Хакеры обрушили "Дозор-Телепорт" через облако

Internet Outage Detection and Analysis (IODA), который отслеживает перебои с интернетом в разных странах мира, зафиксировал, что сеть "Дозор Телепорта" прекратила работу в 23 часа 28 июня 2023 г. по московскому времени. По оценке главы американской компании Kentik Дага Мадори, "Дозор-Телепорт" вышел из глобальной таблицы маршрутизации в 5 часов 29 июня.

Злоумышленники заменили изображение на сайте компании, установив там логотип ЧВК "Вагнер", а также создали Telegram-канал, в котором разместили украденные данные "Дозор-Телепорта" и заявили о прекращении работы спутниковой группировки, которую использовал оператор.

Как видно из данных IODA, 30 июня, с 15:20, "Дозор-Телепорт" смог восстановить работоспособность сети и большинства сервисов.

По данным ежегодного исследования "VSAT-сети в России", которое проводит ComNews Research, по состоянию на март 2023 г. ГК "АМТЕЛ" входила в десятку крупнейших операторов сетей VSAT в стране, обслуживая 7200 активных VSAT-станций. "АМТЕЛ" использует платформы разработки iDirect и Newtec (принадлежат фирме ST Engineering iDirect со штаб-квартирой в Соединенных Штатах), а также Hughes Network Systems и Comtech EF Data Corporation (обе - США). "Амтел-Связь" и "Дозор-Телепорт" работают через российские спутниковые группировки "Экспресс" и "Ямал".

https://www.comnews.ru/content/224590/2023-03-14/2023-w11/vsat-seti-ros…

АО "Дозор-Телепорт" на 100% принадлежит компании "Амтел-Связь". Реестр акционеров АО "Амтел-Связь" с октября 2014 г. ведет ООО "Оборонрегистр". В июне 2022 г. 33% акций "Амтел-Связь" приобрела ГК "Росатом" (в лице АО "Атомэнергопром"). Одновременно "Атомэнергопром" купил 24,9% долей в ООО "ТелИнТел", которое также входит в группу "АМТЕЛ".

https://www.comnews.ru/content/220733/2022-06-16/2022-w24/rosatom-vyshe…

Генеральный директор ЗАО "Дозор-Телепорт", первый заместитель генерального директора АО "Амтел-Связь" Александр Аносов опубликовал следующее заявление от имени компании: "Дозор-Телепорт" подтверждает факт кибератаки на системы компании. По предварительным данным, была скомпрометирована инфраструктура на стороне облачного провайдера. Сейчас идут работы по восстановлению, большая часть была восстановлена еще вчера, остальное восстанавливается по мере доступа к оборудованию. И отдельно отметим, что в сети распространяется информация о том, чтобы атака была направлена на оператора связи, предоставляющего услуги для Минобороны. Скорее всего, данный вывод связан с историческим логотипом компании, где буква "З" пишется латиницей: "ДоZор". Благодарим всех клиентов за терпение и понимание".

Как уточнил источник ComNews в группе "АМТЕЛ", для атаки злоумышленники использовали инфраструктуру облачного провайдера Selectel, услугами которого пользуются все компании группы, в том числе и "Дозор-Телепорт". По его словам, на это указывает порядок очередности выхода из строя различных ресурсов компании.

Пресс-служба ООО "Селектел" (Selectel) в ответ на запрос ComNews об этой ситуации сообщила: "Selectel не располагает какой-либо информацией о взломе оператора спутниковой связи "Дозор-Телепорт", равно как и о причастности ресурсов Selectel, находящихся под управлением наших клиентов, к этой атаке. Если в результате расследования инцидента следственные органы получат информацию, что атака могла совершаться с ресурсов компании, они обратятся к нам с официальным запросом".

Игорь Ильинчик, который проработал в группе "АМТЕЛ" 15 лет с момента ее основания и до начала 2020 г., был заместителем гендиректора в "Амтел-Связь" и гендиректором "Дозор-Телепорт", рассказал корреспонденту ComNews, что в его бытность в группе "АМТЕЛ" вопросам информационной безопасности (ИБ) не уделялось серьезного внимания - риски оценивались как минимальные, и угроз кибератак тогда не было. "Тем более что управление хабами "АМТЕЛ" всегда было изолировано от общедоступного интернета, - сообщил Игорь Ильинчик. - Но с началом СВО и появлением у группы "АМТЕЛ" портфельного инвестора в лице ГК "Росатом" все резко изменилось. Тем более что у "Росатома" вполне могут быть те или иные объекты на новых территориях. Поэтому компания должна была начать вкладывать серьезные средства в обеспечение информационной безопасности".

Игорь Ильинчик подчеркнул, что российские операторы спутниковой связи де-факто являются стратегическими предприятиями (неслучайно они получили специальный режим работы в пандемию и бронь от мобилизации), поэтому об усилении мер ИБ должен заботиться каждый участник рынка. "Позабавило упоминание буквы Z в логотипе "Дозор-Телепорт" как причина атаки. Серьезный уровень аналитики ситуации", - добавил он.

