Кибератаки на критическую информационную инфраструктуру

Безопасность критической информационной инфраструктуры РФ

Основная статья: Безопасность критической информационной инфраструктуры РФ

2024

ФСТЭК обяжет госорганы, банки и предприятия ТЭК хранить информацию о кибератаках в течение 3 лет

В начале августа 2024 года стало известно о том, что Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК) разработала новые требования к защите информации в госорганах и организациях, относящихся к критической информационной инфраструктуре (КИИ). Речь идет о банках, предприятиях топливно-энергетического комплекса (ТЭК) и пр.

Как сообщает газета «Коммерсантъ», документ ФСТЭК предусматривает изменение требований в отношении безопасного хранения данных, не составляющих государственную тайну, в госорганах и на объектах КИИ. Таким организациям будет необходимо внедрить антивирусную защиту ИТ-систем, обеспечить предупреждение вторжений в инфраструктуру и контроль защиты информации в целом. Кроме того, информационные системы объектов КИИ должны обладать ресурсами, необходимыми для пропускания трафика, вдвое превышающего по объему обычные показатели.

𝓲

Unsplash

При возникновении киберугрозы участникам рассматриваемого рынка необходимо взаимодействовать с госсистемой обнаружения компьютерных атак, а также с провайдером хостинга или организацией, предоставляющей услуги связи. Под угрозами безопасности в документе подразумеваются кибератаки по модели DDoS.Вице-премьер Дмитрий Григоренко рассказал TAdviser, как устроена цифровая модель госуправления Правительства России 4.3 т

Новые правила также предполагают, что организации должны будут в течение трех лет хранить информацию о киберинцидентах. Такие сведения должны включать дату и время начала и окончания атаки, тип угрозы, ее интенсивность (Гбит/с), перечень сетевых адресов, являющихся источником угроз, и меры защиты, которые были приняты.

Гендиректор хостинг-провайдера RUVDS Никита Цаплин полагает, что предложенные меры необходимы рынку, поскольку DDoS-атаки стали регулярным явлением. Однако реализация требований может привести к дополнительным расходам компаний из-за необходимости модернизации программно-аппаратных комплексов.^[1]

ФСТЭК назвала 6 главных причин успешных кибератак на предприятия и госорганы

В середине февраля 2024 года в Федеральной службе по техническому и экспортному контролю (ФСТЭК) перечислили четыре главных причины успешных хакерских атак на предприятия и госорганы:

• слабые пароли пользователей и администраторов;
• однофакторная идентификация;
• использование паролей, установленных по умолчанию;
• активные учетные записи уволенных сотрудников;
• использование для доступа к информационной инфраструктуре личных устройств работников;
• использование на рабочих местах личных мессенджеров и социальных сетей.

Результаты анализа компьютерных инцидентов, которые, к сожалению, у нас имели место быть за последние два года, позволили сформировать рейтинг основных недостатков, которые очень часто становятся предпосылками для успешной реализации компьютерных атак, - отметил начальник управления ФСТЭК Сергей Бондаренко, говоря о причинах, из-за которых чаще всего происходит взлом ИТ-систем компаний и государственных органов.

𝓲

Pexels

По словам Бондаренко, для создания надежной киберзащиты на предприятиях и в госорганах необходимо проводить инвентаризацию информационных ресурсов, устанавливать антивирусные программы, защищать периметр информационной инфраструктуры и контролировать почтовые вложения на предмет наличия вредоносного программного обеспечения.

В середине февраля 2024 года замглавы Минцифры РФ Александр Шойтов заявил, что атаки на критическую информационную инфраструктуру и госсистемы РФ, включая банки, усложнились. Часто хакеры, прикрываясь простыми DDoS-атаками, проводят еще несколько для дальнейшего негативного воздействия на ИТ-системы.

Мы даже не всегда и видим, - сказал Шойтов, выступая на одной из конференций, посвященной теме информационной безопасности.[2]

2023

Рост числа кибератак на объекты критической информационной инфраструктуры России на 16%

Число кибератак на объекты критической информационной инфраструктуры (КИИ) России за 2023 год выросло на 16% в сравнении с 2022-м. Об этом свидетельствуют данные Национального координационного центра по компьютерным инцидентам (НКЦКИ), о которых стало известно в мае 2024 года.

