Хакеры полгода имели доступ к системам госорганов Казахстана – отчёт TSARKA

Что произошло

Кибератака на госорганы Казахстана затронула сразу несколько независимых государственных структур и выявила уязвимость критической цифровой инфраструктуры, следует из отчёта TSARKA (Центр анализа и расследования кибератак).

Как и когда выявили несанкционированный доступ

Согласно отчёту TSARKA, в ходе реагирования был выявлен крупный инцидент информационной безопасности – несанкционированный доступ к системам нескольких государственных органов Казахстана.

Инцидент получил подтверждение и начал расследоваться комплексно с января 2025 года. В ходе расследования была установлена скоординированная и многоступенчатая кибератака, направленная на критически важные сегменты инфраструктуры госорганов, включая серверы электронной почты Microsoft Exchange, доменные контроллеры Active Directory и рабочие станции сотрудников.

Какие системы были скомпрометированы и сколько длилась атака

Сегменты инфраструктуры, подвергшиеся компрометации (несанкционированный доступ):

• серверы электронной почты Microsoft Exchange;
• контроллеры доменов (Domain Controllers) на базе Windows Server;
• рабочие станции сотрудников с высоким уровнем привилегий;
• серверы критически важных приложений и внутренние системы управления.

Атака носила продолжительный и скрытый характер: злоумышленники не менее полугода удерживали несанкционированный доступ, используя продвинутые методы уклонения от обнаружения, подмену легитимных системных процессов и использование специализированных инструментов, характерных для целевых (АРТ) атак.

Хронология и методы атаки

Согласно отчёту, первое подтверждённое событие компрометации (несанкционированный доступ) инфраструктуры на государственные органы было зафиксировано 13 октября 2023 года.

В этот период злоумышленники получили несанкционированный доступ к серверу управления инфраструктурой одного из госорганов, выполнив дамп процесса LSASS. То есть сохранили содержимое памяти системного компонента Windows, где временно обрабатываются и хранятся данные для входа пользователей – логины и пароли.

Эти действия позволили злоумышленникам закрепиться в системе и получить доступ к важным учётным данным, которые впоследствии использовались на следующих этапах атаки.

Второй этап атаки начался в декабре 2024 года. Активность злоумышленников вышла на новый уровень и сопровождалась масштабной разведкой (изучением структуры сетей и систем) и дальнейшим распространением внутри инфраструктуры государственных органов (перемещением между серверами и рабочими системами).

Третий этап – эксфильтрация данных (несанкционированный вывод информации за пределы системы). На этом этапе была зафиксирована целенаправленная передача конфиденциальной информации, включая служебную переписку, внутренние документы и данные об учётных записях (данные для входа в системы).

почему атаку относят к АРТ и чем она опасна

Кто может стоять за кибератакой

Анализ методов атаки позволяет с высокой степенью уверенности предположить, что за инцидентом стоит китайская кибершпионская группировка Goblin Panda. Она действует с 2013 года и специализируется на точечных шпионских операциях против государственных учреждений и критически важной инфраструктуры.

Все пострадавшие объекты принадлежат государственным органам Казахстана. Злоумышленники одновременно получили доступ к нескольким независимым структурам и долго его удерживали, что показывает целенаправленный и стратегический характер атаки.

к каким рискам может привести кибератака

На основе детального расследования и анализа инцидента эксперты TSARKA пришли к выводу, что выявленные угрозы для государственных органов Казахстана могут привести к серьёзным последствиям для всей национальной инфраструктуры.

Характер, масштаб и сложность атаки указывают на организованную деятельность высококвалифицированной APT-группировки, возможно, с участием нескольких акторов, преследующих долгосрочные и стратегические цели.

"Масштаб выявленных угроз подчёркивает важность внимательного отношения к состоянию кибербезопасности государственных структур. Инцидент стал наглядным примером того, как целенаправленные и технически сложные атаки могут влиять на устойчивость ключевых цифровых сервисов и инфраструктуры. Полученные выводы формируют подходы к защите и укреплению национальной информационной безопасности", – говорится в документе TSARKA.

Почему это важно

Выявленный инцидент показал, что критически важные цифровые системы государственных органов могут длительное время находиться под контролем злоумышленников без немедленного обнаружения. Речь идёт не только о техническом сбое, а о сохранности данных и доверия граждан к цифровым платформам.

В условиях цифровизации государственных услуг подобные инциденты напрямую затрагивают интересы общества и национальной безопасности. Эксперты подчёркивают, что такие атаки требуют не разовых мер реагирования, а системного пересмотра подходов к кибербезопасности, мониторингу и защите критической инфраструктуры.

Контекст

Ранее Казахстан подписал конвенцию ООН против киберпреступности. Документ направлен на укрепление международного сотрудничества в борьбе с преступлениями в сфере информационно-коммуникационных технологий и повышение глобального уровня кибербезопасности.

Присоединение к конвенции позволит Казахстану оперативно обмениваться электронными доказательствами с другими странами, эффективнее расследовать трансграничные киберпреступления и надёжнее защищать граждан от интернет-мошенничества, кибератак и других угроз в цифровом пространстве.

Справка

TSARKA – ведущая компания Центральной Азии в области кибербезопасности. Она предоставляет услуги по защите от кибератак, управлению рисками и развитию цифровой грамотности, а также организует крупнейшие форумы, такие как KazHackStan, и разрабатывает собственные продукты и платформы. Изначально TSARKA была первым частным CERT-центром в Казахстане, но со временем выросла в крупную группу с офисами в разных странах, работающую на стыке кибербезопасности и отечественной электроники.