Қазақстанның мемлекеттік органдарының ақпараттық жүйелері кемінде алты ай бойы хакерлердің жасырын бақылауында болған. Бұл туралы TSARKA кибершабуылдарды талдау және тергеу орталығының есебінде айтылған, деп хабарлайды Qaz365.kz.
Есепке сәйкес, ұлттық деңгейдегі цифрлық инфрақұрылымға бағытталған ауқымды әрі көпсатылы мақсатты кибершабуылдың белгілері анықталған. Ақпараттық қауіпсіздікке қатысты инцидент 2025 жылғы қаңтардан бастап кешенді түрде тергеліп жатыр. Мамандар шабуыл бір мезетте бірнеше тәуелсіз мемлекеттік құрылымға бағытталғанын анықтаған.
Зерттеу барысында мемлекеттік органдардың электрондық пошта серверлері, Active Directory домендік контроллерлері, сондай-ақ жоғары деңгейдегі қолжетімділігі бар қызметкерлердің жұмыс станциялары шабуылға ұшырағаны белгілі болды. Хакерлер Microsoft Exchange негізіндегі пошта жүйелеріне, Windows Server серверлеріне және ішкі басқару жүйелеріне заңсыз қол жеткізген.
TSARKA дерегінше, шабуыл жасырын әрі ұзақ уақыт бойы жүргізілген. Қаскөйлер кемінде жарты жыл бойы жүйелерге қолжетімділікті сақтап, күрделі жасырыну тәсілдерін, заңды жүйелік процестерді бүркемелеу әдістерін және мақсатты APT-операцияларға тән арнайы құралдарды пайдаланған.
Алғашқы расталған бұзу дерегі 2023 жылғы 13 қазанда тіркелген. Сол кезеңде хакерлер мемлекеттік органның бірінің инфрақұрылымын басқару серверіне кіріп, Windows жүйесіндегі LSASS процесінің жадын көшіріп алған. Бұл әрекет пайдаланушылардың логиндері мен құпиясөздерін иемденуге мүмкіндік берген.
2024 жылғы желтоқсанда шабуылдың екінші кезеңі басталып, мемлекеттік органдардың желілік құрылымын кең ауқымда зерттеу және ішкі жүйелер арасында белсенді қозғалу тіркелген. Үшінші кезеңде құпия деректердің сыртқа шығарылғаны анықталған. Бұл – қызметтік хат-хабарлар, ішкі құжаттар және есептік жазбаларға қатысты мәліметтер.
Мамандар бұл оқиғаны күрделі әрі ұзақ мерзімді APT-шабуылдар санатына жатқызады. Мұндай кибероперациялар әдетте шпиондық немесе диверсиялық мақсатта жүргізіледі және жоғары білікті топтардың қатысуымен іске асады.
Қолданылған техникаларды талдау нәтижесінде шабуылдың артында 2013 жылдан бері әрекет етіп келе жатқан, мемлекеттік мекемелер мен стратегиялық инфрақұрылымға бағытталған кибершабуылдарымен танымал Goblin Panda атты қытайлық кибершпиондық топ тұруы мүмкін деген болжам жасалған. Бірнеше мемлекеттік құрылымның бір уақытта бұзылуы мен қолжетімділіктің ұзақ сақталуы шабуылдың мақсатты әрі стратегиялық сипатта болғанын көрсетеді.
TSARKA сарапшылары мұндай инцидент ұлттық цифрлық инфрақұрылым үшін елеулі қауіп төндіруі мүмкін екенін атап өтті. Оқиға критикалық маңызды жүйелердің ұзақ уақыт бойы байқалмай бақылауда болуы мүмкін екенін көрсетіп, деректер қауіпсіздігі мен азаматтардың мемлекеттік цифрлық сервистерге деген сеніміне тікелей әсер ететінін алға тартады.
Есепте бұған дейін Қазақстанның киберқылмысқа қарсы БҰҰ конвенциясына қосылғаны да еске салынған. Бұл құжат трансшекаралық киберқылмыстарды тергеуде халықаралық ынтымақтастықты күшейтуге және электрондық дәлелдермен жедел алмасуға мүмкіндік береді.
TSARKA орталығының мәліметінше, анықталған қорытындылар ұлттық киберқауіпсіздікті күшейту, мониторинг пен қорғау тәсілдерін қайта қарау үшін негіз болуы тиіс.