О хакерах в критической инфраструктуре РК было известно еще два года назад

16 февраля на GitHub были опубликованы данные китайской компании iSoon (Anxun), которая является официальным подрядчиком Министерства общественной безопасности Китая (MPS). Известно, что эта компания связана с Chengdu 404 — структурой, которую контролирует киберразведка КНР. Информацию об утечке опубликовали специалисты Центра анализа и расследования кибератак (ЦАРКА).

«На самом деле про то, что хакерская группировка „сидела“ в Казахстане у телеком-операторов, внутри сферы, мы знали. Это обсуждалось, проводились расследования, в основном — в 2021–2022 годах. Да, если бы не произошла утечка, то, возможно, публика бы долгое время и не узнала об этом кейсе. Но, насколько нам известно, орган, отвечающий за информбезопасность, тоже был в курсе. Так же, как и телеком-операторы — были внутренние расследования. Китайская APT-группировка сидела в казахстанской инфраструктуре около двух лет, и это только верхушка айсберга. Сколько еще невыявленных хакеров и утечек наших данных — неизвестно никому», — рассказал Profit.kz Олжас Сатиев, глава ЦАРКА.

Интересен вопрос о том, кому нужна была эта утечка. Ведь если бы «слива» не было, деятельность хакеров по-прежнему оставалась бы в «тени».

«Обнародовал всю эту информацию неизвестный, но ходят слухи, что это могло быть сделано западными спецслужбами — США, Европа, либо Тайвань. В мире сейчас происходит противоборство, это вопрос пиара страны и репутации. Как вы помните, более пяти лет назад была утечка на WikiLeaks о кибероружии АНБ и ЦРУ. И неизвестные, кто выложил это, заявляли, что спецслужбы (ЦРУ, ФБР) проводят кибератаки по всему миру, у них есть инструментарий, они атакуют страны. Здесь, возможно, как раз была „ответочка“, чтобы показать: „вот, компании, работающие тесно с правительством Китая, так же имеют в своем арсенале кибероружие“», — пояснил Олжас Сатиев.

Утечка проливает свет на методы китайской разведки — это ПО, трояны для Windows, Mac, iOS и Android, сервисы для DDoS, системы деанонимизации пользователей соцсетей, оборудование для взлома Wi-Fi и многое другое. Целью атакующих были как общая информация, например базы данных, так и точечная — о конкретных лицах (контроль переписки, звонков и передвижения). Ообъем украденной информации измеряется терабайтами. А источники данных — критические объекты инфраструктуры Казахстана, Кыргызстана, Монголии, Пакистана, Малайзии, Непала, Турции, Индии, Египта, Франции, Камбоджи, Руанды, Нигерии, Гонконга, Индонезии, Вьетнама, Мьянмы, Филиппин и Афганистана. Специалисты говорят, что разведки всего мира и хакеры уже начали активно изучать эту информацию.

Как отметили в ЦАРКА, объем и характер данных указывает на системные ошибки в системе защиты информации в Казахстане. Доступные материалы утечки свидетельствуют о том, что как минимум одна хакерская группировка более двух лет имела полный доступ к критической инфраструктуре отечественных операторов связи. Более того, специалисты подчеркивают, что это еще неполный объем информации, который Казахстан позволил украсть у себя.

Один из файлов, обнаруженных в утечке, содержит информацию об абонентах операторов связи telecom.kz, beeline.kz, kcell.kz, tele2.kz. Хакеры контролировали журналы событий операторов, продолжительность звонков, IMEI устройств и биллинг звонков. Также были опубликованы персональные данные абонентов IDNET и IDTV, с логинами и паролями.

Более того, в утечке упоминается ЕНПФ за 2019 год. Согласно опубликованной информации ЦАРКА «интрасеть полностью контролируется, и пользовательские данные могут быть проверены на наличие имени, идентификатора, адреса и номера телефона. Основные поля образца: имя, номер телефона, адрес и т. д.». В одном из скринов фигурирует предположительно информация по почтовому серверу Министерства обороны РК, а некоторые скрины включают в себя данные об авиаперевозчике Air Astana. Также найдены файлы, содержащие переписку хакерской группировки между собой, в которой они обсуждают прослушиваемых абонентов и их информацию.

«Мы проверили кто является жертвами данной хакерской группировки и кем они больше всего интересовались. Результаты проверки номеров через различные утечки и GetContact выявили, что целенаправленные атаки совершались, в том числе и на сотрудников силовых структур», — сообщает ЦАРКА.

Среди материалов утечки также имеется документация и описание шпионских программ для мониторинга и сбора информации. Более всего настораживает тот факт, что среди программ фигурирует троян удаленного доступа для Windows x64/x86, который не смогут 95% антивирусных программ, включая Kaspersky, Symantec и другие популярные решения. Троян умеет самостоятельно удаляться и стартовать.

«Вопрос противостояния зарубежным, да и вообще хакерам — это вопрос бюджетов и кадров, — комментирует глава ЦАРКА. — И, к сожалению, в Казахстане с этим есть проблемы. Недостаточно выделяется денег на информбезопасность. Зачастую руководители думают — „кому мы нужны“. Как раз вот этот кейс показывает, что мы нужны, за нами охотятся, нас взламывают, проводят кибершпионаж. Поэтому я считаю, что и деньги должны выделяться больше на ИБ, и нужно делать упор на кадры, а также создание отечественных решений в части информбезопасности».

Между тем, в ЕНПФ уже опровергли утечку персональных данных казахстанцев из базы, отметив, что в опубликованных материалах «приведено лишь описание сайта enpf.kz, сайт является открытым источником информации и не содержит персональных данных вкладчиков и получателей».

Министерство цифрового развития, инноваций и аэрокосмической промышленности РК совместно с Комитетом национальной безопасности проводит анализ полученных материалов.

«По итогу анализа будут проведены внеплановые проверки в соответствующих организациях на предмет соблюдения требований законодательства Республики Казахстан о персональных данных и их защите, а также информационной безопасности», — сообщили в МЦРИАП.

На инцидент отреагировали и депутаты. Так, Екатерина Смышляева потребовала усилить защиту персональных данных казахстанцев. С соответствующим депутатским запросом она выступила на пленарном заседании мажилиса.

«Управление по защите персональных данных со штатной численностью всего четыре единицы осуществляет защиту прав всех граждан РК, а также иностранных граждан, которые прибывают на территорию нашей страны. Это более 20 миллионов субъектов персональных данных. Учитывая внедрение государственного контроля, объем работы вырастет в разы. При этом участие отраслевых государственных органов в вопросах защиты своих же данных, и даже тайн, нельзя назвать полноценным. Это серьезная проблема, поскольку правильные законы при слабом администрировании еще не гарантируют защиту, а их наличие создает опасную иллюзию порядка», — заявила депутат. Она сказала о необходимости увеличить штатную численность уполномоченного органа по вопросам защиты персональных данных или рассмотреть перераспределение функций с возможной их передачей в конкурентную среду.

В KZ-CERT (Национальная служба реагирования на компьютерные инциденты) подтвердили, что в 2022 году АО «ГТС» во взаимодействии с КНБ в инфраструктуре операторов сотовой связи Казахстана выявлена деятельность иностранной хакерской группировки.

«Проверка показала, что злоумышленники получили неправомерный доступ к базам данных еще в 2021 году. Причиной проникновения явилось грубое нарушение мер по обеспечению информационной безопасности со стороны самих операторов связи. Принятыми мерами угрозы и риски нейтрализованы. Организаторы и члены хакерской группировки находятся в международном розыске по инициативе сразу нескольких стран», — сообщили в АО «ГТС».