ФСБ возбудила дело о попытке взлома структуры «Ростеха»
Управление Федеральной службы безопасности (ФСБ) по Калужской области возбудило уголовное дело по подозрению в целенаправленной попытке взлома сети Обнинского научно-производственного предприятия «Технология» им. А. Г. Ромашина. Об этом РБК рассказал Никита Демидов, который является фигурантом этого дела.
ОНПП «Технология» входит в ГК «Ростех» и занимается созданием наукоемкой, высокотехнологичной продукции из неметаллических материалов для авиационной, ракетно-космической техники и транспорта. Сети связи и информационные системы предприятия являются объектами так называемой критической информационной инфраструктуры. Дело возбуждено по ч. 1 ст. 274.1 УК (создание, распространение или использование программ, предназначенных для неправомерного воздействия на критическую информационную инфраструктуру России; предусматривает возможность лишения свободы на срок от двух до пяти лет со штрафом в размере до 1 млн руб.), обвинение пока не предъявлено, рассказал Демидов.
Причиной внимания ФСБ, по его словам, стала его деятельность на предыдущем месте работы — в технической поддержке обнинского интернет-провайдера «Макснет Системы» (оказывает услуги под брендом Maxnet). Как утверждает Демидов, в середине прошлого года он предложил своему руководству проверить все роутеры сети на наличие уязвимостей, поскольку, общаясь с пользователями, выяснил, что те, как правило, не меняют заводские настройки и не обновляют оборудование. «Через уязвимости в роутерах злоумышленники могли попадать в сеть провайдера, находить в ней уязвимые телефонные шлюзы и использовать их для звонков от лица абонентов. Наиболее частый сценарий — звонки на платные номера, но потенциально уязвимость могла использоваться и телефонными террористами (для звонков о минировании каких-то объектов. — РБК), что могло нанести большой вред компании, поэтому мы решили регулярно сканировать сеть и предупреждать о найденных проблемах пользователей, чтобы они могли их исправить», — пояснил Демидов.
Сканирование проводилось с помощью бесплатной программы Router Scan. Среди сканируемых адресов оказался IP-адрес ОНПП «Технология», на котором находился электронный почтовый ящик предприятия. По словам Демидова, он сканировал все роутеры, принадлежащие оператору связи, вслепую. Принадлежность клиенту устанавливалась только в случае нахождения проблем на клиентском оборудовании. «При сканировании почтового ящика, который, как потом выяснилось, принадлежал ОНПП «Технология», сработала ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы. — РБК)», — рассказал Демидов. По его словам, из-за пандемии сканирование роутеров он проводил, работая удаленно, с домашнего IP-адреса, поэтому обвинение предъявили ему, а не компании. Через несколько дней после проведения сканирования к Демидову пришло с обыском местное управление ФСБ, а в феврале ему сообщили о возбуждении уголовного дела. «Обвинение пока не выдвинуто, насколько понимаю, следствие проводит очередную экспертизу изъятого у меня жесткого диска», — сообщил он. При этом уже после возбуждения дела адвокат Демидова запросил ОНПП «Технология», состоялся ли взлом и был ли нанесен ущерб предприятию, и получил отрицательный ответ.
Гендиректор «Макснет Системы» Павел Соколовский подтвердил информацию. По его словам, на одном из IP-адресов находился почтовый сервер ОНПП «Технология», но провайдеру не было известно о подключении объекта критической инфраструктуры. «Для организации связи подобных объектов должны использоваться выделенные каналы, выделенные сети и только в крайнем случае (отсутствие технической возможности) публичная сеть интернет. При этом уведомляется оператор, через которого производится подключение, а на его сети устанавливается система защиты подключения, завязанная на ГосСОПКА. Ничего из этого не было сделано», — рассказал Соколовский. В то же время он отметил, что почтовый сервер электронной почты «по определению не является критической инфраструктурой, поскольку влияние его выхода на деятельность предприятия минимально».
