По данным BI.ZONE Threat Intelligence, с начала текущего года промышленные и инженерные предприятия стали одной из наиболее вовлеченных в киберугрозы отраслей. На их долю пришлось 12% всех зафиксированных кибератак, что позволило этим сферам занять второе место среди наиболее атакуемых, уступив лишь государственным структурам (13% атак) и обогнав финансовую отрасль и логистику, на которые пришлось по 11% инцидентов.
В настоящее время на российские промышленные объекты нацелены как минимум 63 киберпреступные группировки. Среди них 32 кластера имеют шпионскую мотивацию, что предполагает использование сложных и хорошо продуманных атак. Такие злоумышленники, как правило, разрабатывают собственные вредоносные программы и строят многоступенчатые цепочки проникновения, чтобы незаметно закрепиться в инфраструктуре предприятий и длительное время извлекать конфиденциальные данные.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence, отметил, что в октябре-ноябре этого года его команда зафиксировала серию атак на российские промышленные и инженерные организации, организованных шпионским кластером Arcane Werewolf. Злоумышленники использовали фишинговые письма, маскируясь под деловую переписку, и отправляли ссылки, ведущие на вредоносное программное обеспечение.
Для повышения убедительности атаки злоумышленники создали сетевой ресурс, который имитировал корпоративный сайт одной из компаний, входящих в группу, на которую была нацелена атака. Страница, к которой пользователи переходили по ссылке, была оформлена в стиле и цветах реального сайта компании, включая логотип. Адрес сайта также был схож с официальными доменами организации, что усиливало иллюзию достоверности.
После перехода по ссылке пользователи видели страницу, имитирующую корпоративный файлообменник. С нее загружался ZIP-архив, содержащий фотографии оборудования и вредоносный LNK-файл, выдаваемый за служебный документ в формате PDF. Если пользователь открывал этот файл, с сервера злоумышленников загружался дроппер — вредоносная программа, которая, помимо отвлекающего файла (например, отчета о ревизии или уведомления о расследовании), содержала загрузчик Loki.
Загрузчик Loki собирал базовую информацию о скомпрометированном устройстве (имя устройства, пользователя, версию операционной системы, внутренний IP-адрес и т. д.) и передавал ее злоумышленникам. После этого он загружал и запускал имплант Loki, который выполнял функции трояна удаленного доступа, позволяя атакующим скрытно управлять устройством жертвы.
Российские вендоры говорят об угрозе не только со стороны хакеров, но и самого западного ПО, которое имеет «закладки» и на сегодня работает в серой зоне. Использование зарубежного софта в настоящий момент не обеспечивает информационную безопасность и сохранность данных, считает замгендиректора по научной работе «СиСофт Девелопмент» Михаил Бочаров.
«Проблема в том, что программное обеспечение “общается” со своим материнским сервером через интернет, что автоматически создает угрозу утери и порчи данных, особенно при обстоятельствах официального предупреждения. Даже, если компания работает локально», — сообщил эксперт. Он рекомендовал пересохранить данные в отечественных ПО-продуктах, и немедленно заняться импортозамещением.
Ранее в этом году специалисты BI.ZONE Threat Intelligence уже фиксировали атаки на российскую промышленность с использованием уязвимости в популярном архиваторе WinRAR. По данным аналитиков, злоумышленники приобрели эксплоит для этой уязвимости на теневом форуме, заплатив за него около 80 тысяч долларов.
Для защиты от подобных угроз важно не только своевременно обнаруживать попытки проникновения в сеть, но и оперативно нейтрализовать их. Для этого рекомендуется использовать решения класса endpoint detection and response (EDR). Кроме того, для получения данных о текущих кибератаках, тактиках злоумышленников и эксплуатируемых уязвимостях можно обратиться к порталам киберразведки, например BI.ZONE Threat Intelligence. Эти ресурсы помогут организовать проактивную защиту и быстро реагировать на возникающие инциденты кибербезопасности.
