АРТ-группировки беспокоят российский ТЭК
Согласно данным Positive Technologies, 55% представителей компаний ТЭК сообщили, что их бизнесы уже становились жертвами APT-атак. При этом во многих компаниях используются лишь базовые средства защиты, которые бесполезны для противодействия APT-угрозам. Только 5% респондентов, работающих в ТЭК, сообщили, что в их организациях применяются специализированные инструменты борьбы с целевыми атаками.
Пять из девяти группировок, нацеленных на компании ТЭК, используют вредоносное ПО, которое действует в оперативной памяти и не оставляет следов на жестком диске. Киберпреступники добавляют в зловред специальные модули для определения версии используемого в системе антивируса, а также модули для обнаружения выполнения в "песочнице" и виртуальной среде, что позволяет обойти динамические проверки систем защиты в момент атаки.
По словам специалистов Positive Technologies, большинство APT-группировок шифруют канал связи с командными серверами, чтобы скрыть вредоносный трафик и обмануть системы обнаружения вторжений. При атаках на промышленные компании каждая вторая группа (46%) с этой целью использует известные алгоритмы шифрования, а 38% - их модифицированные версии.
"Вредоносный трафик часто маскируется под легитимный: при атаках на промышленный сектор 77% APT-группировок обмениваются информацией с командным центром по широко распространенным протоколам. Отдельные группировки, нацеленные на сектор ТЭК, размещают командные серверы по адресам, которые схожи с названиями известных в отрасли компаний", - объясняет директор экспертного центра безопасности Positive Technologies Алексей Новиков.
Злоумышленников не останавливает изоляция технологического сегмента сети от ее корпоративного сегмента и интернета. Если их цель находится в промышленном сегменте, то в компанию могут быть подброшены съемные носители (флешки) с вредоносным ПО, или их может подключить к USB-разъемам критически важных систем внедрившийся в компанию инсайдер.
По словам Алексея Новикова, зачастую более эффективным подходом к обнаружению APT является выявление активности злоумышленников после проникновения в инфраструктуру. "Выявить APT-атаку в момент проникновения нарушителя в компанию - сложная задача, но если цель злоумышленника - надежно закрепиться в инфраструктуре и контролировать ключевые системы максимально длительное время, то обнаружить его можно и на более поздних этапах атаки, например при его перемещении между серверами уже во внутренней сети. Такие перемещения непременно оставляют артефакты в сетевом трафике и на самих узлах, это позволяет обнаружить произошедшее ранее проникновение ретроспективно и устранить угрозу до того, как злоумышленник перейдет к активным деструктивным действиям или украдет важную информацию", - рассказывает эксперт Positive Technologies.
Старший консультант центра информационной безопасности компании "Инфосистемы Джет" Равиль Зулькарнаев считает, что усиление интереса злоумышленников к инфраструктуре ТЭК - вполне закономерное явление. "Чаще всего злоумышленники атакуют серверы, программируемые логические контроллеры (ПЛК) и автоматизированные рабочие места (АРМ) оператора - это верхний и средний уровни автоматизации. Всегда ли так будет? Нет. С каждым годом все более активно применяются интеллектуальные датчики со своими ОС и ПО. Поэтому формируется новый вектор атак - атаки на полевой уровень", - говорит Равиль Зулькарнаев.
Нельзя забывать и о некорректно настроенных средствах защиты информации, доступе в интернет для "удобства" администрирования и не выстроенных процессах информационной безопасности, перечисляет специалист. Операционные системы достаточно часто используются без обновлений. Причина - в проблеме совместимости специального программного обеспечения и ОС. Кроме того, на ОС могут не использоваться даже антивирусные средства, либо они могут работать без обновления по нескольку месяцев.
Исследователь угроз Kaspersky ICS CERT Кирилл Круглов согласился, что энергетика, действительно, является одной из наиболее атакуемых отраслей в России. В первой половине 2019 г. продукты "Лаборатории Касперского" заблокировали вредоносную активность на 41,6% компьютеров систем автоматизации предприятий этого сектора. По России этот показатель составил 58,1%. Подавляющее большинство угроз не были разработаны специально для системы автоматизации объектов энергетики, однако потенциально некоторые из них могут вызывать проблемы доступности и целостности систем автоматизации внутри технологического контура. "Среди наиболее распространенных - майнеры, вредоносные черви и многофункциональные программы-шпионы. Как и во всех других отраслях, основными источниками угроз остаются электронная почта, съемные носители информации и интернет", - говорит Кирилл Круглов.
Директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов отмечает, что атаки идут как на корпоративный сегмент ТЭК, так и на индустриальный. "Это связано со многими факторами: начиная от отработки технологий ведения кибервойны и демонстрации наличия таких возможностей, до монетизации криминальных действий. Например, путем шантажа - отключения и уничтожения дорогостоящего оборудования или его простоя", - рассказывает Михаил Смирнов. Специалист ожидает, что вместе с ростом компьютеризации индустриального сегмента количество атак будет возрастать.
В аналитическом отчете Hi-Tech Crime Trends за 2018 г. Group-IB отметила, что энергетический сектор будет оставаться главной мишенью прогосударственных хакерских групп, нацеленных на саботаж и диверсии. По данным компании, основной интерес к энергетическому сектору замечен у APT-групп, которых исследователи связывают с Ираном, Россией и Северной Кореей. "Как и ожидалось, их продолжают привлекать объекты этого сектора, где для атак на сети используются традиционные вредоносные программы и техники, включая living off the land", - говорит руководитель группы исследования сложных угроз Group-IB Анастасия Тихонова.
По прогнозам Group-IB, в будущем основным вектором для нападения станут supply chain-атаки, однако атаковать прежде всего будут именно управляющие компании и уже через них - выходить на сети энергетических компаний.
"Меры, которые сейчас применяются промышленным и ТЭК-сегментом, недостаточны. Наша статистика показывает, что, как правило, компании кроме антивируса используют только резервное копирование - причем последнее применяют порядка 10-15% компаний", - сказал пресс-секретарь Dr. Web Максим Якушев. По его словам, большинство компаний ограничиваются только антивирусом, не управляя ни правами доступа, ни парольной защитой.
"В основном страдают коммерческие подразделения. А это означает, что атака типовая и не отличается по методике от попыток взлома других компаний", - полагает представитель Dr. Web.