Как сообщает «Коммерсантъ» со ссылкой на материалы центра, примерно треть организаций-владельцев КИИ имеют в инфраструктуре уязвимые ресурсы. Самая частая причина — это использование зарубежного ПО без технической поддержки и обновлений.

𝓲

Unsplash

Если проанализировать кейсы компрометации на закрытых сессиях с НКЦКИ, то выяснится, что только малая часть атак на КИИ связана со сложными целевыми компьютерными атаками на уровне возможности иностранных спецслужб, — говорит руководитель отдела кибербезопасности компании «Криптонит» Павел Боглай.

По его словам, наибольшее число нападений на объекты КИИ происходит при помощи DDoS-атак, использования вирусов-трояной, а также при эксплуатации человеческого фактора (одинаковые пароли, пересылка важных данных через сторонние мессенджеры и пр.).

Эксперты ИБ-компании «Солар» отмечают, что злоумышленники стали тщательнее готовиться к атакам, делая их более точечными и сложными. Также хакеры активно пользуются инструментами киберразведки и социальной инженерии при подготовке и развитии атаки, добавили в группе.

Согласно исследованию специалистов Angara Security, порядка 40% атак на ИТ-инфраструктуру ведомств и объекты КИИ связаны с вредоносным программным обеспечением, фишингом и DDoS-атаками на сетевое оборудование, сайты и серверы.

Руководитель отдела развития продуктов InfoWatch ARMA Демид Балашов подчеркнул, что важными условиями для обеспечения киберзащиты объекта КИИ является планирование максимально защищенной ИТ-инфраструктуру, создание архитектуры системы защиты, применение подхода Secure-by-Design для минимизации уязвимостей и уменьшение поверхности для атак.^[3]

ФСБ задержала гражданина РФ, вступившего в киберразведку Украины для атаки на российскую КИИ

Сотрудники ФСБ РФ задержали в городе Белово Кемеровской области гражданина России, который вел противоправную деятельность, направленную против безопасности Российской Федерации. Задержанному предъявлено обвинение в совершении преступления, предусмотренного ст. 275 УК России (государственная измена в форме оказания иной помощи иностранной организации), избрана мера пресечения в виде содержания под стражей. Информация об этом опубликована на официальном сайте ФСБ в сообщении от 31 октября 2023 г.

𝓲

Оперативная съёмка ФСБ России

Установлено, что задержанный с помощью интернет-мессенджера вступил в украинское киберподразделение, действующее в интересах разведывательных служб Украины, в составе которого осуществлял компьютерные атаки с применением вредоносного программного обеспечения на информационные ресурсы России, которые привели к нарушению работоспособности объектов критической инфраструктуры страны.

𝓲

Оперативная съёмка ФСБ России

По информации ФСБ, в адресах проживания и работы фигуранта уголовного дела, а также его связей проведены следственные действия и оперативно-разыскные мероприятия, в ходе которых изъяты средства вычислительной техники и связи, получены данные, подтверждающие его антироссийскую деятельность.^[4]

Раскрыты подробности кибератак на предприятия российского ОПК через Microsoft Office

Эксперты компании Positive Technologies Денис Кувшинов и Максим Андреев при участии команд Incident response и Threat intelligence PT Expert Security Center подготовили подробный отчет с анализом троянской программы, названной ими MataDoor. Троянец был ранее замечен в отчетах Malwarebytes и `Лаборатории Касперского`, где он был назван MATAv5 и атрибутирован как часть деятельности хакерской группировки Lazarus. Эксперты же Positive Technologies получили исследуемый образец на одном из предприятий ОПК осенью 2022 года.

Предположительно начальный вектор проникновения вредоноса в инфраструктуру предприятия эксперты связывают с эксплуатацией уязвимости в компоненте Microsoft Internet Explorer под номером CVE-2021-40444. К сожалению, этот же компонент используется и в офисных приложениях Microsoft Office, что и позволяет сделать эксплойт, который запустит загрузку и исполнение на машине жертвы вредоносного кода. Для успешной атаки нужно, чтобы жертва загрузила документ в формате DOCX и открыла его на редактирование в Microsoft Office.

