9]

Reuters: ИТ-системы российского разработчика ракет «НПО машиностроения» взломали хакеры из Северной Кореи

7 августа 2023 года стало известно о том, что хакеры из Северной Кореи взломали ИТ-системы российской компании «НПО Машиностроения». Это предприятие занимается разработкой, производством и модернизацией комплексов стратегического и тактического авиационного высокоточного оружия классов «воздух-поверхность», «воздух-воздух» и унифицированных систем морского вооружения, отечественной ракетно-космической техники и радиоэлектронного оборудования. Подробнее здесь.

Ростовский хакер приговорен к двум годам колонии за атаки на сайты банков, ТЭК и телеком-компании

4 июля 2023 года Железнодорожный районный суд Ростова-на-Дону приговорил россиянина Ивана Баяндина к двум годам колонии за хакерские атаки на критическую информационную инфраструктуру РФ (КИИ). Подробнее здесь.

Сайт и приложение РЖД три дня не работают из-за хакерской атаки

3 июля 2023 года в работе официального сайта и мобильного приложения РЖД начали происходить сбои. В компании подтвердили наличие проблем, сообщив, что компьютерная инфраструктура подверглась хакерской атаке. Подробнее здесь.

Российский оператор спутниковой связи «Дозор-Телепорт» атакован хакерами. В его работе наблюдаются сбои

В конце июня 2023 года российский оператор спутниковой связи «Дозор-Телепорт» атакован хакерами. В его работе наблюдаются сбои. Подробнее здесь.

Раскрыты подробности кибератак на предприятия российского ОПК через Microsoft Office

Эксперты компании Positive Technologies Денис Кувшинов и Максим Андреев при участии команд Incident response и Threat intelligence PT Expert Security Center подготовили подробный отчет с анализом троянской программы, названной ими MataDoor. Троянец был ранее замечен в отчетах Malwarebytes и `Лаборатории Касперского`, где он был назван MATAv5 и атрибутирован как часть деятельности хакерской группировки Lazarus. Эксперты же Positive Technologies получили исследуемый образец на одном из предприятий ОПК осенью 2022 года.

Предположительно начальный вектор проникновения вредоноса в инфраструктуру предприятия эксперты связывают с эксплуатацией уязвимости в компоненте Microsoft Internet Explorer под номером CVE-2021-40444. К сожалению, этот же компонент используется и в офисных приложениях Microsoft Office, что и позволяет сделать эксплойт, который запустит загрузку и исполнение на машине жертвы вредоносного кода. Для успешной атаки нужно, чтобы жертва загрузила документ в формате DOCX и открыла его на редактирование в Microsoft Office.

Письма, содержащие документы с эксплойтами для уязвимости CVE-2021-40444, рассылались по сведениям исследователей на российские предприятия оборонно-промышленного комплекса в августе-сентябре 2022 года. Часть из них по содержанию относилась к сфере деятельности атакованных предприятий, часть была составлена так, чтобы просто привлечь внимание адресата. Однако ранее – в сентябре 2021 года – компанией Malwarebytes были зафиксированы и исследованы аналогичные рассылки, но с другим эксплойтом.

Письма с эксплойтом уязвимости CVE-2021-40444 должны побуждать пользователя активировать режим редактирования документа, что является необходимым условием для его отработки. В этих письмах использовалось специфическое оформление текста, которое должно было побудить пользователя включить режим редактирования и сменить цвет шрифта на более контрастный. При включении режима редактирования происходит загрузка и выполнение вредоносного кода с контролируемого атакующими ресурса. Поэтому, если ваши сотрудники получали и просматривали письма с неконтрастным или другим неудобочитаемым оформлением, то стоит обследовать вашу инфраструктуру с помощью индикаторов компрометации, которые опубликовали в отчете исследователи.

Следует отметить, что MataDoor ориентирован на долговременное скрытое функционирование в скомпрометированной системе. Его файлы названы именами, похожими на легальное ПО, установленное на зараженных устройствах. К тому же ряд образцов имел действительную цифровую подпись. Также выявленные исполняемые файлы и библиотеки были обработаны протектором Themida для усложнения их анализа и обнаружения.

Сам же вредонос является модульным троянцем, который состоит из ядра (оркестратора) и модулей (плагинов), которые как раз и обеспечивают всю черную работу вредоноса в зависимости от того, на каком компьютере он установлен. MataDoor также предоставлял для своих модулей инфраструктуру передачи данных на контрольный сервер и асинхронного исполнения команд, загруженных с него. Таким образом, MataDoor может использоваться как для воровства ценной, секретной или персональной информации, так и для внедрения прослушивающих, следящих компонент и логических бомб. Ущерб, который был нанесен обнаруженным вредоносом и его собратьями, пока оценить достаточно сложно – в каждом отдельном случае нужно проводить тщательное расследование.

Центр кибербезопасности ФСБ фиксирует рост кибератак через ИТ-подрядчиков. Что рекомендуется делать

Кибератаки на информационные системы госорганов и субъектов критической информационной инфраструктуры (КИИ) через цепочку поставок, через ИТ-инфраструктуру подрядчиков в Национальном координационном центре по компьютерным инцидентам (НКЦКИ), подведомственном ФСБ, называют одной из ключевых тенденций в 2023 году.

Эксперт НКЦКИ Андрей Раевский, выступая на международной конференции по ИБ 6 июня, пояснил, что часто ИТ-подрядчик разрабатывает и сдаёт проект, но у него остаются права администратора для авторского надзора или дальнейшего сопровождения системы. И наблюдается тенденция проникновения в инфраструктуру госорганов и субъектов КИИ через административные права ИТ-подрядчика.

При этом на законодательном уровне требования в области ИБ к информационным системам таких подрядчиков сейчас отсутствуют. По словам эксперта, в НКЦКИ задумываются над тем, чтобы предусмотреть требования на законодательном уровне, в первую очередь, для ИТ-подрядчиков, выполняющих работы для госструктур и субъектов КИИ.

НКЦКИ со своей стороны рекомендует заказчикам в рамках технических заданий на ИТ-проекты прописывать требования к информационной безопасности ИТ-ресурсов подрядчиков. И некоторые серьёзные организации уже это делают, отмечает Андрей Раевский.

Помимо этого, НКЦКИ рекомендует ограничивать количество уделённых подключений к своим системам привилегированных пользователей из числа подрядчиков.

На рынке есть отечественные разработки в области средств привилегированного доступа. Их использование становится очень актуальным. В НКЦКИ считают, что стоит присмотреться к этим разработкам.

Также необходимо следить за появлением сведений об утечках и компьютерных инцидентах в подрядных организациях, и в случае таких утечек в отношении своих информационных ресурсов нужно запрашивать у разработчиков по реагированию и исследованию причин возникновения утечек.

Число кибератак на ИТ-инфраструктуру РЖД за 2 года выросло в 20 раз

Число кибератак на ИТ-инфраструктуру РЖД в январе-ноябре 2023 года превысило 600 тыс., что в 20 раз больше, чем в 2021 году. Такие цифры на круглом столе по безопасности объектов критической информационной инфраструктуры (КИИ) на транспорте, организованном комитетом Совета Федерации (СФ) по конституционному законодательству и госстроительству, привел директор департамента цифрового развития Минтранса Дмитрий Скачков. Подробнее здесь.

