«Солар»: шпионаж — основная цель хакеров при атаках на промышленность
Версия для печати
21.05.2024
Каждая третья успешная кибератака на промышленность имеет признаки шпионажа, а основные инциденты в отрасли связаны с пользовательскими учетными записями и контролем над ними — такие выводы содержатся в аналитическом отчете группы компаний «Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности). Особый интерес к промышленности (особенно к тяжелой и ТЭК) виден и в даркнете: хакеры часто ищут доступы и другие данные, которые помогут проникнуть в сеть предприятия и максимально долго оставаться незамеченными.
Отчет составлен на основе анализа попыток кибератак на клиентов центра Solar JSOC; аналитики внешних киберугроз, проведенной центром Solar AURA; данных с расследований центра Solar 4RAYS и работ, проведенных отделом анализа защищенности.
Среди инцидентов, зафиксированных центром противодействия кибератакам Solar JSOC, встречаются попытки подбора пароля (брутфорса) в том числе от критичных систем, административный доступ за пределы сети (указывает на использование средств ОС для удаленного доступа), многочисленные блокировки учетных записей (говорят о множественных попытках брутфорса). Всего же за последние три года на сектор промышленности было совершено около 600 тыс. попыток кибератак.
При этом среди общего объема данных, утекших в сеть за последние годы, к промышленности относится только 1%, еще 3% относятся к телеком-отрасли, отмечают эксперты центра мониторинга внешних цифровых угроз Solar AURA. Речь идет о попытках кражи как технической информации, так и коммерческих данных о клиентах и сделках.
«Такого рода инциденты редко становятся достоянием общественности: осуществив успешное проникновение в инфраструктуру организации, злоумышленники стараются не привлекать излишнего внимания, не выкладывают базы в открытый доступ и не стремятся сделать себе пиар на таких атаках. Это еще раз указывает на то, что шпионаж — основная цель кибератак в отношении отрасли промышленности. В ряде случаев хакеры могут месяцами оставаться в инфраструктуре предприятия незамеченными, добывая ценную информацию, развивая атаку, стараясь увеличить масштаб вредоносного воздействия или реализовать атаку на цепочку поставок».
В промышленности встречаются и атаки с применением массового вредоносного ПО (ВПО). По данным мониторинга Solar JSOC, почти 10% подтвержденных инцидентов (то есть тех, на которые заказчик ответил и подтвердил критичность для бизнеса) приходятся на тип «вирус обнаружен на хосте и не удален». Особенно актуальным для промышленности становятся атаки вирусов-майнеров (почти 4% подтвержденных инцидентов). Это связано с масштабами распределенных инфраструктур и сложностью контроля соблюдения политик информационной безопасности (ИБ) в них. При этом мощности используемого на предприятиях оборудования дают злоумышленникам достаточно ресурса для добычи криптовалюты. Хотя чаще всего ВПО все-таки «пытается» провести подбор пароля или проэксплуатировать уязвимость EternalBlue (из-за которой возникли в свое время эпидемии WannaCry и NotPetya).
По данным с сенсоров и ханипотов на сетях «Ростелекома», из всех организаций, в инфраструктуре которых уже обнаружены вирусы, на промышленность и телеком приходится 35%. При этом, по оценке центра исследования киберугроз Solar 4RAYS, в 2024 году средний показатель продолжительности заражения для организаций из разных отраслей составляет 11,9 месяца. Для промышленных сетей — 12,5 месяцев, а для телекоммуникационных — 11,3 месяца. В 2023 году значения были ниже — 6,7 месяца для всех отраслей, и 8,5 и 11,3 месяца — для промышленности и телекома, соответственно.
Уязвимости организаций
По результатам анализа защищенности организаций, на сектор промышленности и телекома приходится 22% всех обнаруженных уязвимостей с высоким уровнем критичности. Внутри этих отраслей больше всего слабых мест (41% уязвимостей) найдено в энергетике. Еще 25% — в телекоме, далее следуют нефтегазовая отрасль (18%) и производство (16%).
Большинство обнаруженных уязвимостей в реализованных проектах связаны со слабой парольной политикой (30%) и недостатками в контроле доступа (20%). Но не теряют актуальности риски, связанные с использованием компонентов с известными уязвимостями (10%), недостатками конфигураций (10%) и инъекциями (10%).
«Как и в других отраслях, основным источником рисков кибератак в телекоме и промышленности является использование слабых паролей, что говорит о необходимости повышения навыков ИБ у сотрудников и внедрения более строгой парольной политики. Эти слабые места видят и киберпреступники, о чем красноречиво говорит статистика инцидентов и аналитика расследований. Попав в корпоративные сети промышленных предприятий, злоумышленники собирают не только информацию о коммерческой деятельности организации (ее конкурентах, счетах и т.п.), но и технические данные и информацию, которая поможет им получить доступ в технологический сегмент. А это чревато уже просто потерями конкретного бизнеса, но и массовыми авариями и серьезными последствиями для целых регионов».
***
Группа компаний «Солар» — архитектор комплексной кибербезопасности. Ключевые направления деятельности — аутсорсинг ИБ, разработка собственных продуктов, обучение ИБ-специалистов, аналитика и исследование киберинцидентов.
С 2015 года предоставляет ИБ-решения организациям от малого бизнеса до крупнейших предприятий ключевых отраслей. Под защитой «Солара» – более 1000 крупнейших компаний России. Продукты и сервисы «Солара» объединены в домены экспертизы: Безопасная разработка программного обеспечения, Управление доступом, Защита корпоративных данных, Детектирование угроз и хакерских атак. Домены экспертизы закрывают все потребности заказчиков и включают собственные разработки, решения партнеров, услуги по созданию стратегии и архитектуры ИБ, консалтинг, обучение персонала.
Компания предлагает сервисы первого и крупнейшего в России коммерческого SOC — Solar JSOC, экосистему управляемых сервисов ИБ — Solar MSS. Линейка собственных продуктов включает DLP-решение Solar Dozor, шлюз веб-безопасности Solar webProxy, межсетевой экран нового поколения Solar NGFW, IdM-систему Solar inRights, PAM-систему Solar SafeInspect, анализатор кода Solar appScreener и другие.
ГК «Солар» развивает платформу для практической отработки навыков защиты от киберугроз «Солар Кибермир». Работа центра исследования киберугроз Solar 4RAYS нацелена на изучение тактик киберпреступников. Полученные аналитические данные обогащают разработки Центра технологий кибербезопасности.
Группа компаний «Солар» инвестирует в развитие отрасли кибербезопасности и помогает решать проблему кадрового дефицита. Совместно с Минцифры России в рамках национального проекта «Цифровая экономика Российской Федерации» реализует всероссийскую программу кибергигиены, направленную на повышение цифровой грамотности населения.
Штат компании — более 1 800 специалистов. Подразделения «Солара» расположены в Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Ростове-на-Дону, Томске, Хабаровске и Ижевске. Технологии компании и наличие распределенных по всей стране центров компетенций позволяют ей работать в режиме 24/7.