Group-IB: хакеры похитили 40 000 учетных записей пользователей госресурсов в 30 странах мира

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, зафиксировала более 40 000 скомпрометированных учетных записей пользователей крупнейших государственных ресурсов в 30 странах мира. Наибольшее количество пострадавших оказалось в Италии (52%), Саудовской Аравии (22%) и Португалии (5%). Предположительно эти данные могли быть проданы на подпольных хакерских форумах или использованы в целенаправленных атаках для кражи денег или информации. CERT-GIB Центр реагирования на инциденты информационной безопасности Group-IB оперативно предупредил уполномоченные государственные организации CERT в этих странах о потенциальной опасности.

Скомпрометированные злоумышленниками учетные записи логины и пароли от личных кабинетов пользователей государственных порталов в 30 странах мира были обнаружены системой Group‑IB Threat Intelligence (Киберразведка). Среди этих сайтов оказались государственные ресурсы Польши (gov.pl), Румынии (gov.ro) и Швейцарии (admin.ch), Министерства обороны Италии (difesa.it), Армии обороны Израиля (idf.il), Правительство Болгарии (government.bg), Министерство финансов Грузии (mof.ge), Управление иммиграционной службы Норвегии udi.no, Министерства иностранных дел Румынии и Италии и так далее.

В списке жертв как госслужащие, военнослужащие, так и рядовые граждане, которые, например, регистрировались на сайтах госуслуг Франции (gouv.fr), Венгрии (gov.hu) и Хорватии (gov.hr). Всего же за последние полтора года системой Threat Intelligence зафиксировано около 40 000 скомпрометированных «учеток» больше всего жертв оказалось в Италии (52%), Саудовской Аравии (22%) и Португалии (5%).

«Отмычка» для личного кабинета

Согласно данным Group-IB, злоумышленники похищали учетные записи с помощью специальных шпионских программ формграбберов, кейлоггеров, таких как Pony Formgrabber, AZORult и Qbot (Qakbot). Заражение пользователей этими вредоносными программами происходило по «классической» схеме через фишинговые рассылки, которые отправлялись злоумышленниками как на корпоративную, так и или личную почту жертв. В письмах находилось вредоносное вложение файл или архив после открытия которого на компьютере пользователя запускался троян, предназначенный для кражи информации.

Например, Pony Formgrabber собирает учетные данные из конфигурационных файлов, баз данных, секретных хранилищ более 70 программ на компьютере жертвы, а затем пересылает информацию на C&C-сервер злоумышленникам. Другой троян-стиллер AZORult, кроме кражи паролей из популярных браузеров, способен похищать данные кошельков криптовалют. Сетевой червь Qbot собирает пароли и логины, используемые пользователем в различных программах, устанавливает клавиатурный шпион, крадет cookie-файлы, активные интернет-сессии, перенаправляет пользователей на поддельные страницы, крадет сертификаты.

«Витрина» данных для продажи

Как правило, украденные «учетки» хакеры сортируют по темам (данные клиентов банков, аккаунты с порталов госучреждений, сборные «комболисты» наборы e-mail/password ) и затем выставляют их на продажу на подпольных хакерских форумах. Аккаунты с госсайтов редко продаются в свободном доступе. Иногда логи (набор скомпрометированных данных) выкладывают без сортировки.

Покупателями подобной информации обычно являются как киберпреступники, так и проправительственные APT-группировки, специализирующиеся на диверсиях и шпионаже. Обладая учетными данными для доступа в личный кабинет пользователя госпортала, хакеры могут получить доступ к конфиденциальной информации, которая связана с этим аккаунтом, а также использовать полученный доступ для попытки проникновения во внутреннюю сеть госучреждения. Компрометация данных даже одного госслужащего несет серьезные риски, так как в результате может быть разглашена коммерческая или государственная тайна.

Масштабы и простота компрометации учетных данных госслужащих различных стран мира наглядно демонстрируют, что пользователи в силу собственной беспечности и отсутствия надежной технологической защиты становятся жертвами хакеров. Вредоносные программы, используемые злоумышленниками для компрометации пользовательских данных, постоянно модифицируются. Для предотвращения подобных атак необходимо не только использовать современные анти-APT системы, но и знать расширенный контекст угрозы когда, где и каким образом данные были скомпрометированы. Это даст возможность предотвратить угрозу компрометации, заранее понимая, как именно и через какой канал будет атаковать злоумышленник.

Александр Калинин

Руководитель отдела мониторинга и реагирования на инциденты информационной безопасно-сти (CERT-GIB)

От пассивного реагирования к международному хантингу

Регулярно обновляемая база данных системы Group-IB Threat Intelligence позволяет получить актуальную информацию о произошедших утечках по всему миру: данные о скомпрометированных логинах и паролях пользователей, информацию об используемом злоумышленниками вредоносном программном обеспечении, данные о провайдерах и хостерах, а также IP-адресах, зараженных вредоносным ПО клиентов. Такая информация дает возможность провести анализ и расследование инцидента, а также предотвратить возможную атаку до того, как она произошла.

В Group-IB также подчеркивают, что помимо технологического оснащения госорганов, важным слагаемым в деле предотвращения атак, ставших следствием масштабной компрометации учетных данных, является международное взаимодействие. В данном случае для информирования об обнаруженной проблеме и предотвращения дальнейших инцидентов специалисты Центра реагирования на инциденты информационной безопасности CERT-GIB связались с государственными центрами (CERT) в 30 странах и уведомили местные команды реагирования об обнаруженных скомпрометированных данных.

Обмен данными системы Threat Intelligence с государственными центрами CERT других стран необходим для успешной совместной борьбы с мошенниками и хакерами. Для нас крайне важно сотрудничество с другими центрами CERT, так как это дает возможность не только вести оперативные мероприятия по реагированию (Incident Response) по всему миру, но и обогащать свою базу знаний о схемах и инструментах атак, индикаторах компрометации и аналитике о существующих или возможных угрозах. Киберпреступность не имеет государственных границ, поэтому и бороться с ней нужно не локально в одной стране, а объединив усилия с другими странами.

Александр Калинин

Руководитель отдела мониторинга и реагирования на инциденты информационной безопасно-сти (CERT-GIB)