НИИ шагу назад
Российскую науку атакуют превосходящие силы иностранных хакеров
На фоне пандемии выросла активность иностранных хакеров в отношении российских НИИ, которые специализируются на разработке вакцин от коронавируса, а также военных и авиационных проектах. В первую очередь НИИ интересуют хакеров, работающих на другие государства, а украденная информация может использоваться в политических целях, полагают эксперты. Но в последнее время акценты таких атак смещаются с просто шпионажа на уничтожение критической инфраструктуры.
Эксперты по кибербезопасности рассказали “Ъ” об увеличении числа целенаправленных атак на научно-исследовательские институты (НИИ). В последнее время большой интерес у иностранных прогосударственных хакеров вызывают российские НИИ, которые специализируются на военных и авиационных разработках, сообщили в Group-IB. Кроме того, с начала пандемии в группу риска попали НИИ, ответственные за разработку вакцин от коронавируса, отмечают в компании.
Целевые атаки на НИИ в последнее время имеют тенденцию к увеличению, подтверждают в компании «Доктор Веб». Так, например, в сентябре 2020 года в ее вирусную лабораторию обратился один из российских исследовательских институтов, и «Доктор Веб» обнаружил, что сеть института была скомпрометирована двумя хакерскими группировками. Одна из них проникла в сеть НИИ еще в 2017 году и оставалась незамеченной до 2020 года. В процессе расследования выяснилось, что в мае 2019 года аналогичная вредоносная программа была установлена в локальной сети и другого российского НИИ.
Иногда группировка может и дольше оставаться незамеченной, а также внедрять сразу несколько программ: например, в сети одного из клиентов Group-IB обнаружила шесть видов вредоносов.
Среди вредоносов были банковский троян в бухгалтерии, шпионские программы на мобильных устройствах сотрудников, которые подключались к рабочему Wi-Fi, вредоносные программы и трояны на рабочих машинах, уточнила глава отдела исследования APT Group-IB Анастасия Тихонова.
Целевые атаки сложно обнаруживать, поскольку они затрагивают всегда лишь одну организацию, в отличие от слепых, которые бьют сразу по большому количеству субъектов, говорит руководитель вирусной лаборатории компании «Доктор Веб» Игорь Здобнов. По его мнению, за атаками на НИИ стоят хакеры, спонсируемые государствами с целью шпионажа.
В первую очередь НИИ интересуют хакеров, работающих на государство, ведь украденная информация может использоваться в политических целях, полагает руководитель отдела расследования киберинцидентов «Ростелеком-Солара» Игорь Залевский. Работа НИИ напрямую связана с важной и уникальной информацией различных отраслей — это могут быть схемы, чертежи изделий, различные закрытые исследования, которые являются интеллектуальной собственностью, отмечает эксперт. «Впрочем, такие данные могут быть интересны для монетизации и просто на черном рынке»,— добавляет господин Залевский.
Критически важные данные, особенно относящиеся к интеллектуальной собственности, как правило, хранятся в закрытых сегментах инфраструктуры предприятия, уточняет эксперт. Но 90% госорганизаций имеют от трех до десяти точек связанности публичного и закрытого сегментов сети, что может использоваться злоумышленниками для атаки, подчеркивает господин Залевский.
По словам старшего эксперта по кибербезопасности «Лаборатории Касперского» Дениса Легезо, хакеры не сразу запускают в сеть НИИ трояны, которые используются для незаметного получения контроля над инфраструктурой и сбора данных. «Предварительно они используют вспомогательные модули, которые защищают вредоносное ПО от обнаружения»,— уточняет он.
В Group-IB добавляют, что в последнее время подобные операции становятся все более явными, а их акценты смещаются со шпионажа на уничтожение критической инфраструктуры.
Например, 3 июля 2020 года стало известно, что власти Израиля под подозрением в осуществлении кибератаки на один из ядерных объектов Ирана. Инцидент произошел 2 июля и повлек за собой пожар и взрыв на подземном объекте по обогащению урана в Натанзе.