MataDoor может использоваться как для воровства ценной, секретной или персональной информации, так и для внедрения прослушивающих, следящих компонент и логических бомб

Письма, содержащие документы с эксплойтами для уязвимости CVE-2021-40444, рассылались по сведениям исследователей на российские предприятия оборонно-промышленного комплекса в августе-сентябре 2022 года. Часть из них по содержанию относилась к сфере деятельности атакованных предприятий, часть была составлена так, чтобы просто привлечь внимание адресата. Однако ранее – в сентябре 2021 года – компанией Malwarebytes были зафиксированы и исследованы аналогичные рассылки, но с другим эксплойтом.

Письма с эксплойтом уязвимости CVE-2021-40444 должны побуждать пользователя активировать режим редактирования документа, что является необходимым условием для его отработки. В этих письмах использовалось специфическое оформление текста, которое должно было побудить пользователя включить режим редактирования и сменить цвет шрифта на более контрастный. При включении режима редактирования происходит загрузка и выполнение вредоносного кода с контролируемого атакующими ресурса. Поэтому, если ваши сотрудники получали и просматривали письма с неконтрастным или другим неудобочитаемым оформлением, то стоит обследовать вашу инфраструктуру с помощью индикаторов компрометации, которые опубликовали в отчете исследователи.

Следует отметить, что MataDoor ориентирован на долговременное скрытое функционирование в скомпрометированной системе. Его файлы названы именами, похожими на легальное ПО, установленное на зараженных устройствах. К тому же ряд образцов имел действительную цифровую подпись. Также выявленные исполняемые файлы и библиотеки были обработаны протектором Themida для усложнения их анализа и обнаружения.

Сам же вредонос является модульным троянцем, который состоит из ядра (оркестратора) и модулей (плагинов), которые как раз и обеспечивают всю черную работу вредоноса в зависимости от того, на каком компьютере он установлен. MataDoor также предоставлял для своих модулей инфраструктуру передачи данных на контрольный сервер и асинхронного исполнения команд, загруженных с него. Таким образом, MataDoor может использоваться как для воровства ценной, секретной или персональной информации, так и для внедрения прослушивающих, следящих компонент и логических бомб. Ущерб, который был нанесен обнаруженным вредоносом и его собратьями, пока оценить достаточно сложно – в каждом отдельном случае нужно проводить тщательное расследование.

Центр кибербезопасности ФСБ фиксирует рост кибератак через ИТ-подрядчиков. Что рекомендуется делать

Кибератаки на информационные системы госорганов и субъектов критической информационной инфраструктуры (КИИ) через цепочку поставок, через ИТ-инфраструктуру подрядчиков в Национальном координационном центре по компьютерным инцидентам (НКЦКИ), подведомственном ФСБ, называют одной из ключевых тенденций в 2023 году.

Эксперт НКЦКИ Андрей Раевский, выступая на международной конференции по ИБ 6 июня, пояснил, что часто ИТ-подрядчик разрабатывает и сдаёт проект, но у него остаются права администратора для авторского надзора или дальнейшего сопровождения системы. И наблюдается тенденция проникновения в инфраструктуру госорганов и субъектов КИИ через административные права ИТ-подрядчика.

При этом на законодательном уровне требования в области ИБ к информационным системам таких подрядчиков сейчас отсутствуют. По словам эксперта, в НКЦКИ задумываются над тем, чтобы предусмотреть требования на законодательном уровне, в первую очередь, для ИТ-подрядчиков, выполняющих работы для госструктур и субъектов КИИ.

Из презентации Андрея Раевского

НКЦКИ со своей стороны рекомендует заказчикам в рамках технических заданий на ИТ-проекты прописывать требования к информационной безопасности ИТ-ресурсов подрядчиков. И некоторые серьёзные организации уже это делают, отмечает Андрей Раевский.