Количество кибератак через подрядчиков выросло в 2 раза. Национальный центр по компьютерным инцидентам – о главных трендах 2022 года

В Национальном координационном центре по компьютерным инцидентам (НКЦКИ) констатируют, что на обстановку в российском информационном пространстве в 2022 году существенное влияние оказывало проведение СВО на территории Украины. Против России была развёрнута «беспрецедентная по масштабам» киберкампания, основными целями которой является выведение из строя информационной инфраструктуры и несанкционированный доступ к ИТ-системам организаций и предприятий различных отраслей критической информационной инфраструктуры РФ. Замдиректора НКЦКИ Николай Мурашов на отраслевом мероприятии 7 февраля резюмировал ключевые тенденции в области киберугроз за 2022 год.

Количество компьютерных атак на объекты российской информационной инфраструктуры в 2022 году увеличилось в разы. При этом отмечается увеличение и скорости реализации угроз: с момента появления сведений об угрозах – например, публикации сведений об уязвимостях – до практической реализации иногда проходит всего несколько часов.

Повышается доступность хакерского инструментария: на специализированных ресурсах регулярно публикуются исходные коды программных средств проведения атак, а также подробные сведения о компьютерных инцидентах для их дальнейшего анализа.

Имеют место «политизированные недружественные действия» международного киберсообщества. Так, международное сообщество для реагирования на киберугрозы FIRST (Forum of Incident Response and Security Teams) прекратило работу с российскими центрами реагирования на компьютерные инциденты. Это решение подтверждает высказанную ранее НКЦКИ озабоченность о декларативном характере подхода некоторых стран к решению задачи по созданию мирной, стабильной и защищённой ИКТ-среды, считает Николай Мурашов.

В 2022 году увеличилось количество атак через цепочку поставщиков: это и интеграторы, и производители средств защиты, поставщики услуг и другие деловые партнёры. Количество атак через подрядчиков за год выросло в 2 раза, по имеющейся в распоряжении НКЦКИ информации. Получив доступ к инфраструктуре подрядчика, злоумышленники оказываются внутри целевой системы.

В 2022 году фиксировались массированные атаки на корневые DNS-сервера, отключение провайдеров от крупных магистральных каналов, встраивание вредоносного ПО в широко используемые элементы веб-страниц, а также появление вредоносного кода в обновлениях ПО – как свободно распространяемого, так и коммерческого.

Особенностью DDos-атак последних месяцев стало по-настоящему большое количество их участников. В кратчайшие сроки были сформированы Telegram-каналы, в которых проводилась агитация обычных людей, инструктаж участников, координация целеуказания, а также распространялись элементы проведения атак.

При этом большой объём DDoS-атак явился прикрытием для более серьёзных воздействий. Немало компьютерных атак было направлено на хищение информации из систем организаций и выведения из строя технологических процессов.

Одним из трендов стали атаки с использованием шифровальщиков для получения выкупа. В качестве целей злоумышленники выбирали платёжеспособные организации, в которых шифрование данных может нарушить функционирование основных бизнес-процессов. Поэтому они проявляли интерес к крупным компаниям, в том числе к промышленным предприятиям.

Большое внимание злоумышленники уделяют атакам, которые могут иметь значительный общественный резонанс, публикуется много утечек данных. В то же время, отмечают в НКЦКИ, в погоне за инфоповодом и общественным резонансом злоумышленники часто выдают сведения из ранее произошедших утечек за новые, делают компиляции из данных, полученных из публичных источников. Нередки случаи, когда взлом небольших организаций выдаётся за утечку из ключевых государственных систем или объектов критической информационной инфраструктуры. Тем самым поднимается якобы значимость произошедшего события, говорит Николай Мурашов.

Отдельно в НКЦКИ отмечают угрозы, связанные с возможным нарушением работы средств защиты информации. Прекращение их поддержки производителями, массовый отзыв сертификатов и другие ограничения могут оказывать негативное влияние на функционирование российского сегмента интернета.

Для повышения эффективности противодействия обострившимся угрозам ИБ необходима активизация и консолидация сил и технических средств субъектов критической информационной инфраструктуры, отметил Николай Мурашов.

В НКЦКИ также привели статистику по присоединениям к системе ГосСОПКА: к ней присоединились 1277 новых участников, а общее их количество теперь превышает 3,5 тыс.

2022

Количество кибератак на госсектор России выросло в несколько раз

В 2022 году число атак на российский государственный сектор увеличилось примерно вдвое-втрое относительно показателя годичной давности. Об этом «Ведомостям» рассказал аналитик данных центра мониторинга кибербезопасности IZ:SOC компании «Информзащита» Шамиль Чич (публикация вышла 16 января 2023 года). Подробнее здесь.

Российские хакеры XakNet заявили о взломе Минфина Украины

Хакерская группировка XakNet сообщила об операции по взлому министерства финансов Украины. Работа велась несколько месяцев, сообщили 22 ноября 2022 года российские хакеры в своем Telegram-канале. Подробнее здесь.

Москвич получил 6 лет колонии за хищение у банков 93 млн рублей в составе хакерской группировки

В октябре 2022 года москвич Артем Мазуренко был приговорен к шести годам колонии по обвинению по ч. 2 ст. 210 (участие в преступном сообществе) и ч. 4 ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации, совершенное организованной группой в особо крупном размере). Подробнее здесь.

Почти половина российских ведомств подверглись кибератакам

За 12-месячный период, конец которого пришелся на июнь 2022 года, с кибератаками столкнулись почти половина (46,6%) российских ведомств. Причем в 15% случаев нападения хакеров были неоднократными. Об этом сказано в обнародованном в середине сентября 2022 года исследовании Центра подготовки руководителей и команд цифровой трансформации РАНХиГС.

Согласно отчету, выдержки из которого приводят «Ведомости», 69,6% атак на госорганы было совершено при помощи вирусов и программ-вымогателей, которые в основном проникают через корпоративную почту либо вредоносные сайты. 51,1% опрошенных назвали DoS- и DDoS-атаки, 46,7% — фишинговые атаки, 38% — атаки на корпоративную сеть и взлом паролей, 30,4% — утечку данных и несанкционированный доступ.

Основными мишенями правонарушителей в 73,9% случаев были сайты и веб-приложения ведомств. Такой процент объясняется тем, что в настоящее время большинство сотрудников и клиентов взаимодействуют через цифровые сервисы.

Не подвергались кибератакам только 31,9% госорганизаций. В каждой пятой организации затруднились ответить на этот вопрос.

В опросе приняли участие 302 госслужащих разного уровня из 75 регионов и всех федеральных округов. Это были респонденты с разным должностным статусом – от руководителей цифровой трансформации и руководителей высшего звена до рядовых сотрудников. В центре уточнили, что участники опроса были сегментированы по уровню ИТ-компетенций и ряд вопросов был задан только профильным специалистам (92 человека).

