Специалисты Group-IB обнаружили более 40 000 скомпрометированных учетных записей пользователей крупнейших государственных ресурсов в 30 странах мира. Наибольшее количество пострадавших обнаружено в Италии (52%), Саудовской Аравии (22%) и Португалии (5%). Предположительно эти данные могли быть проданы на подпольных хакерских форумах или использованы в целенаправленных атаках для кражи денег или информации. CERT-GIB (Центр реагирования на инциденты информационной безопасности Group-IB) оперативно предупредил уполномоченные государственные организации CERT в этих странах о потенциальной опасности.
Скомпрометированные злоумышленниками учетные записи — логины и пароли от личных кабинетов пользователей государственных порталов в 30 странах мира – были обнаружены системой Group-IB Threat Intelligence (Киберразведка). Среди этих сайтов оказались государственные ресурсы Польши (gov.pl), Румынии (gov.ro) и Швейцарии (admin.ch), Министерства обороны Италии (difesa.it), Армии обороны Израиля (idf.il), Правительство Болгарии (government.bg), Министерство финансов Грузии (mof.ge), Управление иммиграционной службы Норвегии udi.no, Министерства иностранных дел Румынии и Италии и так далее.
В списке жертв как госслужащие, военнослужащие, так и рядовые граждане, которые, например, регистрировались на сайтах госуслуг Франции (gouv.fr), Венгрии (gov.hu) и Хорватии (gov.hr). Всего же за последние полтора года было зафиксировано около 40 000 скомпрометированных учетных записей.
«Отмычка» для личного кабинета
Согласно данным исследователей, злоумышленники похищали учетные записи с помощью специальных шпионских программ — формграбберов, кейлоггеров, таких как Pony Formgrabber, AZORult и Qbot (Qakbot). Заражение пользователей малварью происходило по классической схеме — через фишинговые рассылки, которые отправлялись злоумышленниками как на корпоративную, так и или личную почту жертв. В письмах находилось вредоносное вложение — файл или архив – после открытия которого на компьютере пользователя запускался троян, предназначенный для кражи информации.
Например, Pony Formgrabber собирает учетные данные из конфигурационных файлов, баз данных, секретных хранилищ более 70 программ на компьютере жертвы, а затем пересылает информацию на управляющий сервер злоумышленникам. Другой троян-стиллер, AZORult, кроме кражи паролей из популярных браузеров, способен похищать данные кошельков криптовалют. Сетевой червь Qbot собирает пароли и логины, используемые пользователем в различных программах, устанавливает клавиатурный шпион, крадет cookie-файлы, активные интернет-сессии, перенаправляет пользователей на поддельные страницы, крадет сертификаты.
«Витрина» данных для продажи
Как правило, украденные «учетки» хакеры сортируют по темам (данные клиентов банков, аккаунты с порталов госучреждений, сборные «комболисты» — наборы e-mail/password ) и затем выставляют их на продажу на подпольных хакерских форумах. Аккаунты с госсайтов редко продаются в свободном доступе. Иногда логи выкладывают без сортировки.
Покупателями подобной информации обычно являются как киберпреступники, так и проправительственные APT-группировки, специализирующиеся на диверсиях и шпионаже. Обладая учетными данными для доступа в личный кабинет пользователя госпортала, хакеры могут получить доступ к конфиденциальной информации, которая связана с этим аккаунтом, а также использовать полученный доступ для попытки проникновения во внутреннюю сеть госучреждения. Компрометация данных даже одного госслужащего несет серьезные риски, так как в результате может быть разглашена коммерческая или государственная тайна.
«Масштабы и простота компрометации учетных данных госслужащих различных стран мира наглядно демонстрируют, что пользователи в силу собственной беспечности и отсутствия надежной технологической защиты становятся жертвами хакеров, — замечает Александр Калинин, руководитель отдела мониторинга и реагирования на инциденты информационной безопасности (CERT-GIB). — Вредоносные программы, используемые злоумышленниками для компрометации пользовательских данных, постоянно модифицируются. Для предотвращения подобных атак необходимо не только использовать современные анти-APT системы, но и знать расширенный контекст угрозы — когда, где и каким образом данные были скомпрометированы. Это даст возможность предотвратить угрозу компрометации, заранее понимая, как именно и через какой канал будет атаковать злоумышленник».
От пассивного реагирования – к международному хантингу
В Group-IB подчеркивают, что помимо технологического оснащения госорганов, важным слагаемым в деле предотвращения атак, ставших следствием масштабной компрометации учетных данных, является международное взаимодействие. В данном случае для информирования об обнаруженной проблеме и предотвращения дальнейших инцидентов специалисты Центра реагирования на инциденты информационной безопасности CERT-GIB связались с государственными центрами (CERT) в 30 странах и уведомили местные команды реагирования об обнаруженных скомпрометированных данных.
«Обмен данными системы Threat Intelligence с государственными центрами CERT других стран необходим для успешной совместной борьбы с мошенниками и хакерами, — подчеркивает Александр Калинин, — Для нас крайне важно сотрудничество с другими центрами CERT, так как это дает возможность не только вести оперативные мероприятия по реагированию (Incident Response) по всему миру, но и обогащать свою базу знаний о схемах и инструментах атак, индикаторах компрометации и аналитике о существующих или возможных угрозах. Киберпреступность не имеет государственных границ, поэтому и бороться с ней нужно не локально в одной стране, а объединив усилия с другими странами».