Загадочная хакерская группировка три года «висела» в ИТ-инфраструктурах федеральных госорганов России

19 мая, 12:33
Представители Национального координационного центра по компьютерным инцидентам (НКЦКИ) ФСБ России на встрече с журналистами рассказали о выявлении серии целенаправленных атак профессиональной кибергруппировки на российские федеральные органы исполнительной власти (ФОИВ), передает TAdviser.

Исходя из сложности использованных злоумышленниками средств и методов, а также скорости их работы и уровня подготовки мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы, - отметил замдиректора НКЦКИ ФСБ России Николай Мурашов.

Атаки были выявлены в 2020 году. А история с обнаружением совершавшей их группировки началась в конце 2019 года, когда «Ростелеком-Солар» обеспечивала безопасность ИТ одного из госорганов, рассказали в компании. Тогда была обнаружена попытка прикосновения к одному из серверов защиты заказчика. Обычно атаки такого рода не детектируются стандартными средствами защиты и антивирусами: это были следы, быстро исчезнувшие, но давшие зацепку, чтобы понять, что происходит, откуда пришла группировка и какими методами пользуется.

В результате анализа выяснилось, что та же группировка присутствовала в системах и других ФОИВ. Причем первые признаки присутствия датировались еще 2017 годом. То есть более 3-х лет группировка работала и осуществляла свои действия в ИТ-инфраструктурах госорганизаций, говорит вице-президент по ИБ «Ростелекома» Игорь Ляпунов.

Названия атакованных госорганов специально не называются - из соображений безопасности. Число атакованных ФОИВ в НКЦКИ также предпочли не уточнять.

Во всех выявленных операциях главными целями злоумышленников были полная компрометация ИТ-инфраструктуры, а также кража конфиденциальной информации, такой как почтовая переписка, файлы общего и ограниченного доступа, инфраструктурные и логические схемы и т.д., согласно анализу, проведенному НКЦКИ ФСБ России и «Ростелеком-Солар».