Помимо этого, НКЦКИ рекомендует ограничивать количество уделённых подключений к своим системам привилегированных пользователей из числа подрядчиков.

На рынке есть отечественные разработки в области средств привилегированного доступа. Их использование становится очень актуальным. В НКЦКИ считают, что стоит присмотреться к этим разработкам.

Также необходимо следить за появлением сведений об утечках и компьютерных инцидентах в подрядных организациях, и в случае таких утечек в отношении своих информационных ресурсов нужно запрашивать у разработчиков по реагированию и исследованию причин возникновения утечек.

Количество кибератак через подрядчиков выросло в 2 раза. Национальный центр по компьютерным инцидентам – о главных трендах 2022 года

В Национальном координационном центре по компьютерным инцидентам (НКЦКИ) констатируют, что на обстановку в российском информационном пространстве в 2022 году существенное влияние оказывало проведение СВО на территории Украины. Против России была развёрнута «беспрецедентная по масштабам» киберкампания, основными целями которой является выведение из строя информационной инфраструктуры и несанкционированный доступ к ИТ-системам организаций и предприятий различных отраслей критической информационной инфраструктуры РФ. Замдиректора НКЦКИ Николай Мурашов на отраслевом мероприятии 7 февраля резюмировал ключевые тенденции в области киберугроз за 2022 год.

Количество компьютерных атак на объекты российской информационной инфраструктуры в 2022 году увеличилось в разы. При этом отмечается увеличение и скорости реализации угроз: с момента появления сведений об угрозах – например, публикации сведений об уязвимостях – до практической реализации иногда проходит всего несколько часов.

Повышается доступность хакерского инструментария: на специализированных ресурсах регулярно публикуются исходные коды программных средств проведения атак, а также подробные сведения о компьютерных инцидентах для их дальнейшего анализа.

В 2022 году против России была развёрнута «беспрецедентная по масштабам» киберкампания, отмечают в НКЦКИ

Имеют место «политизированные недружественные действия» международного киберсообщества. Так, международное сообщество для реагирования на киберугрозы FIRST (Forum of Incident Response and Security Teams) прекратило работу с российскими центрами реагирования на компьютерные инциденты. Это решение подтверждает высказанную ранее НКЦКИ озабоченность о декларативном характере подхода некоторых стран к решению задачи по созданию мирной, стабильной и защищённой ИКТ-среды, считает Николай Мурашов.

В 2022 году увеличилось количество атак через цепочку поставщиков: это и интеграторы, и производители средств защиты, поставщики услуг и другие деловые партнёры. Количество атак через подрядчиков за год выросло в 2 раза, по имеющейся в распоряжении НКЦКИ информации. Получив доступ к инфраструктуре подрядчика, злоумышленники оказываются внутри целевой системы.

В 2022 году фиксировались массированные атаки на корневые DNS-сервера, отключение провайдеров от крупных магистральных каналов, встраивание вредоносного ПО в широко используемые элементы веб-страниц, а также появление вредоносного кода в обновлениях ПО – как свободно распространяемого, так и коммерческого.

Особенностью DDos-атак последних месяцев стало по-настоящему большое количество их участников. В кратчайшие сроки были сформированы Telegram-каналы, в которых проводилась агитация обычных людей, инструктаж участников, координация целеуказания, а также распространялись элементы проведения атак.

При этом большой объём DDoS-атак явился прикрытием для более серьёзных воздействий. Немало компьютерных атак было направлено на хищение информации из систем организаций и выведения из строя технологических процессов.

Одним из трендов стали атаки с использованием шифровальщиков для получения выкупа. В качестве целей злоумышленники выбирали платёжеспособные организации, в которых шифрование данных может нарушить функционирование основных бизнес-процессов. Поэтому они проявляли интерес к крупным компаниям, в том числе к промышленным предприятиям.

Большое внимание злоумышленники уделяют атакам, которые могут иметь значительный общественный резонанс, публикуется много утечек данных. В то же время, отмечают в НКЦКИ, в погоне за инфоповодом и общественным резонансом злоумышленники часто выдают сведения из ранее произошедших утечек за новые, делают компиляции из данных, полученных из публичных источников. Нередки случаи, когда взлом небольших организаций выдаётся за утечку из ключевых государственных систем или объектов критической информационной инфраструктуры. Тем самым поднимается якобы значимость произошедшего события, говорит Николай Мурашов.

