Егор
Назаров
14.03.2024

Государственный сектор в России по-прежнему остается наиболее интересным сегментом для хакеров. В 2024 году этот тренд, как ожидают эксперты, сохранится. Рост числа высококвалифицированных атак в этой сфере может привести к серьезным последствиям и для самого госсектора, и для тесно связанного с ним бизнеса.

О том, какие методы могут использовать хакеры и как защитить компании, рассуждает руководитель по развитию направления защиты от комплексных атак Positive Technologies Егор Назаров.

Атаки государственной важности

В прошлом году на госсектор пришлось как минимум 15% от всех совершенных атак. Чаще всего хакеры применяли вредоносное программное обеспечение (ВПО): вирусы-шифровальщики, программы для удаленного доступа и шпионский софт. Распространялись эти зловреды в основном по электронной почте, через взломанные компьютеры, серверы и сетевое оборудование.

Мы прогнозируем, что в 2024 году пик атак придется на весну, а атаковать российский госсектор будут еще чаще. В первую очередь это связано с предстоящими выборами как в России, так и в других государствах. Активизация различного профиля мошенников в киберпространстве возрастает, когда внимание публики сосредоточено на важных для страны событиях. Как показывает практика, такие события нередко приводят к росту числа DDoS-атак, фишинга, социальной инженерии.

Президентские выборы — событие особой важности, к которому хакеры готовятся тщательно и заблаговременно. Помимо типовых методов, в ход может пойти высокотехнологичное и модифицированное ВПО. Злоумышленники проводят кампании с использованием софта, разработанного под глобальные цели и конкретные организации, и регулярно развивают его, чтобы обходить классические средства защиты. Попав в ИT-инфраструктуру жертвы, такие программы могут нанести как ущерб в виде шифрования и остановки деятельности компании, так и более ощутимый урон — от финансовых и репутационных потерь до кражи ноу-хау.

Под угрозой могут оказаться и частные компании, бизнес-процессы которых связаны с госсектором. В таких организациях уделяют мало внимания защите конечных точек, то есть внешних устройств и программ, которые подключаются к компьютерной сети и обмениваются с ней информацией. К ним относятся, например, почтовые серверы, каталоги и диски для хранения файлов, корпоративные аккаунты в мессенджерах.

Конечные точки — одно из самых популярных для компрометации мест в ИT-инфраструктуре: их удобно использовать для доставки и распространения ВПО. Проникнув в системы компаний, хакеры могут пойти дальше и провести атаки на цепочки поставок (supply chain attack). Они могут использовать инфраструктуру жертвы для развития атаки и выдавать себя за доверенного контрагента, с которым организации большего масштаба имеют долголетнее сотрудничество. При этом любая компания, ведущая деловые отношения, может быть под угрозой, начиная от доставки питьевой воды в офис и заканчивая обменом документами по защищенному каналу связи.

Разберем три вектора атак на конечные точки. На наш взгляд, именно эти способы будут востребованными у хакеров.

Игра в доверие

Многие россияне используют мессенджеры не только в личных целях, но и для работы. Коммуникация может проходить в защищенных, по мнению производителя, и в популярных, но ограниченных и запрещенных к использованию на территории России приложениях. Есть организации, которым закон прямо запрещает пользоваться некоторыми платформами. Тем не менее сотрудники компаний из разных сфер продолжают обмениваться информацией через мессенджеры, считая этот канал для общения быстрым, доверенным и надежным. Часто они используют веб-версию и приложение этого мессенджера на своих рабочих компьютерах. Сотрудникам удобно выполнять рабочие задачи и взаимодействовать с коллегами через одни и те же устройства.

Но, привыкнув к комфорту, пользователи часто забывают о безопасности. Они воспринимают аккаунты коллег как надежные каналы информации, особенно если речь идет о профилях руководителей. Злоумышленники могут этим воспользоваться.

Представьте, что хакеры создали похожий профиль или получили доступ к аккаунту HR-специалиста и отправили сотруднику, заинтересованному в найме в свою команду, вредоносный файл под видом резюме. Коллега доверяет внутреннему специалисту, ведь коммуникация происходит в доверенном канале. После скачивания зловредная программа попадет на рабочий компьютер сотрудника и по цепочке может распространиться вплоть до первого лица компании.

Кстати, любые файлы в платформах для коммуникации (например, в Telegram), в том числе и опасные, по умолчанию загружаются автоматически. Эту функцию можно отключить в параметрах мессенджера, но далеко не все обращают на нее внимание.

Резюме, содержащее ВПО, — лишь один из примеров. Изначально на компьютер жертвы попадет лишь малая его часть. Большинство классических средств защиты не смогут его обнаружить, так как ни в первую минуту, ни в ближайшие дни ничего подозрительного происходить не будет. Дальше ВПО будет действовать очень осторожно: собирать информацию об устройстве, окружении, запущенных программах, использовать уязвимости и передавать полученные данные на анализ в центр управления. Они обычно становятся базовыми для хакеров, помогут найти способ закрепиться в системе и сделать так, чтобы средства защиты начали воспринимать их ПО как безопасное. Затем злоумышленники, скорее всего, установят связь со своими командными серверами, а программа скачает оставшуюся часть ВПО — стилеры, вайперы, шифровальщики и другие.

