Виктор Середницкий, «СКБ Контур»: Атака была направлена на весь рынок ЭДО в России, а не против нас

Виктор Середницкий: У нас обработка реагирования на инциденты информационной безопасности организована на базе лучших практик. В частности, в компании «СКБ Контур» есть выделенная служба дежурных специалистов, в чьи задачи входит мониторинг событий информационной безопасности, получаемых от объектов инфраструктуры, а также по факту обращения пользователей, клиентов и регуляторов. Диагностика и реагирование на инциденты строятся на базе плейбуков или по маршрутам эскалации до ответственных лиц, если, например, требуется внести изменения в кодовую базу наших продукта или в конфигурацию какого-либо оборудования. В сложно диагностируемых случаях информация об инциденте эскалируется на оперативную рабочую группу экспертов, которые уже разбирают конкретные кейсы. При подозрении на массовый инцидент в инфраструктуре группы компаний у службы дежурных специалистов есть инструменты аварийного реагирования.

Виктор Середницкий: Мы столкнулись с трудно диагностируемым вариантом вредоносного программного обеспечения. Несмотря на первые отчёты с Virustotal, наши средства диагностики не давали полной картины потенциального воздействия на клиентов. Конкретно вредоносное ПО, банковский троянец Buhtrap, удалось обнаружить благодаря взаимодействию с «Лабораторией Касперского». Коллеги помогли установить всю цепочку воздействия вредоносного ПО на компьютеры жертв.

Далее нужно сказать про локализацию инцидента и снижение возможного ущерба. С момента обнаружения вредоносной активности мы предприняли следующие меры. Первое, проинформировали роуминговых операторов ЭДО об угрозе распространения вредоноса. Второе, отключили возможность отправки по спискам контрагентов неформализованных документов – это был основной канал распространения зловреда. Третье, провели адресную работу с теми клиентами, кто потенциально мог пострадать от рассылки. Мы связывались с каждым клиентом, объясняли, как найти следы вируса и как действовать, если их нашли. Четвертое, когда выяснили все нюансы распространения вредоносного ПО, мы стали незамедлительно блокировать скомпрометированные учётные записи клиентов и вычищать заражённый контент. Илья Муратов, PROТЕХНО: Главная ошибка ИТ-компаний — говорить с рынком на языке инженеров 33.4 т

Финансовый ущерб клиентам, а тем более ущерб от реализации краж денежных средств через троян (на это он был нацелен) нами не подтверждён. Претензии от клиентов мы не получали. «Контур» открыт для дальнейшего взаимодействия.

Виктор Середницкий: Сообщения, которые пересылались в рамках данной атаки, были подписаны КЭП клиентов. Это был типовой сценарий работы в системах электронного документооборота.

Виктор Середницкий: Мы продолжаем исследовать все возможные способы компрометации клиентов. По нашей информации, как оператора ЭДО, действия в личном кабинете нашей системы происходили от лица клиента. То есть злоумышленник каким-то образом скомпрометировал рабочее место клиента. Каким образом был скомпрометирован ключ КЭП, сейчас не можем сказать – это ещё предстоит нам выяснить при проработке конкретных частных случаев с клиентами, получив от них на это согласие.

Виктор Середницкий: Самое главное – зловред не распространялся автоматически. Рассылка осуществлялась в ручном режиме через скомпрометированных клиентов по спискам контрагентов, с которыми у этих клиентов был настроен электронный документооборот. Рассылка выполнялась в штатном режиме работы пользователя в соответствующем интерфейсе.

Надо еще отметить, что вредонос, который рассылался через транспорт ЭДО, был не сам троянец. Это был загрузчик троянца. По факту его активации на компьютере жертвы выполнялась дозагрузка основного банковского трояна. То есть через систему ЭДО распространялся не тот вредонос, который определялся Virustotal, а его сложнодетектируемый загрузчик. На момент начала атаки антивирусные решения не давали точную реакцию на загрузчик банковского трояна. Ближе к вечеру 7 августа мы уже с помощью специалистов «Лаборатории Касперского» получили на руки всю фактуру и смогли понять механику происходящего. После чего сделали повторное информирование с новыми деталями инцидента, поскольку в антивирусной лаборатории собрали новый детект по всем паттернам и шаблонам поведения вредоносов, которые мы им предоставляли.

