Госструктуры России под хакерской атакой

В России разоблачили шпионскую атаку иностранных хакеров. Специалисты Positive Technologies рассказали о новой серии фишинговых кибератак, направленной на госучреждения России и Белоруссии, за которой специалисты по информационной безопасности (ИБ) наблюдают с октября 2024 г. За ИТ-атаками стоит APT-группировка Cloud Atlas, активная уже не менее 10 лет.

Шпионская ИТ-атака

Выявлена новая серия фишинговых кибератак, совершенных АРТ-группировкой с названием Cloud Atlas, об этом сообщили в пресс-службе компании Positive Technologies. ИТ-атака была нацелена на государственные организации России и Белоруссии. Это уже не первая кибератака Cloud Atlas, которая действует с 2014 г. и известна своими атаками на правительственные сектора разных стран, но теперь хакеры используют облачные сервисы в качестве командно-контрольного сервера.

Последняя волна кибератак от Cloud Atlas началась еще в октябре 2024 г. и отличается от предыдущих тем, что в ней хакеры используют новые методы и ИТ-инструменты. Вместо стандартных файлов Microsoft Word с геополитическими темами, злоумышленники теперь используют официальные запросы на предоставление информации в качестве приманок. Эти документы содержат ссылку на вредоносный шаблон, который через эксплуатацию уязвимости в редакторе формул Microsoft Equation запускает разные скрипты, выполняющие команды C2-сервера.

Со слов заместителя руководителя департамента комплексного реагирования на киберугрозы экспертного центра безопасности Positive Technologies Александра Григоряна, в новой ИТ-атаке модули вредоносного программного обеспечения (ВПО) хранились на «Яндекс Диске». Однако недавние атаки носят экспериментальный характер. Григорян уточнил, что главное отличие от более ранних в том, что киберпреступники вместо стандартного С2 использовали документ, созданный в онлайн-приложении для работы с электронными таблицами Google Sheets. Группировка Cloud Atlas совершенствует свои тактики кибератак, техники и ИТ-инструментарий, а также развивает собственное ВПО, повышая его эффективность в условиях усиления защиты ИТ-инфраструктур.

Хакеры начали использовать облачные сервисы в качестве командно-контрольного сервера

По данным Positive Technologies, в результате ИТ-атак на устройства жертв доставляются инструменты для дальнейшего развития кибератаки, включая бэкдор PowerShower, который используется для шпионажа и кражи данных. ИБ-эксперты отмечают, что группировка Cloud Atlas продолжает совершенствовать свои методы, тем самым адаптируясь к усилению защиты ИТ-инфраструктур в России.

Меры защиты

Для предотвращения подобных кибератак ИБ-специалисты из Positive Technologies рекомендуют пользователям соблюдать актуальные ИБ-правила, включая тщательное изучение писем перед открытием вложений, проверку адресов отправителей и сохранение спокойствия при получении сообщений. Также важно своевременно обращаться к ИБ-специалистам по реагированию и расследованию для минимизации ущерба компании и государственных учреждений в России и Белоруссии.

Организациям ИБ-специалисты предлагают выстраивать многоуровневую защиту ИТ-инфраструктуры, используя передовые продукты кибербезопасности. В этом помогут такие сервисы: сетевая песочница для защиты от сложного ВПО и угроз нулевого дня PT Sandbox; ИТ-система поведенческого анализа сетевого трафика PT Network Attack Discovery; межсетевой экран нового поколения для глубокой фильтрации трафика PT NGFW; продукт для выявления киберугроз на конечных устройствах и реагирования на них MaxPatrol EDR; ИТ-система мониторинга ИБ-событий и выявления инцидентов MaxPatrol SIEM; ИТ-система управления уязвимостями нового поколения MaxPatrol VM; ИТ-сервис для проверки защищенности корпоративной почты PT Knockin.

Рост ИТ-атак на российские компании

Доля заказных кибератак на российские компании к осени 2024 г. значительно выросла, достигнув 44%, что свидетельствует об усилении угроз для бизнеса со стороны профессиональных хакеров. Эти данные приводятся в исследовании группы компаний «Солар».

За прошедший год количество заказных кибератак, направленных на российские компании, увеличилось более чем в четыре раза. Если в 2023 г. доля таких ИТ-инцидентов составляла лишь около 10%, то в 2024 г. этот показатель вырос более чем в четыре раза. Аналитики «Солар» отмечают, что основную долю успешных атак (до 60%) в 2024 г. осуществляли профессиональные хакеры, в отличие от прошлого года, когда значительная часть ИТ-атак приходилась на хактивистов - злоумышленников, действующих по политическим мотивам.

Эксперты также зафиксировали увеличение числа кибератак, связанных с кибершпионажем. Как поясняет инженер группы расследования инцидентов Solar 4RAYS Геннадий Сазонов, во многих случаях злоумышленники прямо указывали на наличие третьей стороны, заинтересованной в их действиях. Такие инциденты, по его словам, характерны для группировок из Восточной Европы.

В компании «Информзащита» подтверждают наблюдаемый тренд и отмечают, что доля сложных кибератак, включая шпионаж и шифрование данных, составляет около 80% от всех успешных инцидентов. Основными целями хакеров в 2024 г. стали государственные учреждения, промышленные предприятия, а также организации из сферы науки и образования, где злоумышленники могут получить максимальное количество ценной информации.