Департамент: военная разведка России считывала данные с компьютеров Viru Keemia Grupp
Государственный департамент инфосистем представил итоги прошедшего года по кибербезопасности. Как выяснилось, один из самых серьезных инцидентов произошел в Viru Keemia Grupp (VKG), в сеть которой, скорее всего, проникли российские хакеры.
В начале 2016 года в компьютерной сети VKG несколько раз был замечен характерный для вредоносных программ трафик. Экспертиза выявила в компьютерах сети VKG программу Mimikatz, которая используется в системах Windows для сбора идентификационных данных (например, паролей, хэшей паролей и т. д.). Также была найдена бэкдор-программа, с помощью которой вредоносное программное обеспечение поддерживало соединение с сервером.
В ходе последующего контроля было выявлено еще несколько подозрительных соединений, и обнаружились сертификаты, схожие с темы, которые используются при бэкдор-соединениях. Мониторинг внутренней сети не обнаружил больше вредоносных соединений с сервером управления, так же не было обнаружено других зараженных вредоносными программами серверов.
В июне 2016. года было вновь обнаружено такое же соединение с сервером управления. В этот раз удалось выяснить название компьютера, который инициировал соединение. Выяснилось, что вредоносным программным обеспечением была заражена рабочая станция в сегменте мониторинга, которую после проверки отключили от сети. Экспертиза программного обеспечения компьютера выявила, что в компьютере установлена та же бэкдор-программа, что была обнаружена при предыдущем контроле.
Трафик в сети и обнаруженные вредоносные программы указывали на то, что это было не случайное заражение, а целенаправленная атака. Использованную ПО и сервер управления связывают с группировкой, которую называют APT28 или Fancy Bear (”Прикольный медведь”).
Компания по кибербезопасности из США CrowdStrike считает, что группировка APT28 по сути находится на службе Главного разведывательного управления России (ГРУ). Эта группировка также может быть связана с атаками против парламента Германии, Белого дома США и НАТО.
VKG является частным предприятием, но специалисты Государственного департамента инфосистем дали VKG советы о том, как справиться с инцидентом, и помогли с выбором архитектуры безопасности сети и конфигураций, а также с обновлением информационно-технологических административных процедур предприятия.
