В TSARKA подчеркивают, что характер и масштаб атаки создают серьезные риски для национальной информационной безопасности
Киберпреступники на протяжении как минимум шести месяцев имели несанкционированный доступ к цифровым системам государственных органов Казахстана, сообщает Qaz365.kz.
Об этом говорится в аналитическом отчете Центра анализа и расследования кибератак TSARKA, опубликованном по итогам масштабного расследования инцидента информационной безопасности.
По данным экспертов, взлом затронул сразу несколько независимых государственных структур. Речь идет о критически важных сегментах цифровой инфраструктуры, включая серверы электронной почты, доменные контроллеры, внутренние системы управления и рабочие станции сотрудников с расширенными правами доступа.
Расследование инцидента началось в январе 2025 года после выявления признаков несанкционированной активности. В ходе анализа специалисты установили, что атака носила многоэтапный и тщательно замаскированный характер. Злоумышленники применяли методы, характерные для так называемых APT-атак, когда доступ к системе удерживается длительное время без обнаружения.
Согласно отчету TSARKA, первое подтвержденное проникновение в инфраструктуру госорганов было зафиксировано еще 13 октября 2023 года. Тогда атакующие получили доступ к серверу управления одного из ведомств и извлекли данные из процесса LSASS, где временно хранятся учетные данные пользователей. Это позволило им закрепиться в системе и использовать полученные логины и пароли на следующих этапах атаки.
В декабре 2024 года активность злоумышленников усилилась. Эксперты зафиксировали масштабную внутреннюю разведку и перемещение атакующих между серверами и рабочими станциями. Завершающим этапом стала эксфильтрация данных, в ходе которой за пределы систем были выведены служебная переписка, внутренние документы и данные учетных записей.
Специалисты относят данный инцидент к классу APT-атак, которые, как правило, осуществляются высококвалифицированными группировками с целью кибершпионажа или долгосрочного воздействия на государственные структуры. Анализ технических признаков позволяет предположить, что за атакой может стоять китайская кибершпионская группа Goblin Panda, известная своими операциями против государственных учреждений и критической инфраструктуры в разных странах.
В TSARKA подчеркивают, что характер и масштаб атаки создают серьезные риски для национальной информационной безопасности. Длительное присутствие злоумышленников в системах госорганов без своевременного обнаружения ставит под угрозу сохранность данных и доверие граждан к цифровым государственным сервисам.
Эксперты отмечают, что инцидент показал необходимость не точечных мер реагирования, а системного пересмотра подходов к защите критической инфраструктуры, постоянного мониторинга и повышения уровня киберустойчивости государственных структур.
Ранее Казахстан присоединился к Конвенции ООН против киберпреступности, которая предусматривает расширение международного сотрудничества и обмен электронными доказательствами. Власти рассчитывают, что это позволит эффективнее противостоять трансграничным кибератакам и усилить защиту цифрового пространства страны.