В рамках локализации инцидента мы диагностировали и пресекали аномальную активность в транспорте «Контур.Диадока», по завершении экспертного исследования вредоносного ПО стала ясна полная картина воздействия этой атаки на клиента.

Ссылку на индикаторы компрометации на Virustotal мы опубликовали по просьбе клиентов. Внутри компании в рамках расследования был отдельный трек, связанный с этим запросом, и мы решили его удовлетворить. Ранее «Контур» не использовал в официальных публикациях результаты расследования инцидентов. Опубликовав индикаторы компрометации «Контур» проявил открытую и осознанную позицию, чтобы привлечь внимание ИБ-сообщества и регуляторов в том числе к тому, что атака направлена на клиентов всех операторов ЭДО..В первую очередь у нас была задача локализовать инцидент, не допустить его массового развития. И уже параллельно мы работали с экспертами из ИБ-сообщества по выявлению вектора атаки на конечного пользователя.

Virustotal на момент обнаружения первых попыток распространения вредоноса не давал полной картины. Да, косвенные признаки были, но мы продолжали исследования, чтобы дойти до сути. Я хотел пояснить, что оценка или привлечение ресурса Virustotal к анализу происходящего это не панацея. Мы совершали проактивные действия, связанные с внутренней механикой системы электронного документооборота, чтобы блокировать распространение вредоноса. Это главное. А Virustotal – это, скорее, некий помощник, который помогал прояснить какие-то вопросы на более ранних этапах.

Виктор Середницкий: Код мог модифицироваться в процессе распространения данного вида атаки. Тем более, что мы не владеем информацией от других операторов ЭДО. Возможно, что под них был совершенно другой загрузчик.

По нашим данным и по тем индикаторам компрометации, которые мы получили в результате анализа и направили регулятору, можно сказать, что атака была направлена на весь рынок ЭДО в России, а не против какого-то конкретного оператора.

Виктор Середницкий: Любой инцидент в сфере кибербезопасности мы используем как драйвер развития механизмов защиты. В частности, мы усилили меры антивирусной защиты – сменили движок сервиса сквозной проверки неформализованных документов и клиентского контента. Временно заблокировали передачу архивов с паролем, так как антивирус не может заглянуть внутрь такого архива. Продолжаем анализировать и исследовать альтернативные вектора атаки и механики противодействия. На текущий момент мы не раскрываем методы и способы реализации данных механик.

Виктор Середницкий: Да, у нас есть штатная команда специалистов по пентесту и анализу защищенности продуктов. Также у «Контура» есть программа Bug Bounty, причем как собственная, так и закрытая программа на платформе Standoff. Мы периодически привлекаем компании, имеющие лицензии ФСТЭК России на проведение независимых тестов на проникновение. То есть мы стараемся комплексно со всех сторон исследовать безопасность наших продуктов.

Виктор Середницкий: У нас наличие вредоносного ПО диагностируется на четырех уровнях: инфраструктура продуктового окружения, рабочие станции пользователей, контент (файлы и сообщения в клиентском трафике) и сам сетевой трафик. Антивирусные решения и другие средства защиты информации, выявляющие вредоносную активность, сопровождаются централизованно службой информационной безопасности. В ряде случаев, как в этом инциденте, мы привлекаем к реверс-инжинирингу сторонних экспертов. Поскольку мы – ИТ-компания, и стараемся создавать в том числе продукты для внутреннего потребления, наши решения для централизованного управления имеют определенные интерфейсы, к которым подключаются продукты, для которых важно наличие проверки на вредоносную активность.

В целевой картине использования сервиса «Контур.Диадок» клиент на своей стороне применяет локальный антивирус для защиты своего рабочего места, это позволяет проверять в том числе файлы, загружаемые в сервис, и при этом сам сервис «Диадок» осуществляет проверку файлов и контента, передаваемого клиентами. Проверка осуществляется с использованием корпоративного антивирусного решения, это происходит в фоновом режиме для клиента.

Виктор Середницкий: Да. Процесс по выявлению и устранению уязвимостей выстроен на следующих уровнях. Первое – это исследование, устранение или митигация уязвимостей в собственной разработке, в том числе силами команды штатных экспертов, а также с привлечением сообщества через программу Bug Bounty. Второе, мы контролируем и устраняем уязвимости на объектах ИТ-инфраструктуры. Третье, мы используем мониторинг банка данных и угроз безопасности ФСТЭК России, а также базы NVD NIST и иные источники информации об уязвимостях. Четвёртое, применяем плановое оперативное исправление уязвимостей, обновление баз и хранилищ данных, а также сервисов обеспечения. Аналогичным образом мы контролируем рабочие места пользователей.