По оценке технического директора АО «Синклит» Луки Сафонова, процент атак на российский госсектор гораздо выше.

Я думаю, около 90% российских ведомств и структур за последнее время были атакованы — как школьниками, настроенными против России, так и зарубежными хакерами, — сказал Сафонов в середине сентября 2022 года. Он добавил, что около около 10% атак могли быть успешными.[10]

Китайские хакеры атаковали российские оборонные предприятия

Китайскоязычная кибергруппа атакует оборонные предприятия и госорганы в России, странах Восточной Европы и Афганистане. Об этом 8 августа 2022 года сообщила «Лаборатория Касперского».

Всего в ходе расследования специалисты выявили атаки на более чем дюжину организаций. Предположительно, целью злоумышленников был кибершпионаж. Эксперты предполагают, что выявленная серия атак, возможно, связана с деятельностью китайскоязычной кибергруппы TA 428. В ней применялись новые модификации известных ранее бэкдоров.

Атакующим удалось в ряде случаев полностью захватить ИТ-инфраструктуру. Для этого они использовали хорошо подготовленные фишинговые письма. В них содержалась внутренняя информация, не доступная в публичных источниках на момент её использования злоумышленниками, в том числе Ф. И. О. сотрудников, работающих с конфиденциальной информацией, и внутренние кодовые наименования проектов. К фишинговым письмам были прикреплены документы Microsoft Word с вредоносным кодом, эксплуатирующим уязвимость CVE-2017-11882 . Она позволяет вредоносной программе без дополнительных действий со стороны пользователя получить управление заражённой системой, от пользователя даже не требуется включать выполнение макросов.

В качестве основного инструмента развития атаки злоумышленники использовали утилиту Ladon с возможностями для сканирования сети, поиска и эксплуатации уязвимостей, кражи паролей. На финальном этапе они захватывали контроллер домена и далее получали полный контроль над интересующими злоумышленников рабочими станциями и серверами организации. Получив необходимые права, злоумышленники приступали к поиску и загрузке файлов, содержащих конфиденциальные данные, на свои серверы, развёрнутые в разных странах. Эти же серверы использовались для управления вредоносным ПО.

Целевой фишинг остаётся одной из наиболее актуальных угроз для промышленных предприятий и государственных учреждений. Серия атак, которую мы обнаружили, — не первая, по всей видимости, во вредоносной кампании. Поскольку злоумышленники достигают успеха, мы предполагаем, что такие атаки могут повториться и в будущем. Предприятиям и государственным организациям необходимо быть начеку и проводить соответствующую работу по подготовке к отражению сложных целенаправленных угроз, — сказал Вячеслав Копейцев, старший эксперт Kaspersky ICS CERT.

Русскоязычные хакеры из Killnet парализовали работу нескольких госструктур Литвы

Хакеры из группы Killnet, предупреждавшие власти Литвы о готовящихся масштабных кибератаках из-за блокирования железнодорожного транзита товаров по территории страны в Калининградскую область, сдержали своё обещание и атаковали литовские государственные структуры. Об этом стало известно 27 июня 2022 года. Подробнее здесь.

Кибергруппировка APT31 атакует российский топливно-энергетический комплекс и СМИ

В апреле 2022 года специалисты PT Expert Security Center компании Positive Technologies в ходе ежедневного мониторинга угроз выявили атаку на ряд российских организаций (СМИ и энергетические компании) с использованием вредоносного документа. Об этом представители Positive Technologies сообщили TAdviser 4 августа 2022 года. Подробнее здесь.

Администрация президента: 90% инфраструктуры госсектора России подверглось кибератакам

С момента начала российской спецоперации на Украине (24 июня 2022 года) около 90% инфраструктуры государственного сектора РФ столкнулись с кибератаками в той или иной степени. Об этом 16 июня 2022 года заявила начальник управления Администрации президента РФ по развитию информационно-коммуникационных технологий и инфраструктуры связи Татьяна Матвеева. Подробнее здесь.

Сайт Минстроя России взломали. Хакеры шантажируют раскрытием данных сотрудников

5 июня 2022 года был взломан сайт Министерства строительства и жилищно-коммунального хозяйства России. В результате хакерской атаке на главной странице ресурса ведомства появилось сообщение, что он взломан командой DumpForums.com. Подробнее здесь.

Обнаружена кибергруппировка, атакующая госсектор, электроэнергетику и авиационно-космическую отрасль в России

17 мая 2022 года компания Positive Technologies сообщила, что ее экспертный центр безопасности (PT Expert Security Center, PT ESC) обнаружил очередную киберпреступную группировку. В России злоумышленники атаковали по меньшей мере пять организаций, в Грузии - одну, а точное число пострадавших в Монголии пока неизвестно. Среди целей атакующих, идентифицированных специалистами Positive Technologies, - госучреждения и предприятия из авиационно-космической и электроэнергетической отраслей. Подробнее здесь.

Китай инициировал цикл хакерских атак на российские органы власти

4 мая 2022 года стало известно о том, что Китай пошел против России и инициировал цикл хакерских атак на российские органы власти, сообщают аналитики команды Google Threat Analysis Group (TAG). Согласно их отчету, активнее других российские компьютерные сети атакует группировка Curious Gorge.

Входящие в состав этой группировки хакеры раз за разом атакуют правительственные, военные, логистические и производственные организации на территории России. Отчет Google TAG был опубликован 3 мая 2022 г., и в нем отдельно указано, что в последний раз китайские хакеры из Curious Gorge проявляли себя в конце апреля 2022 г., напав на сети нескольких российских оборонных подрядчиков и производителей, а также на Министерство иностранных дел России и на российскую логистическую компанию. Ее название в отчете не приводится.

Что именно побуждает хакеров атаковать российские объекты, на момент публикации материала оставалось неизвестным. Целями группировки Curious Gorge также являются различные компании на Украине и Центральной Азии.

По данным Google TAG, за Curious Gorge могут стоять китайские власти. Ей приписывают прочные связи с Силами стратегического обеспечения Народно-освободительной армии Китай (ССО НОАК). Это отдельный вид вооруженных сил в составе НОАК, и в зону деятельности ССО как раз входит киберсфера.

Китайскую угрозу российским сетям на начало мая 2022 года представляет не только одна лишь Curious Gorge. В конце апреля 2022 г. Россию своей целью выбрала группировка Bronze President.

В отчетах различных компаний, специализирующихся на кибербезопасности, эта группа проходит под несколькими названиями, включая Mustang Panda, TA416 и RedDelta. Первые упоминания о ее деятельности появились в 2018 г., и чаще всего следы ее преступлений находили в странах Азии.

По данным ИБ-компании Secureworks, Bronze President либо «спонсируется, либо, по крайней мере, терпимо относится к китайскому правительству» и «похоже, меняет свои цели в ответ на политическую ситуацию в Европе и происходящее на Украине». Еще несколько недель назад хакеры работали в Юго-Восточной Азии, но теперь отдают предпочтение России и некоторым странам Европы.

