ФСБ возбудила дело о попытке взлома структуры «Ростеха» Экс-сотрудника обнинского провайдера заподозрили в попытке взлома научно-производственного предприятия, которое разрабатывает продукцию для ракетно-космической отрасли. Специалист утверждает, что, наоборот, пытался пресечь атаку
Рабочие в цехе на обнинском научно-производственном предприятии «Технология»
Управление Федеральной службы безопасности (ФСБ) по Калужской области возбудило уголовное дело по подозрению в целенаправленной попытке взлома сети Обнинского научно-производственного предприятия «Технология» им. А. Г. Ромашина. Об этом РБК рассказал Никита Демидов, который является фигурантом этого дела.
ОНПП «Технология» входит в ГК «Ростех» и занимается созданием наукоемкой, высокотехнологичной продукции из неметаллических материалов для авиационной, ракетно-космической техники и транспорта. Сети связи и информационные системы предприятия являются объектами так называемой критической информационной инфраструктуры. Дело возбуждено по ч. 1 ст. 274.1 УК (создание, распространение или использование программ, предназначенных для неправомерного воздействия на критическую информационную инфраструктуру России; предусматривает возможность лишения свободы на срок от двух до пяти лет со штрафом в размере до 1 млн руб.), обвинение пока не предъявлено, рассказал Демидов.
Причиной внимания ФСБ, по его словам, стала его деятельность на предыдущем месте работы— в технической поддержке обнинского интернет-провайдера «Макснет Системы» (оказывает услуги под брендом Maxnet). Как утверждает Демидов, в середине прошлого года он предложил своему руководству проверить все роутеры сети на наличие уязвимостей, поскольку, общаясь с пользователями, выяснил, что те, как правило, не меняют заводские настройки и не обновляют оборудование. «Через уязвимости в роутерах злоумышленники могли попадать в сеть провайдера, находить в ней уязвимые телефонные шлюзы и использовать их для звонков от лица абонентов. Наиболее частый сценарий— звонки на платные номера, но потенциально уязвимость могла использоваться и телефонными террористами (для звонков о минировании каких-то объектов.— РБК), что могло нанести большой вред компании, поэтому мы решили регулярно сканировать сеть и предупреждать о найденных проблемах пользователей, чтобы они могли их исправить»,— пояснил Демидов.
Сканирование проводилось с помощью бесплатной программы Router Scan. Среди сканируемых адресов оказался IP-адрес ОНПП «Технология», на котором находился электронный почтовый ящик предприятия. По словам Демидова, он сканировал все роутеры, принадлежащие оператору связи, вслепую. Принадлежность клиенту устанавливалась только в случае нахождения проблем на клиентском оборудовании. «При сканировании почтового ящика, который, как потом выяснилось, принадлежал ОНПП «Технология», сработала ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы.— РБК)»,— рассказал Демидов. По его словам, из-за пандемии сканирование роутеров он проводил, работая удаленно, с домашнего IP-адреса, поэтому обвинение предъявили ему, а не компании. Через несколько дней после проведения сканирования к Демидову пришло с обыском местное управление ФСБ, а в феврале ему сообщили о возбуждении уголовного дела. «Обвинение пока не выдвинуто, насколько понимаю, следствие проводит очередную экспертизу изъятого у меня жесткого диска»,— сообщил он. При этом уже после возбуждения дела адвокат Демидова запросил ОНПП «Технология», состоялсяли взлом и былли нанесен ущерб предприятию, и получил отрицательный ответ.
Представитель ОНПП «Технология» в ответ на запрос РБК об инциденте с сотрудником «Макснет Системы» отметил, что осенью 2020 года служба информационной безопасности института отследила и пресекла попытку взлома сервера. «Ущерб предприятию не нанесен. Информация о попытке взлома направлена в правоохранительные органы»,— сказал он.
Читайте на РБК Pro
Великое увольнение: почему ценные сотрудники массово уходят «в никуда»
Как коротает дни трейдер, потерявший $20 млрд в один миг
United Airlines переходит на сверхзвук. Поможет ли это акциям перевозчика
Почему в рознице начался бум M&A. Что это значит для инвесторов
РБК направил запрос в центр общественных связей ФСБ, а также в «Макснет Системы».
