Хакер почти две недели жил внутри системы: как была взломана цифровая инфраструктура Latvijas valsts meži

Хакер почти две недели жил внутри системы: как была взломана цифровая инфраструктура Latvijas valsts meži

Злоумышленник проник в систему еще 11 июня, спокойно изучал ее почти две недели, а затем одновременно украл данные, зашифровал серверы и уничтожил резервные копии. История крупнейшей кибератаки на Latvijas valsts meži (LVM) показывает, что даже государственные структуры могут оставаться уязвимыми из-за одной-единственной ошибки.

По мере расследования становятся понятны детали того, как хакеру удалось так долго оставаться незамеченным.

Читайте нас также

Все началось с одного не обновленного сервера

По словам эксперта по кибербезопасности Элвиса Страздиньша, злоумышленник воспользовался уязвимостью в программном обеспечении GEO, которая была известна уже несколько лет и давно должна была быть закрыта обновлением.

Проблема оказалась в том, что практически все серверы предприятия были обновлены, кроме одного. Именно этот забытый сервер стал входной точкой для атаки. После проникновения хакер последовательно использовал другие устаревшие компоненты системы. Некоторые из них, как утверждает эксперт, не обновлялись около семи лет.

Почти две недели без единого тревожного сигнала

Премьер-министр Латвии Андрис Кулбергс сообщил, что первые признаки подозрительной активности были зафиксированы еще 11 июня, однако активная фаза атаки началась только в ночь с 22 на 23 июня.

Все это время злоумышленник фактически находился внутри корпоративной сети, изучая ее структуру, собирая данные и постепенно расширяя свои права доступа. По словам премьера, именно отсутствие механизмов, способных вовремя обнаружить подобную активность, стало одной из главных причин столь масштабного ущерба.

Что успел сделать хакер

За время скрытого пребывания в системе злоумышленник получил доступ примерно к 7000 паролей сотрудников, хотя часть из них могла быть уже неактуальной.

Затем была проведена основная атака:

  • похищены десятки гигабайт внутренних данных;
  • зашифрованы серверы предприятия;
  • удалены резервные копии;
  • оставлено вредоносное программное обеспечение для сохранения доступа.

По данным CERT.lv, в открытый доступ уже попали 44 гигабайта информации, однако специалисты не исключают, что фактический объем украденных данных может оказаться значительно больше.

Читайте Mixer

Почему систему не удалось быстро восстановить

Самым болезненным последствием стало уничтожение резервных копий. Именно поэтому восстановление работы заняло гораздо больше времени, чем при обычной кибератаке.

По предварительным оценкам правительства, специалистам уже удалось вернуть около 85% данных, однако расследование продолжается, а окончательный масштаб ущерба еще предстоит определить.

Требовал ли хакер выкуп?

Официально Министерство земледелия заявляло, что требований о выкупе не поступало.

Однако эксперт Элвис Страздиньш придерживается другого мнения. По его словам, злоумышленник оставил инструкции для связи и предложил обратиться к нему за ключом расшифровки, что фактически является классической схемой работы вирусов-вымогателей (ransomware). По данным эксперта, сумма выкупа могла превышать 600 тысяч евро.

Урок для всей государственной системы

Инцидент с Latvijas valsts meži показал, что современные кибератаки редко происходят мгновенно. Сегодня преступники могут неделями находиться внутри сети, незаметно изучая инфраструктуру и подготавливая удар.

После атаки премьер-министр потребовал провести проверку кибербезопасности государственных учреждений, ускорить внедрение требований Закона о кибербезопасности и создать единый центр координации действий при подобных инцидентах. Кроме того, власти намерены активнее привлекать так называемых «белых хакеров» для регулярного поиска уязвимостей до того, как ими воспользуются преступники.