Госмайнеры поневоле

Каждый четвертый вирус в компьютерных системах российских государственных учреждений занимается добычей криптовалюты. Особенно активно, сами того не подозревая, майнят организации здравоохранения и образования. 

Как пишет «Коммерсантъ» за последний квартал 2024 года количество вирусов-майнеров в госсекторе выросло еще на 9%.

В отличие от частного сектора, государственные организации оказались особенно уязвимыми к такого рода кибератакам. По данным ГК «Солар», в организациях здравоохранения доля вирусов-майнеров достигает 24%, а в образовательных учреждениях — 22%. Для сравнения: в частном секторе — от 2% в телекоммуникационной отрасли до 11% в пищевой промышленности.

Игорь Бедеров, директор департамента расследований T.Hunter, связывает такую ситуацию с двумя ключевыми факторами: недостаточным финансированием кибербезопасности в госсекторе и острой нехваткой специалистов по информационной безопасности. На фоне роста курсов криптовалют к концу 2024 года скрытый майнинг стал особенно привлекательным для киберпреступников — его рентабельность существенно выросла.

Как государственные компьютеры становятся криптофермами

Методы проникновения вредоносного ПО в государственные системы становятся все изощреннее.

Ранее в исследовании ГК «Солар» сообщалось, что более трети (34%) входящих электронных писем в российских организациях содержат спам, фишинговые ссылки и вредоносное ПО. При этом хакеры чаще всего маскируют вредоносные файлы под офисные документы.

По данным руководителя практики развития метапродуктов Positive Technologies Анастасии Важениной «тестирования на проникновения показывают, что в среднем злоумышленникам необходимо совершить 3–4 шага, чтобы добраться до ключевого актива в компании». По её мнению, хакеры не делают различия между компаниями, которые им интересны или нет. Злоумышленники ломают все, что ненадежно защищено.

Теперь хакеры все чаще используют более сложные схемы. Среди них — внедрение через поддельные обновления программного обеспечения, заражение через бесплатные VPN-сервисы и пиратский софт.

Особую опасность представляют так называемые атаки на цепочку поставок. В ИТ-компаниях наравне с промышленными организациями этот показатель составил 8% от общего объема кибератак в 2023 году. Что это значит? Хакеры могут встроиться с вредоносным кодом в ПО вендора, а поскольку продукт приобретает множество клиентов, все они рискуют быть атакованными.

Призрак в системе

Обнаружить незваных «майнеров» становится все сложнее. Как рассказал «Коммерсанту» Ярослав Селиверстов, глава отдела исследований в области искусственного интеллекта Университета-2035, современные вирусы-майнеры научились мимикрировать под легальную активность. Они снижают нагрузку на процессоры во время работы пользователей, шифруют свой трафик и маскируются под системные процессы. В промышленных масштабах такие программы могут даже имитировать работу легальных майнинг-ферм, подключаясь к субсидируемым энергосетям.

Появление «бестелесных» (fileless) майнеров, создает дополнительные сложности. Эти программы работают исключительно в памяти компьютера, не оставляя следов в файловой системе, что делает их практически невидимыми для традиционных антивирусных решений.

Не только в России

Скрытый майнинг в государственных учреждениях — явление интернациональное. В 2022 году правительство Великобритании обнаружило майнинговое ПО в системах нескольких муниципальных органов. В США федеральные агентства неоднократно сталкивались с попытками использования государственных вычислительных мощностей для добычи криптовалют. Самый громкий случай был с сотрудником Федеральной резервной системы, который в 2019 году был уличен в использовании серверов ФРС для майнинга биткоина.

Однако масштаб проблемы в российском госсекторе выделяется на общем фоне. Если в большинстве развитых стран доля криптомайнеров среди вредоносного ПО в госучреждениях редко превышает 10%, то российский показатель в 27% говорит о серьезных проблемах в системе кибербезопасности.

Чем это чревато

Последствия нелегального майнинга выходят далеко за рамки простого использования государственных ресурсов. Установка майнеров часто сопровождается переконфигурацией системы, что создает дополнительные уязвимости. Более того, присутствие майнера может указывать на заражение более опасным вредоносным ПО.

Экономический ущерб от скрытого майнинга складывается из нескольких составляющих:

• повышенное энергопотребление,

• ускоренный износ оборудования,

• снижение производительности государственных информационных систем,

• потенциальные риски утечки данных через созданные хакерами уязвимости.

При этом традиционные методы борьбы с вредоносным ПО оказываются недостаточно эффективными. Появление «бестелесных» майнеров и использование продвинутых техник маскировки требуют принципиально новых подходов к обеспечению кибербезопасности в государственном секторе.

Как избавиться от криптопризраков

Международный опыт показывает, что эффективная защита от криптомайнеров требует комплексного подхода. В Сингапуре, например, все государственные учреждения обязаны проходить ежеквартальный аудит систем безопасности, а также внедрять системы постоянного мониторинга нагрузки на процессоры. В Южной Корее государственные организации перешли на изолированные сети с строгим контролем входящего трафика.

Для российских госучреждений первым шагом может стать увеличение финансирования информационной безопасности и привлечение квалифицированных специалистов. Однако одних только финансовых вливаний недостаточно. Плюс к ним необходимы:

• регулярные проверки аномальной активности систем;

• внедрение современных средств защиты, способных обнаруживать «бестелесные» угрозы;

• обучение персонала основам кибербезопасности;

• создание централизованной системы мониторинга государственной IT-инфраструктуры.

Пока же ситуация развивается по принципу «майнинг на аутсорсинге» — только без ведома владельцев инфраструктуры. И если не предпринять срочных мер, государственные компьютеры рискуют и дальше оставаться невольными участниками криптодобычи, расплачиваясь за это производительностью, безопасностью и бюджетными средствами.