Хакеры собрали подписи

На сайты федерального удостоверяющего центра (УЦ) по выдаче цифровых электронных подписей (ЭП) совершена кибератака, в результате которой был остановлен процесс выдачи ЭП. Жертвой хакеров стали сайты УЦ «Основание», центры которого представлены более чем в 60 регионах РФ. Хакеры заявляют о намерении продать данные пользователей ресурсов, но компания уверяет, что их цифровые ключи не были скомпрометированы. Эксперты предупреждают, что у пользователей могут возникнуть трудности с верификацией через ЭП на сторонних ресурсах до устранения последствий инцидента.

Выйти из полноэкранного режима

Развернуть на весь экран

В ночь на 11 сентября на инфраструктуру центра выдачи электронной подписи УЦ «Основание» (включает АО «Аналитический центр» и АО «Единый портал ЭП») была совершена кибератака, в результате которой интернет-ресурсы организации оказались недоступны. Об этом сообщила сама организация в соцсетях. К середине дня 11 сентября сайты компаний по-прежнему не работали, убедился “Ъ”. Атака была проведена методом дефейса (подмена надписи или картинки на сайте) — на сайтах организации (www.uc-osnovanie.ru и www.iecp.ru) были размещены надписи «Ваши сертификаты в надежных руках», а также информация о том, что они будут впоследствии проданы.

Как следует из официального письма УЦ «Основание», с которым ознакомился “Ъ”, «в настоящее время выдача новых сертификатов ключей проверки электронной подписи приостановлена, совместно с НКЦКИ (подведомственный ФСБ Национальный координационный центр по компьютерным инцидентам.— “Ъ”) проводится аудит инцидента, ведутся работы по восстановлению работоспособности удостоверяющего центра». Ориентировочный срок возобновления выдачи сертификатов — 12 сентября, пишет компания. В Минцифры “Ъ” инцидент не прокомментировали.

В УЦ «Основание» “Ъ” добавили, что атаке подверглись только его внешние ресурсы — сайты. «Инфраструктура, связанная с программно-аппаратным комплексом УЦ, не пострадала, говорить о компрометации ключей нельзя, и тем, кто уже имеет электронную подпись, выпускать новый сертификат не требуется»,— заверил коммерческий директор УЦ Алексей Сенченков. По его словам, атака шла с ресурсов, расположенных в США, Нидерландах и Эстонии. В удостоверяющем центре «Контур», который работает с пострадавшей организацией, подтвердили “Ъ”, что временно недоступны информационные системы партнера, через которого «Контур» помогает получать сертификаты УЦ ФНС. «Получить сертификат определенного класса — руководителя — пока можно только через отделения ФНС»,— рассказали в компании.

Такие организации, как УЦ «Основание», имеют эшелонированную систему кибербезопасности: сегментация внутренней корпоративной сети, многофакторная аутентификация и т. д., рассказывает начальник отдела по кибербезопасности «Кода безопасности» Алексей Коробченко. По его мнению, этого должно быть достаточно для защиты данных пользователей от злоумышленников.

Однако проблема может возникнуть с CRL — это списки «отозванных сертификатов», благодаря которым аутентифицирующий ресурс проверяет легитимность подключающегося пользователя через ЭП, предупреждает руководитель отдела сетевых технологий Angara Security Денис Бандалетов. Соответственно, при недоступности этих списков нет возможности провести аутентификацию на каком-либо ресурсе. «Также недоступность CRL вызовет неработоспособность смежных ресурсов, которые проверяли сертификаты аутентификации на этих порталах»,— заключает эксперт.

Татьяна Исакова