Перейти к основному контенту
Технологии и медиа ,  
44 493 
Эксклюзив

ФСБ возбудила дело о попытке взлома структуры «Ростеха»

Экс-сотрудника обнинского провайдера заподозрили в попытке взлома научно-производственного предприятия, которое разрабатывает продукцию для ракетно-космической отрасли. Специалист утверждает, что, наоборот, пытался пресечь атаку
Рабочие в цехе на обнинском научно-производственном предприятии «Технология»
Рабочие в цехе на обнинском научно-производственном предприятии «Технология» (Фото: Рамиль Ситдиков / РИА Новости)

Управление Федеральной службы безопасности (ФСБ) по Калужской области возбудило уголовное дело по подозрению в целенаправленной попытке взлома сети Обнинского научно-производственного предприятия «Технология» им. А. Г. Ромашина. Об этом РБК рассказал Никита Демидов, который является фигурантом этого дела.

ОНПП «Технология» входит в ГК «Ростех» и занимается созданием наукоемкой, высокотехнологичной продукции из неметаллических материалов для авиационной, ракетно-космической техники и транспорта. Сети связи и информационные системы предприятия являются объектами так называемой критической информационной инфраструктуры. Дело возбуждено по ч. 1 ст. 274.1 УК (создание, распространение или использование программ, предназначенных для неправомерного воздействия на критическую информационную инфраструктуру России; предусматривает возможность лишения свободы на срок от двух до пяти лет со штрафом в размере до 1 млн руб.), обвинение пока не предъявлено, рассказал Демидов.

Причиной внимания ФСБ, по его словам, стала его деятельность на предыдущем месте работы — в технической поддержке обнинского интернет-провайдера «Макснет Системы» (оказывает услуги под брендом Maxnet). Как утверждает Демидов, в середине прошлого года он предложил своему руководству проверить все роутеры сети на наличие уязвимостей, поскольку, общаясь с пользователями, выяснил, что те, как правило, не меняют заводские настройки и не обновляют оборудование. «Через уязвимости в роутерах злоумышленники могли попадать в сеть провайдера, находить в ней уязвимые телефонные шлюзы и использовать их для звонков от лица абонентов. Наиболее частый сценарий — звонки на платные номера, но потенциально уязвимость могла использоваться и телефонными террористами (для звонков о минировании каких-то объектов. — РБК), что могло нанести большой вред компании, поэтому мы решили регулярно сканировать сеть и предупреждать о найденных проблемах пользователей, чтобы они могли их исправить», — пояснил Демидов.

СМИ узнали о публикации данных миллиона кредитных карт хакерами из России
Политика
Фото:Christian Charisius / dpa / Global Look Press

Сканирование проводилось с помощью бесплатной программы Router Scan. Среди сканируемых адресов оказался IP-адрес ОНПП «Технология», на котором находился электронный почтовый ящик предприятия. По словам Демидова, он сканировал все роутеры, принадлежащие оператору связи, вслепую. Принадлежность клиенту устанавливалась только в случае нахождения проблем на клиентском оборудовании. «При сканировании почтового ящика, который, как потом выяснилось, принадлежал ОНПП «Технология», сработала ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы. — РБК)», — рассказал Демидов. По его словам, из-за пандемии сканирование роутеров он проводил, работая удаленно, с домашнего IP-адреса, поэтому обвинение предъявили ему, а не компании. Через несколько дней после проведения сканирования к Демидову пришло с обыском местное управление ФСБ, а в феврале ему сообщили о возбуждении уголовного дела. «Обвинение пока не выдвинуто, насколько понимаю, следствие проводит очередную экспертизу изъятого у меня жесткого диска», — сообщил он. При этом уже после возбуждения дела адвокат Демидова запросил ОНПП «Технология», состоялся ли взлом и был ли нанесен ущерб предприятию, и получил отрицательный ответ.

«Ростелеком» рассказал об атаках хакеров на банки и ТЭК через подрядчиков
Технологии и медиа
Фото:Андрей Гордеев / Ведомости / ТАСС

Гендиректор «Макснет Системы» Павел Соколовский подтвердил информацию. По его словам, на одном из IP-адресов находился почтовый сервер ОНПП «Технология», но провайдеру не было известно о подключении объекта критической инфраструктуры. «Для организации связи подобных объектов должны использоваться выделенные каналы, выделенные сети и только в крайнем случае (отсутствие технической возможности) публичная сеть интернет. При этом уведомляется оператор, через которого производится подключение, а на его сети устанавливается система защиты подключения, завязанная на ГосСОПКА. Ничего из этого не было сделано», — рассказал Соколовский. В то же время он отметил, что почтовый сервер электронной почты «по определению не является критической инфраструктурой, поскольку влияние его выхода на деятельность предприятия минимально».

Представитель ОНПП «Технология» в ответ на запрос РБК об инциденте с сотрудником «Макснет Системы» отметил, что осенью 2020 года служба информационной безопасности института отследила и пресекла попытку взлома сервера. «Ущерб предприятию не нанесен. Информация о попытке взлома направлена в правоохранительные органы», — сказал он.

РБК направил запрос в центр общественных связей ФСБ.

Как защищают критическую инфраструктуру

С 2018 года в России вступил в силу закон «О безопасности критической информационной инфраструктуры». К такой инфраструктуре относятся сети связи и информационные системы госорганов, банков, организаций, работающих в оборонной, ракетно-космической, энергетической сферах, топливно-энергетическом комплексе, в области атомной энергии, участники телекоммуникационного, транспортного и ряда других рынков. В зависимости от возможного ущерба от потенциальной атаки объектам перечисленных организаций присваивается определенная категория значимости. Владельцы такой инфраструктуры должны соблюдать требования о защите своих объектов и незамедлительно сообщать о попытках взлома.