Это говорит о том, что злоумышленники получили обновленные задачи, которые отражают меняющиеся требования к сбору разведывательных данных Китайской народной республики, – говорят исследователи.

Эксперты Secureworks предполагают, что попадание России в поле зрения Bronze President может указывать на «попытку Китая внедрить современное вредоносное ПО в компьютерные системы российских чиновников». Они обнаружили и проанализировали распространяемый группировкой вредоносный исполняемый файл «Благовещенск – Благовещенский пограничный отряд.exe» (Blagoveshchensk – Blagoveshchensk Border Detachment.exe), который был замаскирован под PDF-файл и зашифрован. Внутри него скрывался загрузчик вредоносного ПО PlugX.

Благовещенск – это город, который находится недалеко от границы с Китаем. В нем располагаются части российской армии.

При запуске файл выводит на экран документ-приманку, написанный почему-то на английском языке, в котором описывается ситуация с беженцами и санкции ЕС. А пока запустивший файл пользователь читает документ, на его компьютере в фоновом режиме идет загрузка вредоноса PlugX с командно-контрольного сервера. PlugX – это троян удаленного доступа, используемый для кражи файлов, выполнения удаленных команд, установке бэкдоров и развертыванию дополнительных вредоносных программ. Это один из инструментов Bronze President – хакеры также пользуются вредоносами Cobalt Strike, China Chopper, RCSession и ORat.

Китай – одна из стран мира, официально не присоединившихся к антироссийским санкциям, введенным из-за спецоперации на Украине. В то же время КНР не встает на сторону России и демонстрирует нейтралитет в данном вопросе. Атаки хакеров из Bronze President и Curious Gorge на российские сети – это очередное крупное подтверждение того, что у Китая может быть свой интерес в противостоянии России и всего остального мира^[11].

Российских хакеров заподозрили в кибератаках на немецкие компании по возобновляемой энергетике

Три немецкие компании по возобновляемой энергетике подверглись взлому из-за отказа страны от российской нефти. Об этом стало известно 27 апреля 2022 года. Подробнее здесь.

Positive Technologies: госорганы хуже всех защищены от кибератак

В России государственные органы хуже всех защищены от хакерских атак, считают в компании Positive Technologies, специализирующейся на технологиях информационной безопасности. Соответствующее заявление эксперты сделали в середине апреля 2022 года.

Федеральные министерства и ведомства показывают наименьшую степень готовности к кибератакам. Чиновники вынуждены сейчас жить в парадигме прошлого времени - сообщил директор по развитию бизнеса Positive Technologies в России Максим Филиппов.

По его словам, закупочные процедуры определены 44-ФЗ, 223-ФЗ. Для того чтобы приобрести какое-то средство защиты, которое к апрелю 2022 года стало как никогда актуальным, либо допустить на свои объекты экспертов для проведения ретроспективного расследования или перенастройки средств защиты, им необходимо пройти большое число тяжелых процедур. Они не успевают реагировать, а динамика и типы атак меняются поминутно. Если оперативно не обнаруживать и реагировать, то защищать будет нечего, считает Филиппов.

Также он указал на то, что государственные структуры и компании с госучастием выступают противниками информационного обмена с экспертами о прошедших кибератаках.

Госорганы боятся опубличивания этих инцидентов даже в кругу экспертных компаний. Это мне лично совсем не понятно. В нынешних условиях коллаборация с экспертами, которые сосредоточены на обеспечении безопасности инфраструктуры в киберпространстве, им нужна как воздух - добавил он.

Директор по развитию бизнеса Positive Technologies привел данные, согласно которым активность по кибератакам на компании и госорганы в РФ с конца февраля по середину апреля 2022 года выросла в 100 раз, при этом больше всего готовыми к кибератакам оказались банки, а менее всего - федеральные ведомства и компании с государственным участием.^[12]

Ведомственный сайт МЧС подвергся хакерской атаке

20 апреля 2022 года стало известно о том, что неизвестные взломали сайт «МЧС Медиа», которое является ведомственным СМИ МЧС России. Об этом появилась запись на одноименной странице в сети «ВКонтакте». Подробнее здесь.

Хакеры взломали сайт МЧС России и главков министерства в регионах

16 марта 2022 года стало известно о взломе официально сайта Министерства по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий (МЧС России). В результате кибератаки неизвестных хакеров стал недоступен интернет-ресурс не только федерального ведомства, но и всех его региональных главков. Подробнее здесь.

МИД РФ подтвердило кибератаку на сотрудников министерства

18 января 2022 года стало известно о кибератаках на сотрудников российского Министерства иностранных дел. По данным американских ИБ-компаний Cluster25 (входит в DuskRis) и Black Lotus Labs (входит в Lumen Technologies), за этими нападениями предположительно стоит северокорейская хакерская группировка Konni. Подробнее здесь.

2021

Более 90% атак высокопрофессиональных группировок направлены на объекты критической инфраструктуры

Абсолютное большинство (92%) кибератак, совершенных высокопрофессиональными злоумышленниками в 2021 году, было направлено на объекты критической информационной инфраструктуры (КИИ). Чаще всего внимание хакеров с высокой квалификацией – кибернаемников и проправительственных группировок – привлекали госорганизации, предприятия энергетики, промышленности и ВПК. Такие цифры 7 декабря 2021 года озвучил вице-президент «Ростелекома» по кибербезопасности, генеральный директор «Ростелеком-Солар» Игорь Ляпунов.

Всего, согласно исследованию «Ростелеком-Солар», в 2021 году было зафиксировано свыше 300 атак, реализованных профессиональными злоумышленниками, что на треть превышает показатели 2020 года. Большая часть атак была реализована группировками со средней квалификацией – киберкриминалом. Такие хакеры используют кастомизированные инструменты, доступное ВПО и уязвимости, социальный инжиниринг, а их основной целью является прямая монетизация атаки с помощью шифрования, майнинга или вывода денежных средств.

На высокопрофессиональные группировки пришлось 18% атак, совершенных в отчетный период. Такие киберпреступники используют сложные инструменты: самописное ПО, 0-day-уязвимости, ранее внедренные «закладки». Как правило, они нацелены на заказные работы, кибершпионаж, хактивизм, полный захват инфраструктуры, а их жертвами становятся крупный бизнес и объекты КИИ.

Такие атаки почти всегда являются таргетированными, поэтому сначала злоумышленники внимательно изучают атакуемую организацию. Причем кибернаемники и проправительственные группировки проводят разведку не только в отношении ИТ-периметра жертвы, но и в отношении ее подрядчиков, – отметил директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков. – Эти группировки хорошо знакомы с логикой работы базовых средств защиты информации, что позволяет им долгое время оставаться незамеченными. А ущерб от их действий может исчисляться сотнями миллионов рублей. Если же речь идет о КИИ, то возникают также риски, связанные с влиянием на экономику страны в целом, безопасность граждан и политическую ситуацию.

Ключевые техники, используемые профессиональными хакерами для взлома периметра, за год изменились незначительно. Фишинг по-прежнему занимает лидирующую позицию среди техник злоумышленников среднего уровня (60% атак), что объясняется его дешевизной и массовостью.