Отдельно в НКЦКИ отмечают угрозы, связанные с возможным нарушением работы средств защиты информации. Прекращение их поддержки производителями, массовый отзыв сертификатов и другие ограничения могут оказывать негативное влияние на функционирование российского сегмента интернета.

Для повышения эффективности противодействия обострившимся угрозам ИБ необходима активизация и консолидация сил и технических средств субъектов критической информационной инфраструктуры, отметил Николай Мурашов.

В НКЦКИ также привели статистику по присоединениям к системе ГосСОПКА: к ней присоединились 1277 новых участников, а общее их количество теперь превышает 3,5 тыс.

2022

Количество кибератак на госсектор России выросло в несколько раз

В 2022 году число атак на российский государственный сектор увеличилось примерно вдвое-втрое относительно показателя годичной давности. Об этом «Ведомостям» рассказал аналитик данных центра мониторинга кибербезопасности IZ:SOC компании «Информзащита» Шамиль Чич (публикация вышла 16 января 2023 года). Подробнее здесь.

Почти половина российских ведомств подверглись кибератакам

За 12-месячный период, конец которого пришелся на июнь 2022 года, с кибератаками столкнулись почти половина (46,6%) российских ведомств. Причем в 15% случаев нападения хакеров были неоднократными. Об этом сказано в обнародованном в середине сентября 2022 года исследовании Центра подготовки руководителей и команд цифровой трансформации РАНХиГС.

Согласно отчету, выдержки из которого приводят «Ведомости», 69,6% атак на госорганы было совершено при помощи вирусов и программ-вымогателей, которые в основном проникают через корпоративную почту либо вредоносные сайты. 51,1% опрошенных назвали DoS- и DDoS-атаки, 46,7% — фишинговые атаки, 38% — атаки на корпоративную сеть и взлом паролей, 30,4% — утечку данных и несанкционированный доступ.

С кибератаками столкнулись почти половина (46,6%) российских ведомств

Основными мишенями правонарушителей в 73,9% случаев были сайты и веб-приложения ведомств. Такой процент объясняется тем, что в настоящее время большинство сотрудников и клиентов взаимодействуют через цифровые сервисы.

Не подвергались кибератакам только 31,9% госорганизаций. В каждой пятой организации затруднились ответить на этот вопрос.

В опросе приняли участие 302 госслужащих разного уровня из 75 регионов и всех федеральных округов. Это были респонденты с разным должностным статусом – от руководителей цифровой трансформации и руководителей высшего звена до рядовых сотрудников. В центре уточнили, что участники опроса были сегментированы по уровню ИТ-компетенций и ряд вопросов был задан только профильным специалистам (92 человека).

По оценке технического директора АО «Синклит» Луки Сафонова, процент атак на российский госсектор гораздо выше.

Я думаю, около 90% российских ведомств и структур за последнее время были атакованы — как школьниками, настроенными против России, так и зарубежными хакерами, — сказал Сафонов в середине сентября 2022 года. Он добавил, что около около 10% атак могли быть успешными.[5]

Китайские хакеры атаковали российские оборонные предприятия

Китайскоязычная кибергруппа атакует оборонные предприятия и госорганы в России, странах Восточной Европы и Афганистане. Об этом 8 августа 2022 года сообщила «Лаборатория Касперского».

Всего в ходе расследования специалисты выявили атаки на более чем дюжину организаций. Предположительно, целью злоумышленников был кибершпионаж. Эксперты предполагают, что выявленная серия атак, возможно, связана с деятельностью китайскоязычной кибергруппы TA 428. В ней применялись новые модификации известных ранее бэкдоров.