В недавнем инциденте злоумышленник, скомпрометировав рабочее место клиента, использовал штатный функционал и возможность рассылать неформализованные сообщения другим контрагентам, с которыми связь установлена у данного клиента. Для усиления доверия со стороны пользователей эта рассылка была внутри ЭДО подписана ключом электронной подписи клиента. То есть это не эксплуатация какой-либо веб-уязвимости. «Контур.Диадок» используется как транспорт, как аналог электронной почты для рассылок или фишинга.

В компании внедрены процессы безопасной разработки, начиная с моделирования угроз и формирования требований к функциям безопасности продукта до использования стандартных DevSecOps-практик. В том числе мы применяем собственные решения для анализа исходных кодов. У нас есть собственное решение для Runtime-контроля окружения, в которых эксплуатируются продуктовые сервисы.

Виктор Середницкий: С НКЦКИ мы взаимодействуем в формате запросов через официальные каналы. Непосредственно ПО или оборудование, подключенное к ГосСОПКА, мы пока не используем. По этому инциденту мы взаимодействуем с НКЦКИ. Что касается получения фидов, то мы используем индикаторы компрометации от вендоров средств защиты информации и фиды, которые публикуются регуляторами.

Виктор Середницкий: «Контур» это, прежде всего, ИТ-компания, разработчик собственных решений. Поэтому служба информационной безопасности «Контура» базово решает такие задачи как обеспечение безопасности цифровых продуктов на всех стадиях его жизни: от разработки до эксплуатации. Для защиты сервисов и данных «Контур» разрабатывает как собственные средства обеспечения безопасности, так и применяет решение в сотрудничестве с отечественными разработчиками средств защиты информации. Служба ИБ осуществляет практически и нормативный контроль продуктовой и внутренней инфраструктуры; сбор, агрегацию, аудит и реагирование на события информационной безопасности во всей инфраструктуре.

Также мы обращаем внимание на повышение осведомленности в сфере информационной безопасности сотрудников и особенно команд разработки. Обращаем внимание на современные вызовы, в частности, применение агентов средств искусственного интеллекта в средах разработки.

Как показал данный инцидент, мы разделяем ответственность за свои сервисы и взаимодействуем с клиентами по вопросам цифровой гигиены и повышения уровня киберкультуры, а также помогаем им справляться с последствиями компьютерных инцидентов. В случае инцидентов – адресная работа с клиентами, когда мы, собрав всю фактуру и понимание вектора атаки, доводим до клиента те факты и проблемы, на которые ему нужно обратить внимание: как понять нанесен ли ущерб, какие превентивные меры стоит применять, как настроить своё окружение на сопротивление атакам, чтобы дальше быть в безопасности.

Виктор Середницкий: Как оператор персональных данных мы выполняем нормативные требования ФСТЭК России и Роскомнадзора. Как ИТ-компания заинтересованы в разработке надежных продуктов. Мы опираемся на ГОСТ 56939-2024 по безопасной разработке.

Виктор Середницкий: Вопрос скорее не в поиске недостающего решения для закрытия какой-то узкой задачи в области информационной безопасности, а в том, чтобы органично интегрировать доступные на рынке решения в имеющуюся инфраструктуру, а также связать существующие решения между собой. Это не такая простая задача, как может показаться на первый взгляд. «Контур» зачастую идет по пути создания собственных решений в сфере информационной безопасности, но в ряде случаев мы практикуем сотрудничество с другими компаниями на российском рынке. Проблема в том, что иметь такую управляемую экосистему средств защиты информации не очень просто.

Виктор Середницкий: Отвечу за направление электронного документооборота. В разработке находится функционал подтверждения чувствительных действий с помощью второго фактора. У нас есть решение для многофакторной аутентификации, которое будет задействовано не только для аутентификации, но и для подтверждения опасных действий. Появится возможность для интеграции с IDM-системами заказчиков. Также есть пилоты по интеграции SIEM-систем клиентов и систем журналирования событий в «Контур.Диадоке».