Представитель ОНПП «Технология» в ответ на запрос РБК об инциденте с сотрудником «Макснет Системы» отметил, что осенью 2020 года служба информационной безопасности института отследила и пресекла попытку взлома сервера. «Ущерб предприятию не нанесен. Информация о попытке взлома направлена в правоохранительные органы», — сказал он.
РБК направил запрос в центр общественных связей ФСБ.
Как защищают критическую инфраструктуру
С 2018 года в России вступил в силу закон «О безопасности критической информационной инфраструктуры». К такой инфраструктуре относятся сети связи и информационные системы госорганов, банков, организаций, работающих в оборонной, ракетно-космической, энергетической сферах, топливно-энергетическом комплексе, в области атомной энергии, участники телекоммуникационного, транспортного и ряда других рынков. В зависимости от возможного ущерба от потенциальной атаки объектам перечисленных организаций присваивается определенная категория значимости. Владельцы такой инфраструктуры должны соблюдать требования о защите своих объектов и незамедлительно сообщать о попытках взлома.
Почему проверка роутеров привлекла внимание ФСБ
По словам директора по методологии и стандартизации Positive Technologies Дмитрия Кузнецова, то, что собирался сделать сотрудник для своей организации (поиск и анализ уязвимостей инфраструктуры и приложений, используемых организацией), называется тестированием на проникновение, на профессиональном сленге — пентест. Он объясняет, что это совершенно легитимное занятие, и проведение таких тестов обязательно для отдельных видов информационных систем, например для государственных информационных систем и банковских платежных систем. Тестирование предполагает имитацию действий злоумышленника, но многие инструменты (например, специализированный дистрибутив Kali Linux или тот же Router Scan) применяются и пентестерами, и преступниками. «Фактически, чтобы проверить наличие уязвимости в программе или на устройстве, исследователю требуется попытаться взломать исследуемый объект, — пояснил Кузнецов. — В связи с этим такая деятельность связана с профессиональным риском: легитимное «тестирование на проникновение» от преступного «несанкционированного доступа к охраняемой информации» отделяет формальность ― наличие у пентестера разрешения собственника устройства на такой взлом и отсутствие такого разрешения у преступника».
По его словам, чтобы оставаться в правовом поле, квалифицированные пентестеры следуют определенному протоколу: перед началом исследования какого-либо устройства проверяют, что устройство входит в область работ и что владелец разрешает проводить его исследование. «То есть нельзя просто взять и запустить сканер уязвимостей на диапазон сетевых адресов, принадлежащих кому-либо: в этом диапазоне может оказаться чужое устройство, на исследование которого заказчик работ не вправе давать разрешение, и пентест превратится в попытку несанкционированного доступа», — указал Кузнецов. Он также отметил, что в данном случае проверка не привела к каким-то опасным последствиям, но в практике тестирования на проникновения бывают случаи, когда, «казалось бы, безобидные неосторожные действия приводят к срабатыванию аварийной автоматики, отключению систем жизнеобеспечения, авариям».
Еще один источник РБК на рынке кибербезопасности говорит, что подобный случай не единичен, но в судебной практике сейчас нет специальных методик оценки вредоносности программного обеспечения: «Это отдается на откуп машине: если средства защиты увидели какой-то признак атаки, то событие квалифицируется как угроза». Он также отметил, что при проверке роутеров на уязвимости сотрудник должен был перебирать пароли, установленные на таком оборудовании по умолчанию, что является одной из хакерских техник. «Подобные действия в отношении третьих лиц нельзя проводить без заключения с ними соответствующего договора и подписания авторизационного письма (о том, что заказчик осведомлен и не против подобной проверки)», — указал собеседник РБК.
В то же время он обратил внимание на то, что в данном случае нет злого умысла, то есть состава преступления по ст. 273 УК (создание компьютерных программ, приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации и т.п.; наказывается штрафом и лишением свободы на срок до семи лет, если действия повлекли тяжкие последствия). «Однако на деле такие вопросы решает судья, который может либо оправдать, либо по формальному признаку угрозы дать условный срок», — пояснил он.