В производителе российских БПЛА оказались инсайдеры от ВСУ: вскрылись подробности кибератаки на «Гаскар-Интеграцию»

Компания «Киберсистема» опубликовала отчет о расследовании инцидента, повлекшего уничтожение инфраструктуры неназванной компании, занимающейся продукцией ОПК. Как следует из заявления компании, за атакой стояли хактивисты из BO Team и Ukrainian Cyber Alliance. Речь может идти об июльской атаке на производство БПЛА «Гаскар-Интеграция», расположенное в Подмосковье — как отметил аналитик SearchInform, эксперт Российского совета по международным делам Олег Шакиров в своем телеграм-канале «Кибервойна», атака на «Гаскар» была единственной, ответственность за которую совместно брали BO Team и Ukrainian Cyber Alliance.

SecPost обратился в «Гаскар-Интеграцию» с просьбой уточнить, действительно ли о них идет речь в отчете «Киберсистемы». На момент выхода публикации ответ не поступил. Редакция также обратилась к «Киберсистеме» с просьбой раскрыть детали расследования — ответ также не поступил.

Как утверждали группировки злоумышленников, им удалось похитить почту, чертежи и техническую документацию, исходный код, бухгалтерию и договоры. Утверждалось, что ВСУ были переданы терабайты данных, за этим последовало уничтожение «нескольких сотен серверов и рабочих станций, резервных копий и облачной инфраструктуры». Также отмечалось, что было уничтожено более 47 ТБ данных, 10 ТБ из них — резервные копии.

Телеграм-канал «ЕЖ» (ранее назывался BRIEF, признан иностранным агентом) публиковал ответ пресс-службы «Гаскара» по поводу взлома. Компания заявила, что информация о взломе «не является достоверной». «На компанию была предпринята попытка атаки, компания продолжает работать в штатном режиме, и наши предприятия не останавливали свою работу», — было сказано в заявлении.

«Киберсистема» так описывает инцидент: предпосылками произошедшего стали отсутствие специалистов и средств для обнаружения атаки. При этом администраторы знали о начале атаки, но не приняли необходимых мер.

Последствием атаки стала компрометация виртуализации, среды разработки, средств резервного копирования, рабочих мест, сетевого оборудования и Wi-Fi-контроллера. Были уничтожены 70 ТБ данных, более 2 тысяч хостов. Предприятие при этом столкнулось с простоем длиной более 30 дней.

Источник SecPost из ИБ-отрасли, знакомый с обстоятельствами летнего инцидента в «Гаскар-Интеграции», отметил, что с крайне высокой вероятностью в компании были инсайдеры, завербованные злоумышленниками. По его оценке, предприятие не понесло большого ущерба от атаки: производство велось без существенных средств автоматизации, а утечка бухгалтерии и распорядительной документации — это, по его словам, «ни о чем».

«Но вот что надо подчеркнуть, — говорит эксперт. — Всех завербованных вычислили. Найти их — вообще несерьезная задача, а ответственность за их действия при этом предусмотрена очень высокая, вплоть до преследования за госизмену».

По мнению собеседника редакции, атака не нанесла особого ущерба — и поэтому злоумышленники решили разыграть ситуацию в PR-ключе. «Не получилось серьезно навредить? Сделаем инфоповод», — объясняет их логику эксперт.

«А если еще и россиянина-инсайдера привлекут по итогам инцидента по-серьезному, за госизмену — то это сработает на дестабилизацию. Что тоже выгодно злоумышленникам», — подчеркнул собеседник.

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин, оценивая масштабы ущерба инцидента для SecPost, отметил, что 30 дней простоя — это проблема для любого предприятия, особенно из значимого сектора.

«Но увы, 70 ТБ данных не говорит совсем ни о чем. Это могут быть резервные копии за несколько лет, которые те хранили по требованию регулятора. Насколько я понимаю, к работе компания вернулась, значит, ничего необратимого не случилось», — подчеркнул Полунин.

Полунин отмечает, что трудно дать оценку тем мерам защиты, которые использовались «Гаскаром», исходя из имеющихся данных. Эксперт предполагает, что, вероятно, в компании не было прописанных процедур для таких случаев. Администраторы могли обнаружить взлом, но не иметь представления о том, как ему противостоять. Полунин подчеркивает: в компании должны быть четкие планы для «даже самых катастрофических сценариев».

«Конечно, в нынешних условиях ОПК – это отличная цель для злоумышленников. Даже если не удастся нарушить работы производства, то репутационные потери – тоже хороший результат», — резюмирует Полунин.

Основатель компании «Интернет-Розыск» Игорь Бедеров считает, что кейс «Гаскара» показывает, насколько важно оценивать кандидатов на работу и контрагентов перед тем, как вести с ними работу.

«Весь этот год мы рефлексировали на тему того, что в России блокируются незаконные боты и сервисы по пробиву граждан, основанные на утечках информации. Подскажем сотрудникам безопасности новое обоснование своей работы перед собственниками — это глубокая оценка кандидатов на работу и контрагентов, а также ведение мониторинга киберрисков», — подчеркивает Бедеров.

Сейчас во главу угла, по мнению Бедерова, ставится лояльность сотрудников стране и компании, а также контроль рисков, связанных с атаками на цепочки поставок. Другое важное направление — необходимость своевременно выявлять риски в сети, начиная от попыток вербовки сотрудников и заканчивая подготовкой инфраструктуры к атаке.