Количество целенаправленных кибератак во всем мире ежегодно растёт.

 Кибератака на систему здравоохранения Ирландии имеет российский след – СМИ  | Украинская правда

Число кибератак растет год от года. По данным Positive Technologies, в 2020 году количество уникальных киберинцидентов увеличилось на 51%. При этом самые сложные и опасные из них, так называемые АРТ1-атаки, проводят высокопрофессиональные организованные киберпреступные группы. Что такое целевые атаки, кто рискует стать их следующей жертвой и, конечно же, как от них защититься, рассказала Оксана Ялынычева, руководитель направления продвижения экспертизы ИБ в странах СНГ Positive Technologies.

Кибератаки делят на массовые, целевые и APT-атаки. Первые, как правило, направлены на глобальное распространение вредоносных программ. Организация массовых атак не требует от хакеров больших ресурсов. При их планировании злоумышленники не учитывают масштабы и отраслевую принадлежность компании, не составляют портрет жертвы, а при реализации используют уже готовые инструменты. В отличие от массовых целевые атаки направлены на конкретную компанию или отрасль и предваряются тщательной разведкой. APT-атаки — это подвид целевых атак. Они включают все черты целевых, но, помимо этого, сильно растянуты во времени, и их готовят очень квалифицированные преступные группировки (APT-группировки), у которых достаточно финансов и технических возможностей. На обнаружение APT-атак могут уйти годы. Так, результаты расследований, проведенных нашим экспертным центром безопасности (PT Expert Security Center), показывают, что срок присутствия злоумышленника в инфраструктуре организации с момента взлома до его обнаружения в среднем составляет три года, а максимальный зафиксированный нами срок — семь лет.

Сложные целенаправленные атаки представляют наибольшую опасность для организаций, а порой даже целых отраслей.

А жертвы кто?

Целевые атаки в основном направлены на государственные учреждения, промышленность, финансовую сферу и топливно-энергетический комплекс. Большому риску подвергаются также IT-компании, аэрокосмическая, научная отрасли, военно-промышленный комплекс. На фоне пандемии все чаще под прицелом хакеров оказываются и медицинские учреждения.

Кто вам угрожает

В сентябре 2021 года мы раскрыли детали расследования, проведенного нашим экспертным центром безопасности (PT Expert Security Center) и посвященного ранее неизвестной APT-группировке ChamelGang. Группа в основном нацелена на хищение данных компаний топливно-энергетического комплекса и авиапромышленности. Еще в марте этого года были зафиксированы первые атаки этой группы типа trusted relationship — когда киберпреступники атакуют организацию через взлом дочернего или иного предприятия с легитимным доступом к вашим ресурсам.

Например, в одной из таких атак ChamelGang сначала скомпрометировала «дочку» основной жертвы, используя уязвимую версию веб-приложения, а спустя всего две недели и головную компанию, вычислив словарный пароль одного из администраторов. Затем хакеры, затаившись в корпоративной сети на целых три месяца, смогли получить почти полный контроль над инфраструктурой и похитить интересующие их данные.

Пока мы не отнесли ChamelGang к какой-либо одной конкретной стране. Ее жертвами, согласно полученным данным, стали учреждения России, Индии, Непала, США, Тайваня, Японии и Германии. При этом в некоторых странах специалисты PT ESC обнаружили скомпрометированные правительственные серверы. Все пострадавшие компании получили уведомления по линии национальных CERT2.

В августе мы раскрыли детали новых атак другой группировки — APT31, известной своими нападениями на госорганы разных стран — США, Канады, Белоруссии и России. Новый инструмент APT31 — вредоносное ПО, использующее функции удаленного доступа, а исходный вектор атак — один из самых распространенных, фишинг.

С января по июль 2021 года во всем мире было отправлено более десятка вредоносных рассылок с одинаковым дроппером3. По сути, обнаруженный зловред — это троян удаленного доступа, позволяющий APT-группе отслеживать и контролировать компьютеры либо сети своих жертв.

Мы продолжаем отслеживать активность группы APT31 и, увы, не прогнозируем снижение числа ее кибератак в ближайшие месяцы.

