Уроки кибератаки на Хельсинки

Кибератака на город Хельсинки привела к крупной утечке данных. Но эта кибератака позволила специалистам по кибербезопасности сделать ценные выводы. В ходе расследования были установлены причины инцидента. Кибератака была нацелена на отдел администрации.

На конференции FIRSTCON, прошедшей В Копенгагене 23 июня, Матиас Месия (Matias Mesia), старший специалист Национального центра кибербезопасности Финляндии (NCSC-FI), поделился информацией об инциденте в администрации Хельсинки и поделился методами, использованными для сдерживания и смягчения последствий атаки, предоставив практические рекомендации для коллег, которые могут столкнуться с похожими проблемами кибербезопасности.

Инцидент, о котором идет речь, произошел в конце апреля 2024 г. Кто-то из сотрудников городской администрации 30 апреля отправил в NCSC-FI уведомление о потенциальной утечке данных. После ряда сообщений в СМИ об инциденте, власти Хельсинки 2 мая опубликовали публичное заявление об инциденте, рассказав, что он затронул отдел образования (известен под аббревиатурой KASKO).

В различных структурах администрации Хельсинки насчитывается порядка 40 тыс. сотрудников. Это крупнейший работодатель Финляндии.

В ходе расследования, в котором приняли участие сотрудники администрации Хельсинки, специалисты Национального центра кибербезопасности и партнеры в области цифровой криминалистики, было установлено, что точкой входа для злоумышленников послужило зараженное вредоносным кодом устройство Cisco ASA 5515. Это межсетевой экран, который KASKO использовал в качестве маршрутизатора при VPN-подключениях. Выяснилось, что аппаратное обеспечение было установлено в 2014 году, а обновления на него последний раз устанавливали в 2016 году. Люди, которые отвечали за поддержку устройства, покинули организацию еще в 2017 году.

«Модус операнди» (образ действия) злоумышленников также был установлен на раннем этапе расследования. Установлено, что они вначале использовали брутфорс-метод, который заключался в интенсивном переборе паролей. За ним последовало внедрение вредоносного кода через удаленное соединение между компьютером пользователя и маршрутизатором с использованием программного обеспечения Cisco AnyConnect. Устройство вышло из строя, что позволило хакеру, который вошел в систему с учетными данными, найденными в дарквебе, перемещаться по внутренним системам и получить привилегированный доступ к Microsoft Active Directory, серверу виртуализации и резервному серверу. Тем самым злоумышленнику удалось похитить данные.

Хотя власти Хельсинки изначально осознали весь масштаб инцидента (было похищено около 10 млн документов общим объемом около 2 ТБ), они недооценили его последствия. В первое время предполагалось, что хакеры завладели персональными данными 120 тыс. человек, но потом стало понятно, что им удалось похитить данные 300 тыс. жителей города.

Среди пострадавших от хакерской атаки оказались как муниципальные служащие, так и широкий круг других лиц: заявители на получение пособий по уходу за детьми, сотрудники частных школ, студенты и их родственники.

Как отметил Матиас Месия, группе расследования сразу стало понятно, что пароли к информационным системам не были скомпрометированы. Кроме того, администрация города не получала требований о выкупе, сообщил Месия.

До сих пор специалистам NCSC-FI не удалось установить источник атаки. Правоохранительные органы продолжают расследование инцидента.

В беседе с журналистами Месия поделился главными выводами, которые были сделаны из хельсинкского случая.

• Во-первых, киберинциденты, связанные с компрометацией периферийных устройств, особенно уязвимых или устаревших, следует рассматривать как критические инциденты.
• Во-вторых, организации должны заранее продумать всю логистику реагирования на инциденты и процессы обеспечения непрерывности бизнеса, включая настройку инструментов связи, которые они хотят использовать, и настройку шаблонов рабочих процессов.
• В-третьих, организации должны включать в свои группы расследований специалистов различных профилей, включая как людей с опытом реагирования на киберинциденты, так и людей без такого опыта.

Кроме того, специалист Национального центра кибербезопасности Финляндии поделился некоторыми личными рекомендациями для специалистов по реагированию на инциденты информационной безопасности.

Матиас Месия призвал соблюдать порядок в рабочих чатах — никаких мемов, поменьше болтовни.

• Необходимо больше взаимодействовать и делегировать задачи.
• Используйте временные рамки, особенно для объяснения того, что происходит/произошло, руководящей команде.
• Регулярно сканируйте свои сети.
• Поделитесь информацией об инциденте за пределами вашей сферы — с более широким сообществом и с общественностью.
• Нужно помнить то, что кто-то за вас обязательно заполнит информационный вакуум, если вы не хотите этого делать.
• Осторожно обращайтесь с информацией.
• Уважайте политику и СМИ.

Также Месия рассказал, что инцидент в Хельсинки побудил NCSC-FI разработать новую трехуровневую систему для атрибуции киберинцидентов. Это позволит определять, сколько усилий агентство должно предпринять, и, как следствие, сколько сотрудников NCSC-FI должно участвовать в том или ином расследовании.

Пока что структура атрибуции инцидентов разработана не до конца, но уже принят принцип, согласно которому инциденты классифицируются по трем уровням приоритетности: средний уровень, когда над делом работает несколько сотрудников NCSC-FI; высокий уровень, когда к реагированию подключаются до 10 экспертов центра; и критический уровень, когда над устранением инцидента работают более 10 человек.

Источник: InfoSecurity Magazine