В 50% атак хакеры с высокой квалификацией эксплуатируют веб-уязвимости. Это связано с тем, что веб-приложения объектов КИИ и органов госвласти (например, корпоративные порталы или веб-почта) до сих пор слабо защищены и имеют огромное количество ошибок. Кроме этого, высокопрофессиональные злоумышленники чаще, чем киберкриминал, прибегают к атакам через подрядчика, рост числа которых наблюдается уже не первый год. Фишинг же, напротив, применяется ими только в 2% случаев. К наиболее популярным техникам взлома в 2021 году также добавилась эксплуатация уязвимостей в MS Exchange, которые были опубликованы в конце 2020 года.

Как и годом ранее, для закрепления внутри сети киберпреступники чаще всего использовали механизмы автозагрузки и системные службы. А для развития подавляющего числа атак – удаленные сервисы RDP, SMB, SSH. В частности, это связано с массовым переходом на дистанционный режим работы: компании стали активнее использовать эти протоколы, позволяющие организовать удаленный доступ к файлам и устройствам.

Обнаружена атакующая российские ТЭК и авиапром хакерская группировка

В конце сентября 2021 года стало известно о появлении новой хакерской группировки ChamelGang, которая замечена в атаках на критическую информационную инфраструктуру, в том числе в России. Подробнее здесь.

В России зарегистрирована масштабная кибератака против госсектора

22 сентября 2021 года стало известно о масштабной кибератаке на государственные учреждения и ведомства России и соседних стран. Об этом сообщили в британской компании Cyjax, специализирующейся на информационной безопасности.

Как пишет «Коммерсантъ» со ссылкой на исследование Cyjax, фишинговая атака организована, в частности, против Российской академии наук (РАН), почтового сервиса Mail.ru Group, а также госструктур более десятка стран, включая Армению, Азербайджан, Китай, Киргизию, Грузию, Белоруссию, Украину, Турцию, Туркменистан и Узбекистан.

В Mail.ru Group заявили, что контролируют появление фишинговых сайтов и мошеннических писем, чтобы «своевременно реагировать на подобные инциденты, включая те, что перечислены в отчете». В компании добавили, что на почте работает автоматическая антиспам-система, которая адаптируется к новым сценариям спама, включая фишинговый.

Эксперты сообщили о существовании 15 сайтов, которые имитируют порталы для входа в электронную почту для сотрудников министерств иностранных дел, финансов или энергетики различных стран.

Злоумышленники использовали для атаки сайт, который был замаскирован под служебную электронную почту. Схема работает так: сотрудники получают уведомление о том, что появился новый портал, на котором необходимо зарегистрироваться. Затем хакеры получают их логины и пароли, а также доступ к письмам жертв. В результате злоумышленникам удается отправить зараженные файлы партнерам компании или ведомства.

Как полагают в Cyjax, целью атаки является сбор логинов и паролей для доступа к почтовым ящикам госслужащих. Учитывая отсутствие немедленной финансовой выгоды от атаки и направленность на РФ и соседние страны, за ней может стоять некая прогосударственная группировка, полагают в Cyjax.

По словам директора экспертного центра безопасности Positive Technologies Алексея Новикова, хакеры могут использовать полученный доступ для продолжения атаки, отправляя письма с вредоносным вложением в адрес партнёров компании.^[13]

Минцифры: 50% кибератак на онлайн-выборы исходили из США

20 сентября 2021 года в Минцифры назвали страны, откуда велись кибератаки на системы электронного голосования в России. Примерно половина IP-адресов, используемых хакерами, пришлась на США. Подробнее здесь.

Посла США вызвали в МИД РФ из-за вмешательства в российские выборы

11 сентября 2021 года стало известно о том, что Министерство иностранных дел России вызвало посла США в Москве Джона Салливана для обсуждения вмешательства американских ИТ-компаний в выборы в Госдуму.

Представитель МИД Сергей Рябков заявил вызванному 10 сентября в МИД РФ Джону Салливану о недопустимости вмешательства в дела России. Рябков также сообщил дипломату о наличии доказательств нарушения законов РФ американскими цифровыми гигантами перед выборами в Госдуму. По его словам, эти доказательства являются неопровержимыми.

По версии Госдепа США, их посол обсуждал в пятницу в российском МИДе вопросы двусторонних отношений, а именно участвовал в беседе о поддержке «стремления президента США Джо Байдена к стабильным и предсказуемым отношениям с Россией».^[14]

Китайские правительственные хакеры атаковали российский госсектор

Китайские правительственные хакеры атаковали российские компании. Об этом стало известно 3 августа 2021 года.

Зафиксированы следы атак хакерской группировки АРТ31, которая известна многочисленными атаками на государственные структуры разных стран. Группировка впервые атаковала российские компании. По данным Positive Technologies, в первом полугодии 2021 года группировка АРТ31, помимо действий в России, провела около десяти вредоносных рассылок в Монголии, США, Канаде и Белоруссии.

Хакерская группа АРТ31, также известная как Hurricane Panda и Zirconium, функционирует с 2010-х годов. Ее представители атакуют в основном государственный сектор, шпионя за потенциальными жертвами и собирая конфиденциальную информацию. Microsoft ранее указывала, что APT31 ведет деятельность из Китая, а правительство Великобритании в середине июля связало деятельность этой группировки с Министерством госбезопасности Китая.

По мнению экспертов Positive Technologies, с весны 2021 года АРТ31 стала расширять географию атак и применять иной способ взлома и заражения гаджетов. Согласно данным компании, хакеры отправляют фишинговые письма, в которых содержится ссылка на подставной домен — inst.rsnet-devel[.]com. Он полностью имитирует домен тех или иных госорганов. При открытии ссылки в компьютер пользователя попадает так называемый дроппер (троян удаленного доступа), который создает на зараженном устройстве вредоносную библиотеку и устанавливает специальное приложение. Далее приложение запускает одну из функций загруженной вредоносной библиотеки, и управление компьютером переходит в руки злоумышленника.

Старший специалист отдела исследования угроз информационной безопасности Positive Technologies Даниил Колосков предупреждает, что разработчики вредоносного программного обеспечения стараются максимально приблизить вредоносную библиотеку к оригинальной, названия наборов функций зараженной библиотеки частично совпадают с официальной. Еще одна уловка хакеров заключалась в том, что в ходе некоторых атак дроппер был подписан реальной валидной цифровой подписью, и многие средства безопасности воспринимали его как программу от сертифицированного производителя. Эксперты Positive Technologies считают, что подпись, скорее всего, была украдена, что свидетельствует о хорошей подготовке группировки.

Глава отдела исследования угроз информационной безопасности Positive Technologies Денис Кувшинов прогнозирует, что в ближайшее время АРТ31 станет использовать при атаках, в том числе на Россию, и другие инструменты, их можно будет обнаружить по соответствию коду или инфраструктуре Сети. Специалисты Positive Technologies уже сообщили о зафиксированной ими атаке хакерской группы в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). В ближайшее время в компании не ждут снижения числа кибератак со стороны АРТ31, поэтому советуют коммерческим и иным структурам внедрять индикаторы в свои средства защиты, которые помогут вовремя обнаружить подобный вирус^[15].