 

В прошлом году мы также выявили новую атаку группировки Winnti, изучив ее актуальные инструменты и инфраструктуру. Эта группа нацелена на шпионаж и финансовую выгоду и атакует в основном авиакосмическую отрасль, энергетику и банки. Нам удалось выяснить, что среди жертв Winnti были пять разработчиков ПО для финансовых организаций из Германии и России. И, судя по всему, это нападение замышлялось как плацдарм для развития атаки на финансовую сферу уже и в других странах.

Сейчас заражено уже несколько десятков компьютеров по всему миру, включая Россию, США, Японию, Южную Корею, Германию, Монголию, Белоруссию, Индию и Бразилию.

Некоторые скомпрометированные организации специалистам PT Expert Security Center удалось идентифицировать. Все они получили соответствующие уведомления об имеющихся рисках по линии национальных CERT.

Как защититься

Выявить и предотвратить APT-атаки очень сложно, ведь за ними стоят профессиональные киберпреступники. Они могут годами таиться в инфраструктуре и активизироваться только в нужный момент.

В таких условиях необходимы:

  • Цифровая гигиена и обучение сотрудников вопросам ИБ. К сожалению, социальная инженерия продолжает оставаться самым действенным методом, применяемым на первых этапах атаки, это мощный инструмент в руках злоумышленников.

  • Регулярные обновления ПО. Если у вас плохой патч-менеджмент, то вас сломают быстрее, чем вы поставите обновления. Эффективно настроить процесс управления уязвимостями можно с помощью систем VM4, например MaxPatrol VM.
  • Анализ активности в сетевом трафике. Для этого существуют системы глубокого анализа сетевого трафика — NTA5. Одной из таких систем является PT Network Attack Discovery.

В марте эксперты Positive Technologies опубликовали результаты мониторинга сетевой активности в 41 компании, где проводились пилотные проекты по внедрению NTA-системы для анализа сетевого трафика и комплекса для раннего выявления сложных угроз PT Anti-APT. В итоге подозрительная сетевая активность была обнаружена в 90% компаний, а вредоносное ПО — во всех государственных и промышленных организациях.

  • Анализ трафика в сети АСУ ТП. Если у вас помимо корпоративного сегмента сети есть еще и технологический, то вам потребуется анализировать трафик еще и в нем - с помощью промышленных NTA, к которым относится и PT Industrial Security Incident Manager (PT ISIM).
  • Проверка ранее полученных файлов в изолированной виртуальной среде. В ходе атаки хакеры с большой вероятностью будут использовать вредоносные программы, чтобы проникнуть в сеть и развить атаку дальше. Поэтому необходимо проверять все подозрительные файлы для определения их легитимности или вредоносности. Для этого лучше всего использовать песочницы, причем такие, которые способны справляться со сложным инструментарием атакующих, заточенным под атаку на конкретную компанию. Такую функциональность включает наш продукт PT Sandbox.

На фоне высоких темпов цифровизации экономики и распространения «удаленки» угроза APT-атак будет только возрастать, а защититься от профессиональных киберпреступников будет еще сложнее. Ключевую роль в построении защиты сыграет смена подходов к ИБ — переход от простого соответствия стандартам к результативной безопасности, основанной на определении недопустимых для конкретной компании событий. В этом процессе в первую очередь должны быть задействованы руководители, собственники и акционеры. А достижение целей кибербезопасности должно оцениваться регулярным подтверждением на практике невозможности реализации недопустимых событий. Этот подход мы демонстрируем на нашем киберполигоне The Standoff, где ведущие специалисты в области нападения и защиты борются за ресурсы виртуальной копии нашего мира. На полигоне воссозданы характерные для различных отраслей экономики производственные цепочки, бизнес-сценарии и технологический ландшафт.

Построение кибербезопасности, ориентированной на достижение глобальной цели — сделать неприемлемое невозможным, позволит значительно повысить защищенность организаций, а через них — отраслей и государств.

1 Advanced persistent threat - сложная целенаправленная угроза.

2 Computer emergency response team - центр реагирования на инциденты информационной безопасности.

3 Дропперы — семейство вредоносных программ, предназначенных для несанкционированной и скрытой от пользователя установки на компьютер жертвы других вредоносных программ, содержащихся в самом теле дроппера или загружаемых по сети.

4 Vulnerability management.

5 Network traffic analysis.

Источник  forbes.kz