18/11/19
Эксперты Positive Technologies проанализировали деятельность APT-группировок, атакующих российские организации на протяжении последних двух лет. Девять из них фокусируются на организациях топливно-энергетического комплекса (ТЭК), а 13 объединений злоумышленников видят целью промышленные компании. Некоторые группировки атаковали и промышленные, и энергетические компании.
В двух новых исследованиях специалисты Positive Technologies описали специфику APT-атак на промышленные компании и организации ТЭК. Помимо этого, эксперты провели опрос среди посетителей сайта компании Positive Technologies, аудитории интернет-портала SecurityLab.ru и участников ряда отраслевых сообществ.
По данным этого опроса, более половины (60%) респондентов из сферы промышленности и топливно-энергетического комплекса признают, что вероятность успешной кибератаки достаточно высока. При этом лишь 11% участников опроса уверены в том, что их предприятие сможет противостоять APT-атаке.
Большинство представителей организаций считают, что основной целью APT-группировки при атаке на их компании будет являться нарушение технологических процессов и вывод из строя инфраструктуры. При этом 55% участников опроса сообщили, что их организации уже становились жертвами атак. Каждый четвертый участник отметил, что одним из итогов такой атаки стал простой инфраструктуры.
При этом во многих компаниях используются лишь базовые средства защиты, которые практически бесполезны для противодействия таким сложным угрозам, как APT. Так, лишь 5% респондентов, работающих в промышленных и топливно-энергетических компаниях, сообщили, что в их организациях используются специализированные инструменты борьбы с целевыми атаками.
На практике типовые защитные решения оказываются неэффективными для противодействия APT-атакам. Кибергруппировки запутывают код своего вредоносного ПО, чтобы антивирусные решения на компьютерах сотрудников не могли распознать угрозу в момент атаки. Пять из девяти группировок, нацеленных на ТЭК, используют вредоносное ПО, выполняющееся сразу в оперативной памяти и не оставляющее следов на жестком диске. Киберпреступники добавляют в зловред специальные модули для определения версии используемого в системе антивируса, а также модули для обнаружения выполнения в «песочнице» и виртуальной среде, что позволяет обойти динамические проверки систем защиты в момент атаки.
Большинство APT-группировок шифруют канал связи с командными серверами, чтобы скрыть вредоносный трафик и обмануть системы обнаружения вторжений. При атаках на промышленные компании каждая вторая группа (46%) с этой целью использует известные алгоритмы шифрования, а 38% — их модифицированные версии. Вредоносный трафик часто маскируется под легитимный: при атаках на промышленный сектор 77% APT-группировок обмениваются информацией с командным центром по широко распространенным протоколам. Отдельные группировки, нацеленные на сектор ТЭК, размещают командные серверы по адресам, которые схожи с названиями известных в отрасли компаний.
Злоумышленников не останавливает даже полная изоляция технологического сегмента сети от ее корпоративного сегмента и интернета. Если их цель находится в промышленном сегменте, то в компанию могут быть подброшены съемные носители (например, флешки) с вредоносным ПО, или их может подключить к USB-разъемам критически важных систем внедрившийся в компанию инсайдер (техника Replication Through Removable Media).
По словам директора экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексея Новикова, зачастую более эффективным подходом к обнаружению APT является выявление активности злоумышленников уже после проникновения в инфраструктуру: «Выявить APT-атаку в момент проникновения нарушителя в компанию — крайне сложная задача, но если цель злоумышленника — надежно закрепиться в инфраструктуре и контролировать ключевые системы максимально длительное время, то обнаружить его можно и на более поздних этапах атаки, например при его перемещении между серверами уже во внутренней сети. Такие перемещения непременно оставляют артефакты в сетевом трафике и на самих узлах, это позволяет обнаружить произошедшее ранее проникновение ретроспективно и устранить угрозу до того, как злоумышленник перейдет к активным деструктивным действиям или украдет важную информацию».
