Хакеры полгода незаметно контролировали системы госорганов Казахстана

Хакеры на протяжении как минимум шести месяцев имели несанкционированный доступ к информационным системам государственных органов Казахстана. Об этом говорится в отчете Центра анализа и расследования кибератак TSARKA, который зафиксировал признаки масштабной APT-атаки на критически важную цифровую инфраструктуру.

Как следует из документа, инцидент информационной безопасности был выявлен в ходе реагирования и с января 2025 года расследуется в комплексном формате. Эксперты установили, что атака носила скоординированный и многоступенчатый характер и была направлена сразу на несколько независимых государственных структур. Под удар попали ключевые элементы инфраструктуры, включая почтовые серверы Microsoft Exchange, доменные контроллеры Active Directory и рабочие станции сотрудников.

По данным TSARKA, злоумышленники получили доступ к серверам электронной почты, контроллерам доменов на базе Windows Server, рабочим станциям с высоким уровнем привилегий, а также к серверам критически важных приложений и внутренним системам управления. Атака развивалась скрытно и продолжительно. Хакеры удерживали доступ не менее полугода, используя продвинутые методы маскировки, подмену легитимных системных процессов и специализированные инструменты, характерные для целевых APT-операций.

Первое подтвержденное событие компрометации было зафиксировано 13 октября 2023 года. В этот период злоумышленники получили доступ к серверу управления инфраструктурой одного из госорганов и выполнили дамп процесса LSASS, сохранив содержимое памяти системного компонента Windows, где обрабатываются учётные данные пользователей. Это позволило им закрепиться в системе и получить доступ к логинам и паролям, которые использовались на следующих этапах атаки.

В декабре 2024 года начался второй этап, сопровождавшийся масштабной разведкой сетевой структуры и активным перемещением внутри инфраструктуры государственных органов. На третьем этапе была зафиксирована эксфильтрация данных – целенаправленный вывод конфиденциальной информации за пределы системы. Речь идёт о служебной переписке, внутренних документах и данных учетных записей.

Эксперты относят инцидент к категории APT-атак – это сложные и продолжительные кибероперации, которые проводят высококвалифицированные группировки с целью скрытого доступа к критическим системам для шпионажа или саботажа. Такие атаки отличаются сложными методами обхода защиты, использованием скрытых учётных записей и специализированных инструментов.

Анализ примененных техник позволяет предположить, что за атакой стоит китайская кибершпионская группировка Goblin Panda, действующая с 2013 года и специализирующаяся на операциях против государственных учреждений и критической инфраструктуры. В TSARKA отмечают, что одновременная компрометация нескольких независимых госструктур и длительное удержание доступа указывают на целенаправленный и стратегический характер атаки.

По оценке экспертов, выявленные угрозы могут привести к серьезным последствиям для национальной инфраструктуры. Масштаб и сложность атаки свидетельствуют об организованной деятельности высококвалифицированной APT-группировки, возможно с участием нескольких акторов, преследующих долгосрочные цели.

В TSARKA подчёркивают, что инцидент стал наглядным примером того, как целенаправленные и технически сложные кибератаки способны подорвать устойчивость ключевых цифровых сервисов и инфраструктуры. Полученные выводы, как отмечается в отчете, должны лечь в основу подходов к защите и укреплению национальной информационной безопасности.

Эксперты обращают внимание, что выявленный случай показал уязвимость критически важных цифровых систем, которые могут длительное время находиться под контролем злоумышленников без немедленного обнаружения. Речь идет не только о технических рисках, но и о сохранности данных и доверии граждан к государственным цифровым платформам. В условиях активной цифровизации госуслуг подобные инциденты напрямую затрагивают интересы общества и вопросы национальной безопасности, требуя системного пересмотра подходов к киберзащите и мониторингу.

В качестве контекста в отчете напоминается, что ранее Казахстан присоединился к Конвенции ООН против киберпреступности. Документ направлен на развитие международного сотрудничества в борьбе с преступлениями в сфере информационно-коммуникационных технологий и повышение глобального уровня кибербезопасности. Участие в Конвенции позволит стране оперативно обмениваться электронными доказательствами, эффективнее расследовать трансграничные киберпреступления и усиливать защиту граждан от цифровых угроз.

TSARKA отмечает, что является одной из ведущих компаний Центральной Азии в сфере кибербезопасности. Организация занимается защитой от кибератак, управлением рисками и развитием цифровой грамотности, а также разрабатывает собственные технологические решения и платформы.