Иностранных кибершпионов выявили в инфраструктуре госорганов Казахстана
К примеру, как уточнили в ГТС, в 2022 году нейтрализована деятельность хакерской группировки, которая осуществляла кибершпионаж путем негласного сбора документов из инфраструктур нескольких государственных органов и организаций.
"Кибергруппировка вела свою деятельность скрытно. Для закрепления позиций и кражи файлов, запускаемые вредоносные программы маскировались под легитимные процессы операционной системы или другие установленные программные обеспечения, подписанные реальными разработчиками. Они не вызывали подозрений у обычных пользователей и даже у системных администраторов".Пресс-служба АО "ГТС"
Хакеры использовали бреши в защите, так называемое "0-day" уязвимости, а также ранее неизвестное для антивирусных лабораторий вредоносное программное обеспечение, то есть APT.
"Средства защиты информации не детектировали данное вредоносное программное обеспечение, что позволяло хакерам беспрепятственно вести деятельность. Злоумышленникам удалось скомпрометировать основные элементы информационно-коммуникационных инфраструктур государственных органов и организаций, в том числе были зафиксированы факты компрометации рабочих станций руководителей".Пресс-служба АО "ГТС"
Также атакующих интересовали технические данные самой инфраструктуры - они занимались сбором сетевых схем и учетных записей для дальнейшего продвижения.
"В результате изучения активности группировки, а также используемых методов и сбора иной информации, предположено, что в данных организациях орудовала хакерская группировка, действующая в интересах иностранного государства. Указанное обстоятельство придало совершенно иной окрас выявленной атаке и внесло ясность, что группировка состоит из высококлассных специалистов, имеющих серьезную финансовую поддержку для реализации своих целей".Пресс-служба АО "ГТС"
Кибершпионы имели устойчивые каналы связи с инфраструктурами жертв, кроме которых имелся и арсенал резервных.
"Они вели высокотехнологичный кибершпионаж, при котором государственные организации не подозревали о наличии постороннего в своей инфраструктуре. Все работало, как и прежде, антивирусное программное обеспечение выявляло только ранее известное вредоносное программное обеспечение, электронные документы на компьютерах не пропадали, инфраструктура работала стабильно, и не возникало подозрений, что некие сторонние силы крадут сведения, циркулирующие в организации. Хакеров интересовала только "чувствительная" информация, они не крали все подряд".Пресс-служба АО "ГТС"
Для эффективного реагирования на данный инцидент и вытеснения группировки из инфраструктур АО "ГТС" и КНБ совместно с государственными органами и организациями проведена работа по изучению методов проникновения злоумышленников и подготовке соответствующей инфраструктуры.
"По согласованию с первыми руководителями государственных органов и организаций были проведены масштабные мероприятия, по результатам которых удалось максимально локализовать присутствие хакерской деятельности в отечественных сетях. Для исключения функционирования резервных каналов сбора информации, АО "ГТС" и КНБ проведен второй этап мероприятий, в ходе которого любые подозрительные активности воспринимались через призму нулевого доверия и тщательно проверялись, а также велась дальнейшая деятельность по зачистке, но уже более точечно".Пресс-служба АО "ГТС"
Как рассказали в Государственной технической службе, попытки возврата в инфраструктуру фиксировались ежедневно, группировка использовала разные методы атак: фишинговые письма, поиск уязвимостей, различные сетевые атаки.
"Накопленный опыт и слаженная работа с организациями-жертвами позволили не допустить повторной компрометации. Данное противостояние продолжается по сей день, специалисты ведут постоянный мониторинг событий информационной безопасности. Развитие цифровизации за последнее десятилетие затронула все отрасли страны. Но, к сожалению, вопросам информационной безопасности не уделялось достаточного внимания, следствием чего стали многочисленные утечки конфиденциальной информации".Пресс-служба АО "ГТС"
25 сентября 2022 года стало известно, что на Казнет совершена DDoS-атака. В АО "Государственная техническая служба" сообщили, что кибератаки приводят к росту нагрузки на магистральных каналах операторов связи.
28 сентября в АО "ГТС" сообщили, что кибератаки на Казнет, в частности, на сайты госорганов, продолжаются на протяжении нескольких дней, что привело к задержкам соединения интернета. В Государственной технической службе предположили, что кибератаки связаны с происходящими общественными событиями в стране и мире.
Позднее в АО "ГТС" раскрыли подробности хакерских атак на Казнет: вредоносная активность впервые была замечена 24 сентября и постоянно увеличивалась, а пик атаки пришелся на 28 сентября. Для DDoS-атаки использовались сети из зараженных компьютеров и IoT-устройств, называемые ботнетами.
О том, что масштабные кибератаки на Казнет продолжаются, в АО "ГТС" заявили и 29 сентября.