Вечером 12 марта злоумышленники произвели кибератаку на российских госслужащих и сотрудников общественных организаций. Многие из них («Мошеловке» известно о массовой рассылке среди работников соцзащиты, ЖКХ и некоторых других отраслей) получили по почте письмо якобы от МВД со ссылкой на вирус, перехватывающий управление компьютером.
Приведем сочинение злоумышленников полностью:
Матчасть преступники изучили не очень хорошо.
Письмо написано от имени несуществующего подразделения МВД. Сотрудники различных учреждений и ведомств не подчиняются распоряжениям «сотрудников МВД» по поводу установки какого-либо программного обеспечения. Да и обращение «коллеги» по отношению к коммунальщикам от правоохранителей звучит очень странно.
А вот сообщение о массовых кибератаках на госслужащих в конце письма похоже на правду. В мошеннических письмах, которые люди пересылали в «Мошеловку» раньше, нередко содержались предупреждения именно о том виде преступления, который и пытались совершить злоумышленники.
Специалисты «Мошеловки» передали информацию в правоохранительные органы и корпорацию «Яндекс», которая оперативно отреагировала на ситуацию и заблокировала ссылку.
Вирус сейчас изучают специалисты по информационной безопасности. Уже ясно, что программа позволяет злоумышленникам получить полный доступ к зараженному компьютеру: не только получить данные, но и работать на нем под видом легального пользователя.
Почему мы уделяем внимание обычной, казалось бы, рассылке сообщения с вирусом, ведь этой схеме уже не один десяток лет? Дело в том, что злоумышленники адресно угрожали государственным организациям. А значит, под ударом мог оказаться не как обычно один доверчивый человек, а большие группы людей, которые никак от атаки защититься не могут.
Вирусы, перехватывающие контроль над компьютером, крайне опасны. Они позволяют:
- проводить платежные операции от имени пользователя;
- получить доступ ко всем данным, хранящимся на компьютере и во внутренней сети организации;
- если на жестком диске хранится секретный ключ электронной подписи, преступникам доступны любые операции из широкого спектра мошенничеств в области электронного документооборота (мы о них уже писали подробно);
- проводить с пользовательского компьютера DDoS-атаки.
Если вирус попал в сеть государственного учреждения, использующего государственные информационные системы, его хозяева могут создавать фальшивые документы, которые никак не отличаются от настоящих. Они будут подписаны электронной подписью служащего, нарушившего правила кибербезопасности, а при распространении вируса – и всех служащих организации, включая руководство.
«Это уже не просто мошенничество, а полноценный акт кибервойны, нацеленный на повреждение критической информационной инфраструктуры регионов и страны в целом», – считает руководитель проекта Народного фронта и создатель платформы «Мошеловка» Евгения Лазарева.
Об атаке именно на госучреждения может говорить и выбор названия для поддельного антивируса. Компоненты некоторых широко известных государственных информационных систем названы именами божеств римского пантеона. Например, Федеральная государственная информационная система «Меркурий».
ФГИС «Меркурий» – это среда для создания электронной ветеринарной сопроводительной документации (эВСД), то есть, справок о том, что продукты питания прошли предусмотренный законом контроль и безопасны для потребителя. Системой пользуются в государственных ветеринарных учреждениях, на скотоводческих предприятиях, в организациях, торгующих продуктами питания и поставляющих питание в том числе для детских учреждений. Поддельная эВСД – это прямая угроза потребителю.
Менее распространена система «Аргус». В нее вносятся данные о подведомственных Россельхознадзору товарах, проходящих таможенный контроль. Это и живые животные, и продукты питания животного и растительного происхождения.
Государственные информационные системы есть практически во всех отраслях России, в том числе в сфере ЖКХ и соцзащиты. Несанкционированное использование каждой из них – это как минимум утечка данных разной степени важности, а ка максимум – реальная опасность для граждан.
Рассылка вируса «Аврора» выявила уязвимости в обеспечении безопасности отдельных госслужб. Если сотрудники получили такие письма по корпоративной почте, значит, как минимум настройки безопасности почтовых серверов следует привести в порядок. И, конечно, атака госучреждений – повод для глубокого аудита систем безопасности любой организации вне зависимости от ее формы собственности. Ведь при подобной атаке на бухгалтерию становятся уязвимы счета компании, злоумышленники получают информацию, составляющую коммерческую тайну – и это только самые очевидные последствия хакерской атаки.
«На этот раз атака была вовремя обнаружена, меры приняли быстро. Но мы не исключаем и повторных атак, использования других файлообменников, появления вируса на форумах, где бесплатно распространяется программное обеспечение», – предупредила Евгения Лазарева.
Эксперты «Мошеловки» рекомендуют:
- провести инструктаж сотрудников по вопросам компьютерной грамотности,
- донести до людей, какие действия недопустимы на рабочем, домашнем компьютере и мобильных устройствах;
- усилить защищенность, запретив сотрудникам любого ранга доступ к соцсетям, личной почте, веб-версиям мессенджеров, если в этом нет производственной необходимости;
- при необходимости работы в соцсетях настроить доступ к этим ресурсам из специально выделенного малодоверенного сегмента сети и запретить пересылку сообщений и перенос файлов в «чистую» сеть;
- провести проверку защищенности компьютерных сетей организации;
- максимально заменить программное обеспечение, обслуживание которого прекращено разработчиками из-за санкций, на аналогичные программы с открытым кодом или отечественного производства;
- регулярно обновлять базы антивирусных программ.