Число кибератак на критическую инфраструктуру РФ увеличилось на 150%

Число кибератак на критическую инфраструктуру РФ увеличилось на 150%. Об этом стало известно 12 июля 2021 года.

В 2020 году показатель тоже вырос, но всего на 40%. Шифровальщики в основном атаковали образовательную и научную сферы, а также промышленность. На них пришлось 30% от общего числа атак.

Российская компания Group-IB подсчитала, что 40% всех атак совершают «классические» киберпреступники. А вот остальные 60% приходятся на проправительственные агентства других государств.

На промышленные компании в большинстве случаев нападают вымогатели. Получается, что каждая крупная компания является потенциальной жертвой для киберпреступников. А сумма выкупов увеличивается.

Эксперты прогнозируют, что число кибератак в дальнейшем будем только увеличиваться, а суммы, запрашиваемые мошенниками, будут расти^[16].

Всплеск хакерских атак на российские НИИ

В середине апреля 2021 года стало известно о всплеске хакерских атак на российские научно-исследовательские институты (НИИ). В первую очередь зарубежных хакеров интересуют учреждения, которые занимаются военными и авиационными разработками, а также созданием вакцин от коронавируса COVID-19, сообщили в компании Group-IB, специализирующейся на информационной безопасности.

В компании «Доктор Веб» подтвердили «Коммерсанту» такую тенденцию. По словам руководителя вирусной лаборатории компании «Доктор Веб» Игоря Здобнова, обнаружить целенаправленные атаки трудно, так как они касаются лишь одной компании, тогда как «слепые» бьют по большому числу субъектов. За кибернападениями на НИИ стоят хакеры, которые спонсируются властями стран с целью шпионажа, уверен эксперт.

Руководитель отдела расследования киберинцидентов «Ростелеком-Солара» Игорь Залевский указывает на возможность использования украденной из НИИ информации в политических целях, в этом он видит причину интереса хакеров, работающих на государство, к НИИ. Работа НИИ связана с уникальной информацией различных отраслей: схемами, чертежами изделий, закрытыми исследованиями, которые являются интеллектуальной собственностью, перечисляет эксперт. Такие данные могут быть интересны для монетизации и просто на черном рынке, добавил он.

Иногда хакеры используют сразу несколько вирусов. К примеру, в сети одного из клиентов специалисты Group-IB выявили шесть видов таких программ, в том числе в бухгалтерии, на рабочих и мобильных устройствах сотрудников. При этом злоумышленники обычно не сразу запускают в сеть НИИ вредоносы и предварительно используют вспомогательные модули, которые не дают обнаружить трояны, указал старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.^[17]

На банки и предприятия ТЭК в России обрушились кибератаки через подрядчиков

В конце марта 2021 года сервис для защиты информационных активов «Ростелеком-Solar» опубликовал исследование, в котором сообщил о двукратном росте числа атак на объекты критической информационной инфраструктуры (КИИ: банки, предприятия ТЭК и т.п.) путем проникновения через инфраструктуру подрядчика (метод supply chain) в 2020 году. Центр мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар» выявил и отразил свыше 1,9 млн атак, что на 73% превышает показатель 2019 года.

По словам экспертов, взлом подрядчика стал самым эффективным методом для проникновения в целевые для киберпреступников инфраструктуры, среди которых, как правило, крупнейшие федеральные организации госсектора и объекты КИИ. Это подтверждается и международным опытом. В конце 2020 года стало известно о взломе компании-разработчика ПО SolarWinds, вследствие чего пострадали такие ее клиенты, как Microsoft, Cisco, FireEye, а также несколько ключевых министерств и ведомств США. Аналогичные попытки атак на органы власти и объекты КИИ Solar JSOC фиксирует и в России.

Активное использование метода supply chain связано с ростом числа более сложных целенаправленных атак. Кроме того, все чаще организации отдают на аутсорсинг часть внутренних процессов, но при этом редко мониторят собственную инфраструктуру и практически не контролируют точки подключения сторонних компаний к своей сети. В итоге проблема может долгое время оставаться вне фокуса внимания. Именно это привело к росту подобных атак в 2020 году.

В компании «Ростелеком-Solar» отметили, что рост популярности метода supply chain указывает не просто на изменение технической специфики атак, а на появление новой ключевой угрозы кибербезопасности на государственном уровне. Однако четкого решения, как минимизировать риски, пока нет. Даже аттестованный регулятором на соответствие нормам ИБ подрядчик может быть успешно атакован злоумышленниками. При этом у компании-заказчика нет возможности напрямую контролировать уровень ИБ-защиты аутсорсера, добавили эксперты.

Очевидно, что продвинутые АРТ-группировки будут все чаще использовать технику supply chain, поэтому ИБ-сообществу нужно как можно скорее выработать фундаментальный подход к решению проблемы, - отметил Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар».

Также впервые с 2017 года эксперты Solar JSOC фиксируют рост нарушений, совершаемых внутренними пользователями – рядовыми сотрудниками компаний. Больше половины (53%) внутренних инцидентов были связаны с утечками информации: перейдя на удаленный режим работы, сотрудники стали совершать нарушения, включая хищение и слив данных, на которые не решились бы в офисе. Кроме того, пандемия привела к росту нарушений в части доступа в интернет. Речь идет не только о посещении подозрительных сайтов с рабочего компьютера. Удаленные работники могли также получить нелегитимный доступ к закрытым ресурсам компании, так как корректно сегментировать корпоративную сеть на базе VPN затруднительно.

Самым распространенным инструментом внешних злоумышленников стало вредоносное ПО, а основным способом его доставки в инфраструктуру жертвы - фишинговые рассылки, большая часть которых спекулировала на теме COVID-19. При этом отмечается значительный рост (на треть) числа атак с использованием шифровальщиков: в период массовой «удаленки», когда многие компании ослабили ИБ-защиту, этот и без того простой способ монетизации стал еще популярнее.

В 2020 году на 30% выросло количество атак, направленных на получение контроля над инфраструктурой, в то время как количество атак, нацеленных на кражу денежных средств, увеличилось незначительно (менее, чем на 10%). Это говорит о значительном росте квалификации злоумышленников и усложнении их инструментария.

Отчет об атаках и инструментарии профессиональных группировок за 2020 год

2020

На ИТ-системы госорганов, банков и ТЭК России совершено 120 тыс. кибератак

На критическую информационную инфраструктуру России (сюда относятся ИТ-системы госорганов, банков, ТЭК и др. ) в 2020 году было совершено более 120 тыс. хакерских атак. Такую цифру 24 июня 2021 года озвучил секретарь Совета безопасности РФ генерал армии Николай Патрушев.

По его словам, киберпространство всё чаще становится ареной борьбы с «геополитическими оппонентами», а Россия регулярно подвергается компьютерным атакам.