Атакующим удалось в ряде случаев полностью захватить ИТ-инфраструктуру. Для этого они использовали хорошо подготовленные фишинговые письма. В них содержалась внутренняя информация, не доступная в публичных источниках на момент её использования злоумышленниками, в том числе Ф. И. О. сотрудников, работающих с конфиденциальной информацией, и внутренние кодовые наименования проектов. К фишинговым письмам были прикреплены документы Microsoft Word с вредоносным кодом, эксплуатирующим уязвимость CVE-2017-11882 . Она позволяет вредоносной программе без дополнительных действий со стороны пользователя получить управление заражённой системой, от пользователя даже не требуется включать выполнение макросов.

В качестве основного инструмента развития атаки злоумышленники использовали утилиту Ladon с возможностями для сканирования сети, поиска и эксплуатации уязвимостей, кражи паролей. На финальном этапе они захватывали контроллер домена и далее получали полный контроль над интересующими злоумышленников рабочими станциями и серверами организации. Получив необходимые права, злоумышленники приступали к поиску и загрузке файлов, содержащих конфиденциальные данные, на свои серверы, развёрнутые в разных странах. Эти же серверы использовались для управления вредоносным ПО.

Целевой фишинг остаётся одной из наиболее актуальных угроз для промышленных предприятий и государственных учреждений. Серия атак, которую мы обнаружили, — не первая, по всей видимости, во вредоносной кампании. Поскольку злоумышленники достигают успеха, мы предполагаем, что такие атаки могут повториться и в будущем. Предприятиям и государственным организациям необходимо быть начеку и проводить соответствующую работу по подготовке к отражению сложных целенаправленных угроз, — сказал Вячеслав Копейцев, старший эксперт Kaspersky ICS CERT.

Кибергруппировка APT31 атакует российский топливно-энергетический комплекс и СМИ

В апреле 2022 года специалисты PT Expert Security Center компании Positive Technologies в ходе ежедневного мониторинга угроз выявили атаку на ряд российских организаций (СМИ и энергетические компании) с использованием вредоносного документа. Об этом представители Positive Technologies сообщили TAdviser 4 августа 2022 года. Подробнее здесь.

Администрация президента: 90% инфраструктуры госсектора России подверглось кибератакам

С момента начала российской спецоперации на Украине (24 июня 2022 года) около 90% инфраструктуры государственного сектора РФ столкнулись с кибератаками в той или иной степени. Об этом 16 июня 2022 года заявила начальник управления Администрации президента РФ по развитию информационно-коммуникационных технологий и инфраструктуры связи Татьяна Матвеева. Подробнее здесь.

Обнаружена кибергруппировка, атакующая госсектор, электроэнергетику и авиационно-космическую отрасль в России

17 мая 2022 года компания Positive Technologies сообщила, что ее экспертный центр безопасности (PT Expert Security Center, PT ESC) обнаружил очередную киберпреступную группировку. В России злоумышленники атаковали по меньшей мере пять организаций, в Грузии - одну, а точное число пострадавших в Монголии пока неизвестно. Среди целей атакующих, идентифицированных специалистами Positive Technologies, - госучреждения и предприятия из авиационно-космической и электроэнергетической отраслей. Подробнее здесь.

Positive Technologies: госорганы хуже всех защищены от кибератак

В России государственные органы хуже всех защищены от хакерских атак, считают в компании Positive Technologies, специализирующейся на технологиях информационной безопасности. Соответствующее заявление эксперты сделали в середине апреля 2022 года.

Федеральные министерства и ведомства показывают наименьшую степень готовности к кибератакам. Чиновники вынуждены сейчас жить в парадигме прошлого времени - сообщил директор по развитию бизнеса Positive Technologies в России Максим Филиппов.

В России государственные органы хуже всех защищены от хакерских атак, считают в компании Positive Technologies, специализирующейся на технологиях информационной безопасности.

По его словам, закупочные процедуры определены 44-ФЗ, 223-ФЗ. Для того чтобы приобрести какое-то средство защиты, которое к апрелю 2022 года стало как никогда актуальным, либо допустить на свои объекты экспертов для проведения ретроспективного расследования или перенастройки средств защиты, им необходимо пройти большое число тяжелых процедур. Они не успевают реагировать, а динамика и типы атак меняются поминутно. Если оперативно не обнаруживать и реагировать, то защищать будет нечего, считает Филиппов.