Как защищают критическую инфраструктуру
С 2018 года в России вступил в силу закон «О безопасности критической информационной инфраструктуры». К такой инфраструктуре относятся сети связи и информационные системы госорганов, банков, организаций, работающих в оборонной, ракетно-космической, энергетической сферах, топливно-энергетическом комплексе, в области атомной энергии, участники телекоммуникационного, транспортного и ряда других рынков. В зависимости от возможного ущерба от потенциальной атаки объектам перечисленных организаций присваивается определенная категория значимости. Владельцы такой инфраструктуры должны соблюдать требования о защите своих объектов и незамедлительно сообщать о попытках взлома.
Почему проверка роутеров привлекла внимание ФСБ
По словам директора по методологии и стандартизации Positive Technologies Дмитрия Кузнецова, то, что собирался сделать сотрудник для своей организации (поиск и анализ уязвимостей инфраструктуры и приложений, используемых организацией), называется тестированием на проникновение, на профессиональном сленге— пентест. Он объясняет, что это совершенно легитимное занятие, и проведение таких тестов обязательно для отдельных видов информационных систем, например для государственных информационных систем и банковских платежных систем. Тестирование предполагает имитацию действий злоумышленника, но многие инструменты (например, специализированный дистрибутив Kali Linux или тотже Router Scan) применяются и пентестерами, и преступниками. «Фактически, чтобы проверить наличие уязвимости в программе или на устройстве, исследователю требуется попытаться взломать исследуемый объект,— пояснил Кузнецов.— В связи с этим такая деятельность связана с профессиональным риском: легитимное «тестирование на проникновение» от преступного «несанкционированного доступа к охраняемой информации» отделяет формальность ― наличие у пентестера разрешения собственника устройства на такой взлом и отсутствие такого разрешения у преступника».
По его словам, чтобы оставаться в правовом поле, квалифицированные пентестеры следуют определенному протоколу: перед началом исследования какого-либо устройства проверяют, что устройство входит в область работ и что владелец разрешает проводить его исследование. «То есть нельзя просто взять и запустить сканер уязвимостей на диапазон сетевых адресов, принадлежащих кому-либо: в этом диапазоне может оказаться чужое устройство, на исследование которого заказчик работ не вправе давать разрешение, и пентест превратится в попытку несанкционированного доступа»,— указал Кузнецов. Он также отметил, что в данном случае проверка не привела к каким-то опасным последствиям, но в практике тестирования на проникновения бывают случаи, когда, «казалосьбы, безобидные неосторожные действия приводят к срабатыванию аварийной автоматики, отключению систем жизнеобеспечения, авариям».
Еще один источник РБК на рынке кибербезопасности говорит, что подобный случай не единичен, но в судебной практике сейчас нет специальных методик оценки вредоносности программного обеспечения: «Это отдается на откуп машине: если средства защиты увидели какой-то признак атаки, то событие квалифицируется как угроза». Он также отметил, что при проверке роутеров на уязвимости сотрудник должен был перебирать пароли, установленные на таком оборудовании по умолчанию, что является одной из хакерских техник. «Подобные действия в отношении третьих лиц нельзя проводить без заключения с ними соответствующего договора и подписания авторизационного письма (о том, что заказчик осведомлен и не против подобной проверки)»,— указал собеседник РБК.
В тоже время он обратил внимание на то, что в данном случае нет злого умысла, то есть состава преступления по ст. 273 УК (создание компьютерных программ, приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации и т.п.; наказывается штрафом и лишением свободы на срок до семи лет, если действия повлекли тяжкие последствия). «Однако на деле такие вопросы решает судья, который может либо оправдать, либо по формальному признаку угрозы дать условный срок»,— пояснил он.
Анна Балашова, Дарья Чебакова,
Екатерина Костина Подпишитесь на РБК в VK Получайте новости быстрее всех
