Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

ФСБ возбудила дело о попытке взлома структуры «Ростеха»

Экс-сотрудника обнинского провайдера заподозрили в попытке взлома научно-производственного предприятия, которое разрабатывает продукцию для ракетно-космической отрасли. Специалист утверждает, что, наоборот, пытался пресечь атаку
Рабочие в цехе на обнинском научно-производственном предприятии «Технология»
Рабочие в цехе на обнинском научно-производственном предприятии «Технология» (Фото: Рамиль Ситдиков / РИА Новости)

Управление Федеральной службы безопасности (ФСБ) по Калужской области возбудило уголовное дело по подозрению в целенаправленной попытке взлома сети Обнинского научно-производственного предприятия «Технология» им. А. Г. Ромашина. Об этом РБК рассказал Никита Демидов, который является фигурантом этого дела.

ОНПП «Технология» входит в ГК «Ростех» и занимается созданием наукоемкой, высокотехнологичной продукции из неметаллических материалов для авиационной, ракетно-космической техники и транспорта. Сети связи и информационные системы предприятия являются объектами так называемой критической информационной инфраструктуры. Дело возбуждено по ч. 1 ст. 274.1 УК (создание, распространение или использование программ, предназначенных для неправомерного воздействия на критическую информационную инфраструктуру России; предусматривает возможность лишения свободы на срок от двух до пяти лет со штрафом в размере до 1 млн руб.), обвинение пока не предъявлено, рассказал Демидов.

Причиной внимания ФСБ, по его словам, стала его деятельность на предыдущем месте работы — в технической поддержке обнинского интернет-провайдера «Макснет Системы» (оказывает услуги под брендом Maxnet). Как утверждает Демидов, в середине прошлого года он предложил своему руководству проверить все роутеры сети на наличие уязвимостей, поскольку, общаясь с пользователями, выяснил, что те, как правило, не меняют заводские настройки и не обновляют оборудование. «Через уязвимости в роутерах злоумышленники могли попадать в сеть провайдера, находить в ней уязвимые телефонные шлюзы и использовать их для звонков от лица абонентов. Наиболее частый сценарий — звонки на платные номера, но потенциально уязвимость могла использоваться и телефонными террористами (для звонков о минировании каких-то объектов. — РБК), что могло нанести большой вред компании, поэтому мы решили регулярно сканировать сеть и предупреждать о найденных проблемах пользователей, чтобы они могли их исправить», — пояснил Демидов.

СМИ узнали о публикации данных миллиона кредитных карт хакерами из России
Политика
Фото:Christian Charisius / dpa / Global Look Press

Сканирование проводилось с помощью бесплатной программы Router Scan. Среди сканируемых адресов оказался IP-адрес ОНПП «Технология», на котором находился электронный почтовый ящик предприятия. По словам Демидова, он сканировал все роутеры, принадлежащие оператору связи, вслепую. Принадлежность клиенту устанавливалась только в случае нахождения проблем на клиентском оборудовании. «При сканировании почтового ящика, который, как потом выяснилось, принадлежал ОНПП «Технология», сработала ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы. — РБК)», — рассказал Демидов. По его словам, из-за пандемии сканирование роутеров он проводил, работая удаленно, с домашнего IP-адреса, поэтому обвинение предъявили ему, а не компании. Через несколько дней после проведения сканирования к Демидову пришло с обыском местное управление ФСБ, а в феврале ему сообщили о возбуждении уголовного дела. «Обвинение пока не выдвинуто, насколько понимаю, следствие проводит очередную экспертизу изъятого у меня жесткого диска», — сообщил он. При этом уже после возбуждения дела адвокат Демидова запросил ОНПП «Технология», состоялся ли взлом и был ли нанесен ущерб предприятию, и получил отрицательный ответ.

«Ростелеком» рассказал об атаках хакеров на банки и ТЭК через подрядчиков
Технологии и медиа
Фото:Андрей Гордеев / Ведомости / ТАСС

Гендиректор «Макснет Системы» Павел Соколовский подтвердил информацию. По его словам, на одном из IP-адресов находился почтовый сервер ОНПП «Технология», но провайдеру не было известно о подключении объекта критической инфраструктуры. «Для организации связи подобных объектов должны использоваться выделенные каналы, выделенные сети и только в крайнем случае (отсутствие технической возможности) публичная сеть интернет. При этом уведомляется оператор, через которого производится подключение, а на его сети устанавливается система защиты подключения, завязанная на ГосСОПКА. Ничего из этого не было сделано», — рассказал Соколовский. В то же время он отметил, что почтовый сервер электронной почты «по определению не является критической инфраструктурой, поскольку влияние его выхода на деятельность предприятия минимально».

Представитель ОНПП «Технология» в ответ на запрос РБК об инциденте с сотрудником «Макснет Системы» отметил, что осенью 2020 года служба информационной безопасности института отследила и пресекла попытку взлома сервера. «Ущерб предприятию не нанесен. Информация о попытке взлома направлена в правоохранительные органы», — сказал он.

РБК направил запрос в центр общественных связей ФСБ.