Большая часть из них осуществлялась с территории США, Германии и Нидерландов, и была направлена против объектов государственного управления, военно-промышленного комплекса, здравоохранения, транспорта, науки и образования нашей страны, — сказал он.

Как отметил секретарь Совбеза, Россия выступает за неполитизированное сотрудничество между странами для создания глобальной системы кибербезопасности.

Россия выступает за развитие международного сотрудничества в интересах формирования глобального международно-правового режима, обеспечивающего безопасное и равноправное использование информационно-коммуникационных технологий, - подчеркнул он в интервью «Российской газете».

24 июня 2021 года в компании Group-IB привели данные, согласно которым в первой половине 2020 года в России было зарегистрировано втрое больше атак на объекты критической инфраструктуры, чем за весь 2019 год. 40% атак на объекты КИИ в России, были совершены киберкриминалом, 60% - прогосударственными атакующими.

Руководитель Департамента сетевой безопасности Group-IB Никита Кислицин отметил, что примерно 8 промышленных предприятий России из 10 имеют проблемы с обслуживанием ИТ-инфраструктуры.

По словам экспертов, к проблемам с обслуживанием ИТ-инфраструктуры организаций приводит недостаток ресурсов, устаревшее программное обеспечение и зачастую невыстроенный процесс патч-менеджмент.^[18]

Рост числа кибератак на органы власти в 2 раза - ИБ-центр ФСБ

Больше половины (58%) кибератак в России за 2020 год пришлось на органы государственной власти, тогда как в 2019-м эта доля равнялась 27%. Такие данные в конце апреля 2021 года привел заместитель директора созданного на базе ФСБ Национального координационного центра по компьютерным инцидентам (НКЦКИ; координирует работы по обнаружению, предупреждению и ликвидации последствий компьютерных атак на объекты критической информационной инфраструктуры в России и реагированию на компьютерные инциденты) Николай Мурашов.

Проведенный НКЦКИ анализ данных показал, что если в 2019 году наибольшая доля компьютерных атак была нацелена на кредитно-финансовую сферу – 33%, то в 2020 году – на информационные ресурсы органов государственной власти и предприятий промышленности, — сказал Мурашов на онлайн-брифинге (цитата по «РИА Новости»).

По его словам, доля хакерских атак на ИТ-системы предприятий промышленности в 2020 году достигла 38% против 18% годом ранее.

Ранее секретарь Совета безопасности РФ Николай Патрушев заявил, что интенсивность деятельности иностранных разведок в киберпространстве существенно возросла на фоне обострения обстановки в мире, а количество хакерских атак на российские информационные ресурсы в 2020 году выросло в 1,6 раза.

Патрушев отметил ежегодный рост хакерских атак на ИТ-ресурсы органов власти и компаний «с целью их блокировки, получения возможности доступа к охраняемым банкам данным и скрытому управлению информационными системами».

Одновременно актуальным остается вопрос использования уязвимостей применяемого в государственных органах и организациях программного обеспечения в разведывательных целях. Более 30% выявленных уязвимостей может быть использовано дистанционно для проведения компьютерных атак на информационную инфраструктуру, – сказал секретарь Совбеза РФ.[19]

Кемеровчанин осужден за кибератаки на КИИ РФ

Кемеровчанин осужден за кибератаки на КИИ РФ. Об этом стало известно 27 ноября 2020 года. Подробнее здесь.

Обнаружена подготовка к шпионской атаке китайской APT-группы на российские предприятия ТЭК

24 сентября 2020 года стало известно, что разработчик средств информационной защиты компания «Доктор Веб» опубликовала исследование фишинговой кампании, которая была нацелена на российские предприятия топливно-энергетического комплекса. Первая волна была датирована апрелем 2020 года, последние проявления активности случились в сентябре 2020 года. Подробнее здесь.

90% ИТ-систем госорганов в России способны взломать неопытные киберхулиганы

Около 90% ИТ-систем госорганов в России способны взломать не только высококвалифицированные хакеры, но и неопытные киберхулиганы. Такой вывод содержится в исследовании, подготовленном компанией «Ростелеком-Солар» по итогам анализа данных о 40 госорганизациях и органах власти федерального и регионального уровня. Отчет опубликован в сентябре 2020 года.

По словам директора центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар» Владимира Дрюкова, киберхулиганы нацелены на несложную монетизацию и занимаются шифрованием серверов и компьютеров, скрытым майнингом криптовалюты, созданием из полученных ресурсов бот-сетей для организации DDoS-атак или фишинговых рассылок. Более опытные специалисты стараются получить длительный контроль над инфраструктурой или доступ к конфиденциальным данным с целью кибершпионажа, отметил он.

Эксперты отмечают низкий уровень «кибергигиены» в госструктурах. Больше половины таких учреждений используют незащищенное соединение (чаще всего это протокол http, в котором передаваемые данные не шифруются и могут быть перехвачены).

более 70% организаций подвержены классическим веб-уязвимостям, которые злоумышленники используют в качестве точки входа в инфраструктуру жертвы. Например, подверженность SQL-инъекциям, которые позволяют взломать базу данных сайта и внести изменения в скрипт. Или уязвимости XSS, с помощью которой злоумышленник может интегрировать в страницу сайта-жертвы собственный скрипт

Кроме того, более 60% госорганизаций имеют уязвимости различных компонентов (серверов Apache или решений для запуска веб-приложений Apache Tomcat, систем управления сайтом WordPress, языка программирования PHP) и даже самой операционной системы (серия уязвимостей Shellshock, которые считаются одними из наиболее опасных).^[20]

2019

Хакеры годами готовят атаки на ТЭК

Хакеры годами готовят атаки на предприятия топливно-энергетического сектора. Об этом 14 ноября 2019 года сообщили в компании Positive Technologies.

По словам экспертов, профессиональные кибергруппировки, проводящие целевые атаки, деструктивно нападают не сразу после проникновения. Они могут несколько лет контролировать все системы предприятия, не предпринимая никаких разрушительных действий, а лишь похищая важные сведения и ожидая подходящего момента, чтобы приступить к нападению.

В ходе расследования одного из инцидентов специалисты обнаружили, что группировка TaskMasters, занимавшаяся хищением конфиденциальных документов и шпионажем, находилась в инфраструктуре компании-жертвы не менее 8 лет.

В основном хакеры нападают на ТЭК, чтобы нарушить ее производственный процесс или ради похищения корпоративной информации и нанесения ущерба репутации. Лишь каждая третья атака преследует цель похищения финансовых средств, а чаще всего компании сталкиваются с утечками информации или подменой и уничтожением данных.

На кибератаки ТЭК с утечкой информации приходится 30% от общего количества инцидентов. В 26% случаев данные уничтожают или подменивают. 25% опрошенных предприятий заявили о том, что после атак инфраструктура компании простаивает.

По словам директора экспертного центра безопасности Positive Technologies Алексея Новикова, обнаружить целенаправленную атаку в момент проникновения злоумышленников в систему очень сложно. Проще и эффективнее раскрыть активность хакера уже после проникновения в инфраструктуру, например, при его перемещении между серверами уже во внутренней сети.