Почему проверка роутеров привлекла внимание ФСБ

По словам директора по методологии и стандартизации Positive Technologies Дмитрия Кузнецова, то, что собирался сделать сотрудник для своей организации (поиск и анализ уязвимостей инфраструктуры и приложений, используемых организацией), называется тестированием на проникновение, на профессиональном сленге — пентест. Он объясняет, что это совершенно легитимное занятие, и проведение таких тестов обязательно для отдельных видов информационных систем, например для государственных информационных систем и банковских платежных систем. Тестирование предполагает имитацию действий злоумышленника, но многие инструменты (например, специализированный дистрибутив Kali Linux или тот же Router Scan) применяются и пентестерами, и преступниками. «Фактически, чтобы проверить наличие уязвимости в программе или на устройстве, исследователю требуется попытаться взломать исследуемый объект, — пояснил Кузнецов. — В связи с этим такая деятельность связана с профессиональным риском: легитимное «тестирование на проникновение» от преступного «несанкционированного доступа к охраняемой информации» отделяет формальность ― наличие у пентестера разрешения собственника устройства на такой взлом и отсутствие такого разрешения у преступника».

По его словам, чтобы оставаться в правовом поле, квалифицированные пентестеры следуют определенному протоколу: перед началом исследования какого-либо устройства проверяют, что устройство входит в область работ и что владелец разрешает проводить его исследование. «То есть нельзя просто взять и запустить сканер уязвимостей на диапазон сетевых адресов, принадлежащих кому-либо: в этом диапазоне может оказаться чужое устройство, на исследование которого заказчик работ не вправе давать разрешение, и пентест превратится в попытку несанкционированного доступа», — указал Кузнецов. Он также отметил, что в данном случае проверка не привела к каким-то опасным последствиям, но в практике тестирования на проникновения бывают случаи, когда, «казалось бы, безобидные неосторожные действия приводят к срабатыванию аварийной автоматики, отключению систем жизнеобеспечения, авариям».

Хакерская группировка АРТ31 впервые атаковала российские компании
Технологии и медиа
Фото:Global Look Press

Еще один источник РБК на рынке кибербезопасности говорит, что подобный случай не единичен, но в судебной практике сейчас нет специальных методик оценки вредоносности программного обеспечения: «Это отдается на откуп машине: если средства защиты увидели какой-то признак атаки, то событие квалифицируется как угроза». Он также отметил, что при проверке роутеров на уязвимости сотрудник должен был перебирать пароли, установленные на таком оборудовании по умолчанию, что является одной из хакерских техник. «Подобные действия в отношении третьих лиц нельзя проводить без заключения с ними соответствующего договора и подписания авторизационного письма (о том, что заказчик осведомлен и не против подобной проверки)», — указал собеседник РБК.

В то же время он обратил внимание на то, что в данном случае нет злого умысла, то есть состава преступления по ст. 273 УК (создание компьютерных программ, приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации и т.п.; наказывается штрафом и лишением свободы на срок до семи лет, если действия повлекли тяжкие последствия). «Однако на деле такие вопросы решает судья, который может либо оправдать, либо по формальному признаку угрозы дать условный срок», — пояснил он.

СберПро Транспорт

Бизнес с ускорением. Как строительство скоростной железной дороги изменит инфраструктуру

СберПро ВЭД

Близкий импорт. Как развивается торговля со странами Азии и Ближнего Востока

СберПро Финансы

Субсидии для инноваций. Какие меры поддержки бизнеса будут доступны в 2025 году

СберПро Интересное

Востребованные ниши для импортозамещения

СберПро Торговля

Барометр отрасли. Ритейл: одежда, электроника и товары для дома

СберПро Торговля

Купи сейчас, плати потом. Как развивается рынок BNPL и с какими вызовами может столкнуться

СберПро Главная

Как подготовить производство к роботизации и получить нужный эффект

СберПро Главная

Как развивалась квантовая индустрия в 2024 году

СберПро Интересное

Зумеры вышли на работу. Что нужно знать бизнесу о найме нового поколения

СберПро Интересное

Что такое нейросеть и как работает эта технология

Авторы
Теги
Лента новостей
Власти на год продлили требование о продаже валютной выручки Бизнес, 21:12
«Барселона» продлила контракт со вторым бомбардиром команды Спорт, 21:02
Залужный не увидел надежды на «белого лебедя» и возврат границ 1991 года Политика, 20:56
Особенности национальной еды: как возникло разнообразие российской кухни РБК и Перекёсток, 20:52
Минобороны назвало число сбитых за 12 часов над регионами России дронов Политика, 20:42
В Испании засекретили дело об убийстве экс-советника Януковича Портнова Политика, 20:35
В московском аэропорту Жуковский пятый раз за день ограничили полеты Политика, 20:25
Как располагать к себе людей
Интенсив о харизме
Узнать больше
Что такое ТЦК и какова их роль в мобилизации на Украине База знаний, 20:24
Ученые назвали винодельческие регионы с наибольшим климатическим риском Вино, 20:22
Российская теннисистка вышла в полуфинал крупного турнира в Страсбурге Спорт, 20:21
Путин уточнил, для защиты каких регионов будет создана буферная зона Политика, 20:06
Собянин сообщил еще о восьми сбитых беспилотниках, летевших на Москву Политика, 20:03
Сумма пособий для беременных студенток вырастет до 90 тыс. рублей Политика, 20:00
Сборные США и Швейцарии вышли в полуфинал ЧМ по хоккею Спорт, 19:57