Иностранные кибершпионы проникли в компьютеры госорганов - ГТС
Сообщается, что кибергруппировка вела свою деятельность скрытно. Для кражи файлов в систему запускались вредоносные программы, которые умело маскировались под легитимные процессы операционной системы или уже установленное на компьютере программное обеспечение.
"Зараженные программы не вызывали подозрений у пользователей и даже у системных администраторов. Хакеры использовали бреши в защите, так называемые 0-day-уязвимости, а также ранее неизвестное для антивирусных лабораторий вредоносное программное обеспечение, то есть APT. Средства защиты информации не детектировали данное вредоносное ПО, что позволяло хакерам беспрепятственно вести деятельность", - говорится в сообщении.
Как уточняется, злоумышленникам удалось скомпрометировать технические и программные средства госорганов и организаций, также были факты компрометации рабочих станций руководителей.
По полученным данным стало известно, что в организациях орудовала хакерская группировка, которая действовала в интересах иностранного государства. Как выяснилось позже, группировка состояла из высококлассных специалистов с серьезной финансовой поддержкой.
"У кибершпионов были каналы связи с инфраструктурами жертв, кроме которых был и арсенал резервных. Они вели высокотехнологичный кибершпионаж. Хакеров интересовала только чувствительная информация, они не крали все подряд. Для эффективного реагирования на инцидент и вытеснения группировки из инфраструктур ГТС и КНБ совместно с госорганами и организациями изучили методы проникновения злоумышленников и подготовки соответствующей инфраструктуры. Исходя из имеющейся информации о присутствии злоумышленников в инфраструктурах "жертв", для качественной зачистки требовались кардинальные меры", - сообщили в ГТС.
Для исключения резервных каналов сбора информации ГТС и КНБ провели зачистку - любые подозрительные активности воспринимались через призму нулевого доверия и тщательно проверялись.
Попытки возврата в инфраструктуру фиксировались ежедневно, группировка использовала разные методы атак: фишинговые письма, поиск уязвимостей, различные сетевые атаки. Однако повторные компрометации не были допущены.