По информации специалистов, группировка вела свою деятельность скрытно. Для кражи файлов запускались вредоносные программы, которые маскировались под легитимные процессы операционной системы или другие установленные программные обеспечения, подписанные реальными разработчиками, сообщает Caravan.kz со ссылкой на пресс-службу ГТС.
При этом зараженные программы не вызывали подозрений у обычных пользователей и даже у системных администраторов.
"Хакеры использовали бреши в защите, так называемое 0-day уязвимости, а также ранее неизвестное для антивирусных лабораторий вредоносное программное обеспечение, то есть APT. Средства защиты информации не детектировали данное вредоносное программное обеспечение, что позволяло хакерам беспрепятственно вести деятельность", – сообщили в ГТС.
В ГТС отметили, что злоумышленникам удалось скомпрометировать основные элементы информационно-коммуникационных инфраструктур госорганов и организаций, в том числе были зафиксированы факты компрометации рабочих станций руководителей.
По полученным данным специалисты сообщили, что в госорганизациях орудовала хакерская группировка, которая действовала в интересах иностранного государства. Также выяснилось, группировка состояла из высококлассных специалистов, имеющих серьезную финансовую поддержку.
Кибершпионы имели устойчивые каналы связи с инфраструктурами жертв, кроме которых имелся и арсенал резервных. Они вели высокотехнологичный кибершпионаж, при котором госорганизации не подозревали о наличии постороннего в своей инфраструктуре. Все работало, как и прежде, антивирусное программное обеспечение выявляло только ранее известное вредоносное программное обеспечение, электронные документы на компьютерах не пропадали, инфраструктура работала стабильно, и не возникало подозрений, что некие сторонние силы крадут сведения, циркулирующие в организации. Хакеров интересовала только «чувствительная» информация, они не крали все подряд.
Для эффективного реагирования на данный инцидент и вытеснения группировки из инфраструктур АО "ГТС" и КНБ совместно с госорганами и организациями проведена работа по изучению методов проникновения злоумышленников и подготовке соответствующей инфраструктуры.
Эти действия потребовали значительных усилий, так как имелись серьезные недочеты в организации защиты. Исходя из имеющейся информации о присутствии злоумышленников в инфраструктурах «жертв», для качественной зачистки требовались кардинальные меры.
Для исключения функционирования резервных каналов сбора информации ГТС и КНБ произвели зачистку, в ходе которой любые подозрительные активности воспринимались через призму нулевого доверия и тщательно проверялись.
Специалисты добавили, что попытки возврата в инфраструктуру фиксировались ежедневно, группировка использовала разные методы атак: фишинговые письма, поиск уязвимостей, различные сетевые атаки. Однако повторные компрометации не были допущены.