Также он указал на то, что государственные структуры и компании с госучастием выступают противниками информационного обмена с экспертами о прошедших кибератаках.

Госорганы боятся опубличивания этих инцидентов даже в кругу экспертных компаний. Это мне лично совсем не понятно. В нынешних условиях коллаборация с экспертами, которые сосредоточены на обеспечении безопасности инфраструктуры в киберпространстве, им нужна как воздух - добавил он.

Директор по развитию бизнеса Positive Technologies привел данные, согласно которым активность по кибератакам на компании и госорганы в РФ с конца февраля по середину апреля 2022 года выросла в 100 раз, при этом больше всего готовыми к кибератакам оказались банки, а менее всего - федеральные ведомства и компании с государственным участием.^[6]

2021

Более 90% атак высокопрофессиональных группировок направлены на объекты критической инфраструктуры

Абсолютное большинство (92%) кибератак, совершенных высокопрофессиональными злоумышленниками в 2021 году, было направлено на объекты критической информационной инфраструктуры (КИИ). Чаще всего внимание хакеров с высокой квалификацией – кибернаемников и проправительственных группировок – привлекали госорганизации, предприятия энергетики, промышленности и ВПК. Такие цифры 7 декабря 2021 года озвучил вице-президент «Ростелекома» по кибербезопасности, генеральный директор «Ростелеком-Солар» Игорь Ляпунов.

Всего, согласно исследованию «Ростелеком-Солар», в 2021 году было зафиксировано свыше 300 атак, реализованных профессиональными злоумышленниками, что на треть превышает показатели 2020 года. Большая часть атак была реализована группировками со средней квалификацией – киберкриминалом. Такие хакеры используют кастомизированные инструменты, доступное ВПО и уязвимости, социальный инжиниринг, а их основной целью является прямая монетизация атаки с помощью шифрования, майнинга или вывода денежных средств.

На высокопрофессиональные группировки пришлось 18% атак, совершенных в отчетный период. Такие киберпреступники используют сложные инструменты: самописное ПО, 0-day-уязвимости, ранее внедренные «закладки». Как правило, они нацелены на заказные работы, кибершпионаж, хактивизм, полный захват инфраструктуры, а их жертвами становятся крупный бизнес и объекты КИИ.

Такие атаки почти всегда являются таргетированными, поэтому сначала злоумышленники внимательно изучают атакуемую организацию. Причем кибернаемники и проправительственные группировки проводят разведку не только в отношении ИТ-периметра жертвы, но и в отношении ее подрядчиков, – отметил директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков. – Эти группировки хорошо знакомы с логикой работы базовых средств защиты информации, что позволяет им долгое время оставаться незамеченными. А ущерб от их действий может исчисляться сотнями миллионов рублей. Если же речь идет о КИИ, то возникают также риски, связанные с влиянием на экономику страны в целом, безопасность граждан и политическую ситуацию.

Ключевые техники, используемые профессиональными хакерами для взлома периметра, за год изменились незначительно. Фишинг по-прежнему занимает лидирующую позицию среди техник злоумышленников среднего уровня (60% атак), что объясняется его дешевизной и массовостью.

В 50% атак хакеры с высокой квалификацией эксплуатируют веб-уязвимости. Это связано с тем, что веб-приложения объектов КИИ и органов госвласти (например, корпоративные порталы или веб-почта) до сих пор слабо защищены и имеют огромное количество ошибок. Кроме этого, высокопрофессиональные злоумышленники чаще, чем киберкриминал, прибегают к атакам через подрядчика, рост числа которых наблюдается уже не первый год. Фишинг же, напротив, применяется ими только в 2% случаев. К наиболее популярным техникам взлома в 2021 году также добавилась эксплуатация уязвимостей в MS Exchange, которые были опубликованы в конце 2020 года.

Как и годом ранее, для закрепления внутри сети киберпреступники чаще всего использовали механизмы автозагрузки и системные службы. А для развития подавляющего числа атак – удаленные сервисы RDP, SMB, SSH. В частности, это связано с массовым переходом на дистанционный режим работы: компании стали активнее использовать эти протоколы, позволяющие организовать удаленный доступ к файлам и устройствам.

