«Солар»: шпионаж — основная цель хакеров при атаках на промышленность

Каждая третья успешная кибератака на промышленность имеет признаки шпионажа, а основные инциденты в отрасли связаны с пользовательскими учетными записями и контролем над ними — такие выводы содержатся в аналитическом отчете группы компаний «Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности). Особый интерес к промышленности (особенно к тяжелой и ТЭК) виден и в даркнете: хакеры часто ищут доступы и другие данные, которые помогут проникнуть в сеть предприятия и максимально долго оставаться незамеченными.

   
   

Отчет составлен на основе анализа попыток кибератак на клиентов центра Solar JSOC; аналитики внешних киберугроз, проведенной центром Solar AURA; данных с расследований центра Solar 4RAYS и работ, проведенных отделом анализа защищенности.

Среди инцидентов, зафиксированных центром противодействия кибератакам Solar JSOC, встречаются попытки подбора пароля (брутфорса) в том числе от критичных систем, административный доступ за пределы сети (указывает на использование средств ОС для удаленного доступа), многочисленные блокировки учетных записей (говорят о множественных попытках брутфорса). Всего же за последние три года на сектор промышленности было совершено около 600 тыс. попыток кибератак.

При этом среди общего объема данных, утекших в сеть за последние годы, к промышленности относится только 1%, еще 3% относятся к телеком-отрасли, отмечают эксперты центра мониторинга внешних цифровых угроз Solar AURA. Речь идет о попытках кражи как технической информации, так и коммерческих данных о клиентах и сделках.

«Такого рода инциденты редко становятся достоянием общественности: осуществив успешное проникновение в инфраструктуру организации, злоумышленники стараются не привлекать излишнего внимания, не выкладывают базы в открытый доступ и не стремятся сделать себе пиар на таких атаках. Это еще раз указывает на то, что шпионаж — основная цель кибератак в отношении отрасли промышленности. В ряде случаев хакеры могут месяцами оставаться в инфраструктуре предприятия незамеченными, добывая ценную информацию, развивая атаку, стараясь увеличить масштаб вредоносного воздействия или реализовать атаку на цепочку поставок», — отмечает директор центра противодействия кибератакам Solar JSOC Владимир Дрюков.

В промышленности встречаются и атаки с применением массового вредоносного ПО (ВПО). По данным мониторинга Solar JSOC, почти 10% подтвержденных инцидентов (то есть тех, на которые заказчик ответил и подтвердил критичность для бизнеса) приходятся на тип «вирус обнаружен на хосте и не удален». Особенно актуальным для промышленности становятся атаки вирусов-майнеров (почти 4% подтвержденных инцидентов). Это связано с масштабами распределенных инфраструктур и сложностью контроля соблюдения политик информационной безопасности (ИБ) в них. При этом мощности используемого на предприятиях оборудования дают злоумышленникам достаточно ресурса для добычи криптовалюты. Хотя чаще всего ВПО все-таки «пытается» провести подбор пароля или проэксплуатировать уязвимость EternalBlue (из-за которой возникли в свое время эпидемии WannaCry и NotPetya).

По данным с сенсоров и ханипотов на сетях «Ростелекома», из всех организаций, в инфраструктуре которых уже обнаружены вирусы, на промышленность и телеком приходится 35%. При этом, по оценке центра исследования киберугроз Solar 4RAYS, в 2024 году средний показатель продолжительности заражения для организаций из разных отраслей составляет 11,9 месяца. Для промышленных сетей — 12,5 месяцев, а для телекоммуникационных — 11,3 месяца. В 2023 году значения были ниже — 6,7 месяца для всех отраслей, и 8,5 и 11,3 месяца — для промышленности и телекома, соответственно.

   
   

Реклама. ПАО «Ростелеком»