Подробности взлома баз казахстанских мобильных операторов раскрыли в Минцифры и ЦАРКА
Как отметил президент ОЮЛ "Центра анализа и расследования кибератак" (ЦАРКА) Олжас Сатиев, группировка, которая взломала казахстанских мобильных операторов, была оснащена современным оборудованием.
"Использован весь арсенал кибероружия: программы для взлома Windows-машин (виртуальная среда, работающая как настоящий компьютер, но внутри другого компьютера), телефонов. Проведены большие исследования, научная работа, над которой много людей, возможно, работали годами". Олжас Сатиев
По его словам, компания – мобильный оператор представляет собой сложную инфраструктуру, включающую тысячи серверов, множество сотрудников IT-сферы и адресов.
"В случае этой утечки был получен полный доступ к инфраструктуре. Скорее всего, проникли через сотрудника, возможно, через уязвимость или при помощи фишинга. Для хакерской группировки главное – проникнуть внутрь, достаточно иногда получить доступ к одному компьютеру. Дальше они начинают распространяться медленно, тихо. Возможно, по ночам, выходным, когда сотрудники все уходят. Так они закрепляются и тихо сидят. Возможно, не сливают большие данные, чтобы их не обнаружили, а так, как в этом случае, точечно запрашивают информацию по отдельным людям".Олжас Сатиев
Президент ЦАРКА отметил, что на черном рынке уязвимости, которые позволяют взломать iPhone удаленно, стоят от 1,5 млн долларов. А стоимость кибероружия доходит до 10 млн долларов за единицу. Это говорит о том, что хакерская группировка, взломавшая казахстанских операторов, имела достаточное финансирование и была хорошо организована.
"Для взлома сначала необходим процесс разведки, как на войне. Они анализируют компанию-жертву, изучают все публичные документы. Даже размещенные на различных платформах вакансии тщательно изучают. Например, телеком-оператор ищет специалиста по информбезопасности, который разбирается в антивирусе "Касперский". Хакеры делают вывод о том, какой именно антивирус использует оператор".Олжас Сатиев
В свою очередь председатель Комитета по информационной безопасности МЦРИАП Руслан Абдикаликов в первую очередь рекомендовал не обвинять какую-то страну или спецслужбу в том, что они нарушили казахстанское законодательство.
"Есть хакерская группировка, которая могла работать на какую-то спецслужбу иностранного государства. То, что хакерская группировка работает по критической инфраструктуре РК, новостью для нас не было. Еще в 2022 году оперативный центр информационной безопасности, который использовал наше отечественное решение, обнаружил у оператора Kcell первые следы незаконного присутствия хакерской группировки. Далее эта информация была передана в национальной координационный центр информационной безопасности, там ее перепроверили у других операторов сотовой связи. И тогда были обнаружены такие же следы присутствия и их инфраструктуре других мобильных операторов".Руслан Абдикаликов
По его словам, на то, чтобы перекрыть хакерам доступ к инфраструктуре мобильных операторов, ушло около года.
Материал по теме
Информация о том, что в утечке китайских правительственных документов обнаружены данные казахстанцев, появилась в социальных сетях 20 февраля 2024 года. Деталями взлома ЦАРКА поделились 21 февраля. Представители центра рассказали, что китайские хакеры атаковали казахстанских операторов в течение двух лет.
МЦРИАП представил рекомендации по кибербезопасности при использовании онлайн-платформ и интернет-ресурсов иностранных государств. Подробнее с рекомендациями от Минцифры можно ознакомиться по ссылке.