Такие перемещения непременно оставляют артефакты в сетевом трафике и на самих узлах, это позволяет обнаружить произошедшее ранее проникновение ретроспективно и устранить угрозу до того, как злоумышленник перейдет к активным деструктивным действиям или украдет важную информацию, — отметил Новиков.[21]

Российские госструктуры годами атаковали хакеры из Китая

13 мая 2019 года стало известно о существовании кибергруппировки, которая несколько лет атаковала российские госструктуры и компании, используя для взлома планировщик задач операционной системы.

В Positive Technologies назвали эту хакерскую группировку TaskMasters за то, что она использовала планировщик задач для проникновения в локальные сети. Хакеры после взлома исследовали сети на предмет уязвимостей, загружали туда вредоносные программы и занимались шпионажем. Как злоумышленники использовали полученную информацию, неизвестно.

Как рассказали «Коммерсанту» в Positive Technologies, кибергруппировка с предположительно китайскими корнями как минимум девять лет атаковала госструктуры и компании, некоторые из них находились в России. Экспертам известно о компрометации более 30 значимых организаций из отраслей промышленности, строительства, энергетики, недвижимости и др., из которых 24 находятся в России. Названия компаний не раскрываются.

По сообщению Positive Technologies, в коде используемых TaskMasters инструментов встречаются упоминания китайских разработчиков, во время некоторых атак были зафиксированы подключения с IP-адресов из Китая, а ключи для некоторых версий программ можно обнаружить на форумах, где общаются жители этой страны.

В «Лаборатории Касперского» говорят, что с 2016 года отслеживают активность этой же группы, которую называют BlueTraveler. Мишенями ее атак там называют госструктуры, преимущественно из России и СНГ, подтверждая, что злоумышленники, вероятнее всего, говорят на китайском языке.

В «Лаборатории Касперского» добавляют, что метод закрепления в инфраструктуре и дальнейшего распространения с помощью планировщика задач давно и часто используется злоумышленниками. Как правило, такие атаки помогают политической разведке или же заняты промышленным шпионажем, отметили в компании.^[22]

2018: За 2018 год на РФ было совершено около 4,3 млрд кибератак

По данным Национального координационного центра по компьютерным инцидентам, за 2018 год на критические инфраструктуры РФ было совершено более 4,3 млрд кибератак. Об этом в августе 2019 года сообщил заместитель секретаря Совета безопасности РФ Олег Храмов в интервью "Российской газете".

По словам Храмова, количество кибератак за последние шесть лет выросло на 57%. Если за период с 2014 по 2015 год случаи скоординированных целенаправленных атак составляли около 1,5 тыс. в год, то в 2018 году их количество превысило 17 тыс. Особую опасность представляют атаки, направленные на выведение из строя оборудования объектов критической инфраструктуры.

С начала 2019 года было предотвращено внедрение вредоносного программного обеспечения на более чем 7 тыс. объектов критических инфраструктур. Целями атак злоумышленников становились объекты кредитно-финансовой сферы (38% от всех атак), органов государственной власти (35%), оборонной промышленности (7%), сферы науки и образования (7%) и сферы здравоохранения (3%).

По данным американской компании Webroot, в 2018 году на долю США пришлось 63% интернет-ресурсов, распространяющих вредоносное ПО, тогда как доля Китая и России составляет всего 5% и 3% соответственно.

2017

Минобороны Дании: российские хакеры два года взламывали почту наших сотрудников

Хакеры из России, связанные с руководством страны, два года получали доступ к электронным почтовым ящикам Минобороны Дании. Об этом рассказал в апреле 2017 года министр обороны страны Клаус Йорт Фредриксен.

В отчете, который приводит Berlingske, сообщается, что в течение 2015 и 2016 годов хакеры из группировки Fancy Bear имели доступ к несекретному содержимому почты некоторых сотрудников военного ведомства.

По информации издания, «в течение длительного времени хакеры рассылали большое количество электронных писем конкретным сотрудникам в минобороны». Сотрудники получали сообщения, что «система требует обновления, и «они должны ввести свои пароли». Чтобы ввести в заблуждение сотрудников министерства, хакеры использовали фейковые страницы для входа, которые представляли собой точную копию страниц министерства. Кроме того, целью предполагаемых хакеров, информирует газета, могло быть не только получение необходимой информации, но и возможная вербовка агентов из числа сотрудников министерства.

Отмечается, что взлом стал возможен потому, что не все почтовые ящики были достаточно защищены. Теперь эту проблему устранили^[23].

Авиакосмическая отрасль России привлекает растущий интерес китайских кибершпионов

В феврале 2017 года стало известно о том, что китайские хакеры стали интенсивно атаковать авиакосмические компании в России и Белоруссии. Такой вывод сделали эксперты компании Proofpoint, отслеживающие деятельность группировки, ранее замеченной в атаках на правительственные структуры и коммерческие компании по всему миру. ^[24]

Хакеры, предположительно действующие в интересах правительства КНР, использовали троянец NetTraveler и инструмент удаленного администрирования PlugX. С их помощью преступники осуществляли шпионскую деятельность по всему миру.

Начиная с лета 2016 года эта группировка начала использовать новый зловред, получивший название ZeroT, который после попадания в систему скачивает и устанавливает PlugX.

Сам ZeroT распространяется с помощью спиэр-фишинговых (узконаправленных) писем, содержащих вложения в формате HTML Help (.chm). Хакеры использовали .chm-документы с интегрированными в них исполняемыми файлами. Система контроля учетных записей (UAC) исправно реагировала на попытки открытия этих .chm-файлов (а в действительности - попытки запуска исполняемых компонентов), однако как минимум в нескольких случаях пользователи "послушно" способствовали заражению.

В немалой степени это связано с эффективностью заголовков в фишинговых письмах, таких как "Федеральная целевая программа 2017-2020 гг.", "Изменения в списке аффилированных лиц по состоянию на 21.06.2016" и так далее.

Хакеры также активно эксплуатировали уязвимость CVE-2012-0158, рассылая файлы для Microsoft Word с эксплойтами, и самораспаковывающиеся .rar-файлы, содержавшие компоненты для обхода системы учета контрольных записей.

Китай регулярно обвиняют в активном кибершпионаже против других стран. Власти КНР категорически опровергают все обвинения, однако эксперты по кибербезопасности во всём мире набрали достаточное количество свидетельств тому, что в составе вооруженных сил КНР есть подразделения, занимающиеся кибершпионажем и кибератаками.

Кибершпионаж, как и шпионаж традиционный, давно уже стал фактором международной политики, который приходится постоянно иметь в виду, - говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". - Мы живем в эпоху "холодной кибервойны" глобальных масштабов. Любая отрасль стратегического значения становится объектом недружественного интереса, и попытки атак - это лишь вопрос времени. Что же касается их успешности, то здесь всё зависит от того, насколько персонал атакуемых организаций готов к нападению, умеет выявлять попытки кибератак, умеет отличать фишинговые письма от легитимных, и насколько внимательно ИТ-персонал следит за своевременным обновлением ПО.

Примечания