Как защищают критическую инфраструктуру

С 2018 года в России вступил в силу закон «О безопасности критической информационной инфраструктуры». К такой инфраструктуре относятся сети связи и информационные системы госорганов, банков, организаций, работающих в оборонной, ракетно-космической, энергетической сферах, топливно-энергетическом комплексе, в области атомной энергии, участники телекоммуникационного, транспортного и ряда других рынков. В зависимости от возможного ущерба от потенциальной атаки объектам перечисленных организаций присваивается определенная категория значимости. Владельцы такой инфраструктуры должны соблюдать требования о защите своих объектов и незамедлительно сообщать о попытках взлома.

Почему проверка роутеров привлекла внимание ФСБ

По словам директора по методологии и стандартизации Positive Technologies Дмитрия Кузнецова, то, что собирался сделать сотрудник для своей организации (поиск и анализ уязвимостей инфраструктуры и приложений, используемых организацией), называется тестированием на проникновение, на профессиональном сленге — пентест. Он объясняет, что это совершенно легитимное занятие, и проведение таких тестов обязательно для отдельных видов информационных систем, например для государственных информационных систем и банковских платежных систем. Тестирование предполагает имитацию действий злоумышленника, но многие инструменты (например, специализированный дистрибутив Kali Linux или тот же Router Scan) применяются и пентестерами, и преступниками. «Фактически, чтобы проверить наличие уязвимости в программе или на устройстве, исследователю требуется попытаться взломать исследуемый объект, — пояснил Кузнецов. — В связи с этим такая деятельность связана с профессиональным риском: легитимное «тестирование на проникновение» от преступного «несанкционированного доступа к охраняемой информации» отделяет формальность ― наличие у пентестера разрешения собственника устройства на такой взлом и отсутствие такого разрешения у преступника».

По его словам, чтобы оставаться в правовом поле, квалифицированные пентестеры следуют определенному протоколу: перед началом исследования какого-либо устройства проверяют, что устройство входит в область работ и что владелец разрешает проводить его исследование. «То есть нельзя просто взять и запустить сканер уязвимостей на диапазон сетевых адресов, принадлежащих кому-либо: в этом диапазоне может оказаться чужое устройство, на исследование которого заказчик работ не вправе давать разрешение, и пентест превратится в попытку несанкционированного доступа», — указал Кузнецов. Он также отметил, что в данном случае проверка не привела к каким-то опасным последствиям, но в практике тестирования на проникновения бывают случаи, когда, «казалось бы, безобидные неосторожные действия приводят к срабатыванию аварийной автоматики, отключению систем жизнеобеспечения, авариям».

Хакерская группировка АРТ31 впервые атаковала российские компании
Технологии и медиа
Фото:Global Look Press

Еще один источник РБК на рынке кибербезопасности говорит, что подобный случай не единичен, но в судебной практике сейчас нет специальных методик оценки вредоносности программного обеспечения: «Это отдается на откуп машине: если средства защиты увидели какой-то признак атаки, то событие квалифицируется как угроза». Он также отметил, что при проверке роутеров на уязвимости сотрудник должен был перебирать пароли, установленные на таком оборудовании по умолчанию, что является одной из хакерских техник. «Подобные действия в отношении третьих лиц нельзя проводить без заключения с ними соответствующего договора и подписания авторизационного письма (о том, что заказчик осведомлен и не против подобной проверки)», — указал собеседник РБК.

В то же время он обратил внимание на то, что в данном случае нет злого умысла, то есть состава преступления по ст. 273 УК (создание компьютерных программ, приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации и т.п.; наказывается штрафом и лишением свободы на срок до семи лет, если действия повлекли тяжкие последствия). «Однако на деле такие вопросы решает судья, который может либо оправдать, либо по формальному признаку угрозы дать условный срок», — пояснил он.

Авторы
Теги
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Курс евро на 4 октября
EUR ЦБ: 104,87 (+0,42)
Инвестиции, 03 окт, 17:56
Курс доллара на 4 октября
USD ЦБ: 95,03 (+0,52)
Инвестиции, 03 окт, 17:56
Axios назвал целью новых атак ЦАХАЛ в Ливане «второе лицо» «Хезболлы»Политика, 02:20
В Одинцово ссора четырех мужчин переросла в драку со стрельбойОбщество, 02:04
NYT сообщила об отказе команды Трампа ответить на вопросы о его здоровьеПолитика, 01:44
Посол России Антонов заявил, что США «толкают» мир к ядерной катастрофеПолитика, 01:38
В Дагестане закрыли АЗС после гибели 13 человек при взрыве на заправкеОбщество, 01:02
ВВС Израиля совершили авианалеты на «оплот» «Хезболлы» на юге БейрутаПолитика, 00:48
Медведев назвал «единственную форму привлечения» россиян на спецоперациюПолитика, 00:33
Здоровый сон: как легче засыпать и просыпаться
Интенсив РБК Pro поможет улучшить качество сна и восстановить режим
Подробнее
«Манчестер Юнайтед» не победил в Еврокубке после данных об уходе тренераСпорт, 00:23
В Киеве и Одессе прозвучали взрывыПолитика, 00:16
Падение цен на вторичное жилье в России в сентябре замедлилось вдвоеНедвижимость, 00:00
В посольство России в Финляндии поступил ложный звонок о минированииПолитика, 03 окт, 23:59
Над Белгородской областью сбили два беспилотникаПолитика, 03 окт, 23:34
Пентагон объяснил отказ Запада сбивать российские ракеты над УкраинойПолитика, 03 окт, 23:33
Блогеру Лерчек и ее бывшему мужу предъявили новое обвинениеОбщество, 03 окт, 23:21