Специалист Лаборатории компьютерной криминалистики компании F.A.С.С.T. Игорь Михайлов называет основной угрозой для телеком-операторов прогосударственные группировки, применяющие шифровальщики: "Основной угрозой для компаний из телекоммуникационного сектора, как правило, являются атаки прогосударственных групп. В мире за период со второго полугодия 2021 г. по первое полугодие 2022 г. активность в телекоммуникационном секторе проявили 12 APT-групп, действующих в интересах различных стран. За это же время также обнаружено 29 атак групп шифровальщиков на телекоммуникационные компании".

"Однако версия об участии "Вагнера", скорее всего, служит для сокрытия действий других сторон, которые заинтересованы в провокации и могли использовать текущую ситуацию в России как предлог для нападения на одного из заметных операторов спутниковой связи в стране", - говорится в новости, размещенной на портале Security Lab, который является корпоративным ресурсом ПАО "Группа Позитив" (Positive Technologies).

Игорь Михайлов также называет типичной ситуацию, когда одни группировки выдают себя за другие: "Киберпреступные группы нередко выдают себя за другие. Например, под видом Anonimous хакерские атаки осуществляют различные проправительственные группировки. Одним из наиболее распространенных методов обмана является мимикрия под другие хакерские группировки. Такая тактика имеет несколько целей. Во-первых, киберпреступники могут использовать имена более известных группировок, чтобы вызвать панику у жертвы. Это отвлекает внимание специалистов по ИБ на поиск несуществующих следов компрометации, характерных для имитируемой хакерской группы. Также мимикрия может использоваться для ухода от ответственности и уклонения от правосудия".

Также, по мнению авторов Security Lab, ситуацией вокруг ЧВК "Вагнер" воспользовались авторы одноименного вредоносного ПО, относящегося к классу вайперов, которое уничтожает информацию в захваченной инфраструктуре. Активное распространение зловредов данного класса ИБ-компании зафиксировали еще в начале 2022 г.

https://www.comnews.ru/content/220830/2022-06-22/2022-w25/vaypery-ataku…

По данным исследования, проведенного интегратором "Инфосистемы Джет", риск эксплуатации доверия входит в топ-5 наиболее критичных и вероятных среди других типов операционных рисков за последние три года. Но при этом мероприятия по оценке поставщика по линии ИБ проводит лишь 10% российских компаний. Не являются исключением даже ИБ-вендоры.

https://www.comnews.ru/content/227117/2023-06-29/2023-w26/proveryayut-p…

По мнению главного специалиста отдела комплексных систем защиты "Газинформсервис" Дмитрия Овчинникова, при расследовании атак с использованием вредоносного ПО, в том числе вымогательского или вайперов, нельзя исключать и действия инсайдера: "Это может быть бывший коллега, которому вовремя не закрыли доступ или он не знал об уязвимости в вашей сети. Без детального расследования это установить нельзя, так что не спешите обвинять своих коллег в преступных действиях. Но и сбрасывать со счетов такой вариант тоже нельзя. Это плохой вариант, так как вам могут напакостить из чувства мести".

Однако не реже в ходе атак используются разного рода незакрытые уязвимости. К примеру, в ходе атаки на Федеральную таможенную службу в апреле группировка Core3 применила для уничтожения данных уязвимость нулевого дня. Устранение данного инцидента заняло несколько дней, а ведомству пришлось частично перейти на бумажный документооборот.

https://www.comnews.ru/content/225440/2023-04-13/2023-w15/rossiyskie-ta…

Восстановление инфраструктуры оператора может занять продолжительное время. Как напоминает Игорь Михайлов, восстановление зависит от множества факторов, связанных как с квалификацией злоумышленников, так и с дальнейшими действиями пострадавших: "Восстановление после атаки может оказаться достаточно болезненным и затянуться на несколько месяцев. В нашей практике проведено достаточно исследований подобных инцидентов, в каждом из которых нанесенный ущерб прежде всего зависел от компетенций и мотивации атакующих. В процессе развития атаки злоумышленники могут использовать достаточно изощренные методы закрепления в инфраструктуре, в том числе на различных сетевых устройствах. Например, про то, что сетевые устройства могут быть скомпрометированы, часто забывают, а это позволяет атакующим проводить атаки на компанию вновь и вновь. Для доступа к внутреннему ИТ-периметру злоумышленники могут эксплуатировать не только уязвимости публично доступных сервисов жертвы, но и ранее скомпрометированные учетные данные удаленного доступа к периметру. При реализации деструктивных действий злоумышленники могут как удалять или шифровать данные штатными средствами, имеющимися в операционных системах, так и использовать ранее "утекшие" программы-вымогатели, настроенные для уничтожения информации".

"Лаборатория Касперского", "Гарда Технологии", BI.Zone отказались от комментариев по ситуации с кибератакой на сеть "Дозор-Телепорт".

По данным ФНС, выручка АО "Дозор-Телепорт" в 2022 г. составила 406,5 млн руб. (в 2021 г. - 816,9 млн руб.), а выручка АО "Амтел-Связь" - 486,6 млн руб. в 2022 г. и 400,3 млн руб. годом ранее. "ТелИнТел" в те же периоды заработал, соответственно, 178,2 млн руб. и 163 млн руб.