Со следами взлома

На Восточном экономическом форуме заявили, что самыми частыми целями киберпреступников оказались организации государственного сектора. Как и другие сферы экономики, госсектор развивается и проходит цифровую трансформацию. Так, к 2030 году в России планируется перевести работу всех сотрудников органов исполнительной власти на государственные коммуникационные сервисы, а 90% обязательных отчетных документов будет собираться и храниться в электронном виде. Наш опыт подтверждает, что на протяжении последних шести лет госсектор — лидер по доле успешных кибератак злоумышленников.

Технологический прогресс не всегда сопровождается ростом уровня кибербезопасности. Атаки хакеров с целью вымогательства, кражи конфиденциальных данных или нарушения работы организаций представляют серьезную угрозу для граждан и экономики. Среди самых распространенных методов злоумышленников — внедрение вредоносного программного обеспечения (ВПО), социальная инженерия и эксплуатация уязвимостей.

В первом полугодии 2024-го с помощью внедрения ВПО хакеры осуществили более 68% успешных нападений. Они приводят к серьезным нарушениям работы организаций и утечкам информации.

Основные причины частого использования вредоносных программ в атаках — простота их применения и эффективность. Второй важный фактор — активный теневой рынок, где можно найти предложения о продаже и аренде готовых программ для взлома или заказать их разработку. Среди них как простые приложения для кражи данных, так и мультиинструменты, позволяющие взять целевую систему под полный контроль.

Серьезной угрозой является и социальная инженерия, то есть проникновение в систему путем обмана сотрудников, которое чаще всего осуществляют с помощью рассылки фишинговых писем. Занятость в органах госуправления в разных странах достигает 30% от общей, а владение базовыми навыками информационной безопасности сотрудников госучреждений часто оставляет желать лучшего. Количество атак с использованием методов социальной инженерии выросло с 43% в первом полугодии 2023 года до 57% за аналогичный период 2024-го. По всему миру фишинговые атаки на государственные организации проводятся чаще, чем на другие отрасли.

Почти в каждой второй атаке на государственные учреждения злоумышленники используют человеческий фактор. Чаще всего хакеры обманом заставляют запустить вредоносную программу или выманивают учетные данные от рабочих аккаунтов. Например, члены группировки Shedding Zmiy для атак на госструктуры создали в Telegram поддельный аккаунт специалиста по ИБ и от его имени попросили сотрудника госучреждения прислать учетные данные для доступа к внутренним системам.

Встречаются также APT-группировки — это организованные объединения продвинутых хакеров, которые используют в своих атаках сложные технические средства. Государственный сектор чаще других страдает от их нападений: за последние два года более четверти успешных целевых атак были направлены именно на госучреждения. Члены APT-группировок стараются как можно дольше оставаться в инфраструктуре организации, чтобы выкрасть как можно больше данных. Нередко их целью становятся крупные компании, связанные с государством. Подобные сообщества могут годами изучать своих жертв, чтобы при атаке нанести максимальный ущерб и извлечь наибольшую выгоду. Среди особенностей деятельности APT-группировок в последнее время можно назвать использование троянов удаленного доступа и шпионского программного обеспечения.

Госорганизации оказывают гражданам и компаниям множество услуг, а значит, располагают огромным количеством чувствительных данных. На теневых рынках украденную информацию часто продают для создания поддельных документов, получения первоначального доступа к инфраструктуре организаций или взлома рабочих учетных записей. Как показывает наше исследование, большинство утечек конфиденциальной информации за первое полугодие 2024 года пришлось именно на госучреждения.

Так, в начале 2024 года хакеры из группировки Lazy Koala украли данные 867 сотрудников государственных, финансовых, медицинских и образовательных учреждений в России, Белоруссии, Казахстане, Узбекистане, Киргизии, Таджикистане и Армении. Предположительно, похищенная информация может быть использована для дальнейших атак на внутренние системы компаний или продажи на теневом рынке.

Последствия атак на государственные учреждения могут быть очень серьезными, особенно когда речь идет о компрометации данных. Если преступникам удастся получить доступ к базе одного ведомства, то под угрозой окажутся и другие организации. Не меньшую угрозу несет и отказ в работе ключевых сервисов, который может привести к ощутимым потерям как для граждан, так и для бизнеса. Прогресс невозможно и не нужно останавливать, поэтому при построении системы кибербезопасности госучреждений крайне важен комплексный подход для всего государства.

Автор — аналитик исследовательской группы Positive Technologies

Позиция редакции может не совпадать с мнением автора