Когда хакеры получат максимум из необходимых им данных (например, конфиденциальные документы, доступы к сервисам, учетные записи, деловые связи с контрагентами), они смогут закодировать их и потребовать выкуп за расшифровку. Хотя реального выкупа злоумышленники могут и не ждать, ведь у них уже будет больше информации, чем суммарно стоит восстановление инфраструктуры компании-жертвы.

Ящик с вредоносами

Еще одна удобная лазейка для хакеров — некорректно настроенные почтовые серверы. Если их внедрением не занимались профильные специалисты, то есть большой риск, что злоумышленники получат доступ к аккаунтам сотрудников и начнут распространять ВПО.

Представим, что хакеры взломали корпоративную электронную почту генерального директора логистической компании. У жертвы атаки есть расширенные права доступа к сетевым папкам и дискам, через которые компания обменивается документами с клиентами. В число пользователей входят крупные промышленные, авиационные предприятия и портовые операторы. Чтобы проникнуть в IT-инфраструктуру этих организаций, злоумышленникам достаточно разместить вредоносные файлы в общих хранилищах. Когда клиенты скачают документы, хакеры смогут проникнуть в их системы и загрузить, например, программы для удаленного управления. Такое ПО позволит им нарушать рабочие процессы компаний, устанавливать и запускать любые программы, в том числе вредоносные, а также собирать данные.

Цифровые махинации

Аккаунты топ-менеджеров, финансовых директоров, главных бухгалтеров и других ответственных сотрудников, пожалуй, самые привлекательные цели для злоумышленников. У руководителя есть возможность создать на "Госуслугах" личный кабинет организации, добавить в него сотрудников и выдать им доверенность, например на отправку заявлений от имени компании. На портале юрлицам доступны разные услуги, в том числе регистрация транспортного средства и корпоративной сим-карты, внесение изменений в реестр лицензий и получение электронного сертификата безопасности Минцифры. С прицелом на эти услуги хакеры могут совершить много атак. Последствия будут разными — от кражи денег до привлечения к уголовной ответственности за преступления, совершенные другими людьми.

Сертификат безопасности Минцифры предназначен для идентификации сайта компании в интернете при установлении защищенного соединения. Если хакеры получат доступ к аккаунту руководителя или доверенного сотрудника, у них появится возможность оформить сертификат безопасности для своего сайта. Затем они смогут сделать ресурс вредоносным и с его помощью атаковать разные организации, в том числе государственные. При этом сайт будет считаться безопасным, а виновником окажется тот, кто не следил за безопасностью доступа к цифровым государственным услугам.

Продвинутая безопасность

Злоумышленники постоянно изобретают новые способы атак и оттачивают свои инструменты, поэтому и безопасность в компании должна быть на высоком уровне. Такой подход подразумевает внедрение средств защиты от DDoS-атак, фишинга и других распространенных угроз, а также настройку процессов безопасности. Вместе с тем нельзя забывать про риски, связанные с атаками на конечные точки. Часто к их использованию приводят некорректно настроенные серверы и незащищенные устройства, с которых топ-менеджеры подписывают документы и работают с важными данными.

Масштаб ущерба от инцидентов безопасности напрямую зависит от того, как скоро будет обнаружено присутствие хакеров. Важно также понимать, насколько незаметным будет мониторинг и остановка действий злоумышленника, до каких ресурсов ему удалось добраться и насколько велик его контроль над организацией. Это необходимо для того, чтобы успеть вывести из-под блокировки целевые активы. И здесь чаще всего фатальную ошибку совершают специалисты по ИT или ИБ, на которых возложена ответственность за сохранность данных и инфраструктуры.

При обнаружении подозрительной активности они начинают экстренно закрывать доступы, устанавливать средства нетипичной для этого случая защиты, включать усиленный мониторинг и фильтровать трафик. В большинстве случаев это приводит к необратимым последствиям. Хакеры, увидев повышенное внимание к безопасности, активируют финальные этапы атаки в виде шифрования или уничтожения информации с помощью вайперов. Они начинают заметать следы своей деятельности либо — раз уж их обнаружили — переходят к открытым и активным действиям.

В ближайшие два года мы увидим ускорение темпов перехода на отечественное ПО и на операционные системы на базе Linux. Хакеры следят за тенденциями и меняют свои приоритеты, уделяя все больше внимания поискам уязвимостей именно в отечественных ОС, тем более что документация вендоров часто находится в открытом доступе, а сами компании-разработчики заинтересованы в максимальном распространении своего ПО и не контролируют, куда оно попадает. Для снижения рисков подобных атак необходима продвинутая защита именно конечных точек с установленной ОС. Безопасность всех устройств должна обеспечиваться качественно, независимо от того, на какой операционной системе они работают. Налаженные процессы защиты конечных точек позволят останавливать злоумышленников прежде, чем они успеют загрузить в систему ВПО или совершить другие опасные для деятельности организации шаги.

Новости из связанных рубрик