Кібернапад у Сент-Полі: Національна гвардія допомагає під час мережевої кризи

Оновлено 10 жовтня 2025 року — Нові судово-медичні результати та рекомендації федеральних органів підкреслюють важливі уроки у сфері кібербезпеки міст.

Виконавче резюме

25 липня 2025 року в Сент-Полі, штат Міннесота, відбулася скоординована атака з використанням програм-вимагачів та витоку даних. Ця атака перевищила можливості локальних систем захисту, змусила призупинити роботу інформаційних систем по всьому місту та спонукала губернатора Уолза активувати кіберпідрозділи Національної гвардії Міннесоти.

Хронологія подій та обсяг

1. 25 липня 2025 року (03:17 AM CDT): Зростання сповіщень SIEM, оскільки десятки контролерів домену повідомляють про незвичні спроби входу.
2. 25 липня 2025 року (07:42 AM): ІТ-персонал міста виявляє бічний рух через вкрадені адміністративні облікові дані.
3. 26 липня 2025 року: Повне відключення серверів, робочих станцій, VoIP та Wi-Fi для локалізації шкідливого програмного забезпечення.
4. 28 липня 2025 року: Для реагування на інцидент залучено ФБР, CISA та дві провідні компанії в сфері кібербезпеки.
5. 30 липня 2025 року: Губернатор активує кіберзахисні команди Національної гвардії.

Технічний аналіз атаки

Попередні судово-медичні дослідження вказують на використання багатофункціонального інструментарію:

• Початковий доступ: Фішингові електронні листи з ISO-додатками, що експлуатують уразливість CVE-2025-2145 у Windows Print Spooler.
• Шкідливе програмне забезпечення: Кастомізована версія LockerPoint з використанням AES-256 шифрування в пам’яті для уникнення виявлення на диску.
• Командування та контроль: HTTPS-з’єднання з C2-інфраструктурою на основі TOR, з резервним DNS-тунелюванням через TXT-записи.
• Бічний рух: Використання методів Pass-the-Hash та витік облікових даних за допомогою модифікованих скриптів Mimikatz та Impacket.

Сегментація мережі та прогалини на кінцевих точках

Зловмисники скористалися плоскою архітектурою VLAN та застарілими агентами EDR на старих Windows 7. Відсутність мікросегментації дозволила швидке поширення на основні сервери бази даних.

Відповідь та активація Національної гвардії

“Масштаб і складність цього інциденту перевищили як внутрішні, так і комерційні можливості реагування,” — губернатор Тім Уолз.

Кіберзахисні команди Національної гвардії Міннесоти були залучені для:

• Допомоги у відновленні Active Directory з відкликаними золотими квитками та новими сертифікаційними центрами.
• Впровадження сегментації Zero Trust та контролю доступу з найменшими правами по всіх підмережах міста.
• Відновлення критичних послуг через ізольований сайт відновлення з використанням незмінних резервних копій, збережених у захищеному середовищі AWS GovCloud.

Експертний аналіз та рекомендації

Уроки кібербезпеки для муніципалітетів

• Управління патчами: Пріоритетне виправлення уразливостей CVE на серверах, доступних з Інтернету, протягом 72 годин.
• Багатофакторна автентифікація: Впровадження FIDO2 ключів безпеки для всіх привілейованих облікових записів.
• Моніторинг мережі: Впровадження поведінкової аналітики та EDR з можливістю відкату.
• Готовність до інцидентів: Проведення двічі на рік навчальних вправ з координацією між агентствами.

Атрибуція загроз

Хоча жодна група не взяла на себе відповідальність, ознаки вказують на пов’язану з Росією загрозу постійного характеру (APT), яка раніше націлювалася на муніципалітети США. Набір IOC включає hashes: 4d5e6f… та IP-адреси в межах ASN 9009.

Перспективи та триваючі розслідування

Федеральні органи розглядають переговори щодо викупу, обсяги витоку даних та можливі зв’язки з іншими нещодавніми кампаніями з використанням програм-вимагачів проти міст США, зокрема Абілін, штат Техас.