Данные пользователей госпорталов были украдены в 30 странах мира
Group-IB, международная компания, специализирующаяся на предотвращении кибератак, зафиксировала более 40 000 скомпрометированных учетных записей пользователей крупнейших государственных ресурсов в 30 странах мира. Наибольшее количество пострадавших оказалось в Италии (52%), Саудовской Аравии (22%) и Португалии (5%). Предположительно эти данные могли быть проданы на подпольных хакерских форумах или использованы в целенаправленных атаках для кражи денег или информации. CERT-GIB - Центр реагирования на инциденты информационной безопасности Group-IB оперативно предупредил уполномоченные государственные организации CERT в этих странах о потенциальной опасности.
Скомпрометированные злоумышленниками учетные записи — логины и пароли от личных кабинетов пользователей государственных порталов в 30 странах мира – были обнаружены системой Group-IB Threat Intelligence (Киберразведка). Среди этих сайтов оказались государственные ресурсы Польши (gov.pl), Румынии (gov.ro) и Швейцарии (admin.ch), Министерства обороны Италии (difesa.it), Армии обороны Израиля (idf.il), Правительство Болгарии (government.bg), Министерство финансов Грузии (mof.ge), Управление иммиграционной службы Норвегии udi.no, Министерства иностранных дел Румынии и Италии и так далее.
В списке жертв как госслужащие, военнослужащие, так и рядовые граждане, которые, например, регистрировались на сайтах госуслуг Франции (gouv.fr), Венгрии (gov.hu) и Хорватии (gov.hr). Всего же за последние полтора года системой Threat Intelligence зафиксировано около 40 000 скомпрометированных «учеток» — больше всего жертв оказалось в Италии (52%), Саудовской Аравии (22%) и Португалии (5%).
«Отмычка» для личного кабинета
Согласно данным Group-IB, злоумышленники похищали учетные записи с помощью специальных шпионских программ — формграбберов, кейлоггеров, таких как Pony Formgrabber, AZORult и Qbot (Qakbot). Заражение пользователей этими вредоносными программами происходило по «классической» схеме — через фишинговые рассылки, которые отправлялись злоумышленниками как на корпоративную, так и или личную почту жертв. В письмах находилось вредоносное вложение — файл или архив – после открытия которого на компьютере пользователя запускался троян, предназначенный для кражи информации.
Например, Pony Formgrabber собирает учетные данные из конфигурационных файлов, баз данных, секретных хранилищ более 70 программ на компьютере жертвы, а затем пересылает информацию на C&C-сервер злоумышленникам. Другой троян-стиллер — AZORult, кроме кражи паролей из популярных браузеров, способен похищать данные кошельков криптовалют. Сетевой червь Qbot собирает пароли и логины, используемые пользователем в различных программах, устанавливает клавиатурный шпион, крадет cookie-файлы, активные интернет-сессии, перенаправляет пользователей на поддельные страницы, крадет сертификаты.
«Витрина» данных для продажи
Как правило, украденные «учетки» хакеры сортируют по темам (данные клиентов банков, аккаунты с порталов госучреждений, сборные “комболисты” — наборы e-mail/password) и затем выставляют их на продажу на подпольных хакерских форумах. Аккаунты с госсайтов редко продаются в свободном доступе. Иногда логи (набор скомпрометированных данных) выкладывают без сортировки.
Покупателями подобной информации обычно являются как киберпреступники, так и проправительственные APT-группировки, специализирующиеся на диверсиях и шпионаже. Обладая учетными данными для доступа в личный кабинет пользователя госпортала, хакеры могут получить доступ к конфиденциальной информации, которая связана с этим аккаунтом, а также использовать полученный доступ для попытки проникновения во внутреннюю сеть госучреждения. Компрометация данных даже одного госслужащего несет серьезные риски, так как в результате может быть разглашена коммерческая или государственная тайна.
«Масштабы и простота компрометации учетных данных госслужащих различных стран мира наглядно демонстрируют, что пользователи в силу собственной беспечности и отсутствия надежной технологической защиты становятся жертвами хакеров, — замечает Александр Калинин, руководитель отдела мониторинга и реагирования на инциденты информационной безопасности (CERT-GIB)». — Вредоносные программы, используемые злоумышленниками для компрометации пользовательских данных, постоянно модифицируются. Для предотвращения подобных атак необходимо не только использовать современные анти-APT системы, но и знать расширенный контекст угрозы — когда, где и каким образом данные были скомпрометированы. Это даст возможность предотвратить угрозу компрометации, заранее понимая, как именно и через какой канал будет атаковать злоумышленник».
От пассивного реагирования – к международному хантингу
Регулярно обновляемая база данных системы Group-IB Threat Intelligence позволяет получить актуальную информацию о произошедших утечках по всему миру: данные о скомпрометированных логинах и паролях пользователей, информацию об используемом злоумышленниками вредоносном программном обеспечении, данные о провайдерах и хостерах, а также IP-адресах, зараженных вредоносным ПО клиентов. Такая информация дает возможность провести анализ и расследование инцидента, а также предотвратить возможную атаку до того, как она произошла.
В Group-IB также подчеркивают, что помимо технологического оснащения госорганов, важным слагаемым в деле предотвращения атак, ставших следствием масштабной компрометации учетных данных, является международное взаимодействие. В данном случае для информирования об обнаруженной проблеме и предотвращения дальнейших инцидентов специалисты Центра реагирования на инциденты информационной безопасности CERT-GIB связались с государственными центрами (CERT) в 30 странах и уведомили местные команды реагирования об обнаруженных скомпрометированных данных.
Александр Калинин, руководитель Центра реагирования на инциденты информационной безопасности Group-IB (CERT-GIB)
Как защищены пользователи госпорталов в РФ?
Мы до сих пор сталкиваемся с тем, что государственные порталы разных стран подвергаются взлому, при этом оперативной реакции со стороны технической поддержки сайта не осуществляется. Многие порталы оправдывают такое отношение к сайту тем, что ресурсы зачастую строго информационные, без личных кабинетов, оплаты услуг и т.п. Однако, помимо очевидных репутационных рисков, незащищённый ресурс при взломе может грозить доступом к общей информационной инфраструктуре государственного портала, становятся возможны атаки на пользователей порталов, рассылка писем от имени этого ресурса (что сейчас очень ценится злоумышленниками, так как письма с гос. порталов чаще всего пройдут спам-контроль и им доверяют).
Еще одной проблемой также является то, что даже выявленные уязвимости на ресурсах, устраняются медленно уязвимости, даже если было произведено своевременное оповещение владельцев этих ресурсов.
Но есть и хорошие новости: даже в таких условиях мы наблюдаем положительные изменения, особенно с крупными российскими порталами. В части защиты многие российские порталы стали пользоваться услугами сторонних компаний для обеспечения безопасности ресурса и его круглосуточного мониторинга. Как правило, защищаются от DDoS-атак, а саму сеть, в которой работают сотрудники госпортала, защищают различного рода средствами обнаружения и предотвращения вторжений, своевременно обновляют системы работы с наполнением сайта, также есть отдельные прецеденты с использованием услуг типа Threat Intelligence (киберразведка по подписке), но это пока что редкая для госпорталов РФ практика.
В целом, защита госпорталов, конечно, не идёт ни в какое сравнение с защитой крупных финансовых корпораций, где подобные техники используются по умолчанию, но положительные сдвиги все же есть.
Опубликовано 13.12.2018