Обнаружена атакующая российские ТЭК и авиапром хакерская группировка

В конце сентября 2021 года стало известно о появлении новой хакерской группировки ChamelGang, которая замечена в атаках на критическую информационную инфраструктуру, в том числе в России. Подробнее здесь.

Число кибератак на критическую инфраструктуру РФ увеличилось на 150%

Число кибератак на критическую инфраструктуру РФ увеличилось на 150%. Об этом стало известно 12 июля 2021 года.

В 2020 году показатель тоже вырос, но всего на 40%. Шифровальщики в основном атаковали образовательную и научную сферы, а также промышленность. На них пришлось 30% от общего числа атак.

Российская компания Group-IB подсчитала, что 40% всех атак совершают «классические» киберпреступники. А вот остальные 60% приходятся на проправительственные агентства других государств.

На промышленные компании в большинстве случаев нападают вымогатели. Получается, что каждая крупная компания является потенциальной жертвой для киберпреступников. А сумма выкупов увеличивается.

Эксперты прогнозируют, что число кибератак в дальнейшем будем только увеличиваться, а суммы, запрашиваемые мошенниками, будут расти^[7].

На банки и предприятия ТЭК в России обрушились кибератаки через подрядчиков

В конце марта 2021 года сервис для защиты информационных активов «Ростелеком-Solar» опубликовал исследование, в котором сообщил о двукратном росте числа атак на объекты критической информационной инфраструктуры (КИИ: банки, предприятия ТЭК и т.п.) путем проникновения через инфраструктуру подрядчика (метод supply chain) в 2020 году. Центр мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар» выявил и отразил свыше 1,9 млн атак, что на 73% превышает показатель 2019 года.

По словам экспертов, взлом подрядчика стал самым эффективным методом для проникновения в целевые для киберпреступников инфраструктуры, среди которых, как правило, крупнейшие федеральные организации госсектора и объекты КИИ. Это подтверждается и международным опытом. В конце 2020 года стало известно о взломе компании-разработчика ПО SolarWinds, вследствие чего пострадали такие ее клиенты, как Microsoft, Cisco, FireEye, а также несколько ключевых министерств и ведомств США. Аналогичные попытки атак на органы власти и объекты КИИ Solar JSOC фиксирует и в России.

«Ростелеком-Солар» зафиксировал двукратный рост атак на КИИ через инфраструктуры подрядчиков

Активное использование метода supply chain связано с ростом числа более сложных целенаправленных атак. Кроме того, все чаще организации отдают на аутсорсинг часть внутренних процессов, но при этом редко мониторят собственную инфраструктуру и практически не контролируют точки подключения сторонних компаний к своей сети. В итоге проблема может долгое время оставаться вне фокуса внимания. Именно это привело к росту подобных атак в 2020 году.

В компании «Ростелеком-Solar» отметили, что рост популярности метода supply chain указывает не просто на изменение технической специфики атак, а на появление новой ключевой угрозы кибербезопасности на государственном уровне. Однако четкого решения, как минимизировать риски, пока нет. Даже аттестованный регулятором на соответствие нормам ИБ подрядчик может быть успешно атакован злоумышленниками. При этом у компании-заказчика нет возможности напрямую контролировать уровень ИБ-защиты аутсорсера, добавили эксперты.

Очевидно, что продвинутые АРТ-группировки будут все чаще использовать технику supply chain, поэтому ИБ-сообществу нужно как можно скорее выработать фундаментальный подход к решению проблемы, - отметил Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар».

Также впервые с 2017 года эксперты Solar JSOC фиксируют рост нарушений, совершаемых внутренними пользователями – рядовыми сотрудниками компаний. Больше половины (53%) внутренних инцидентов были связаны с утечками информации: перейдя на удаленный режим работы, сотрудники стали совершать нарушения, включая хищение и слив данных, на которые не решились бы в офисе. Кроме того, пандемия привела к росту нарушений в части доступа в интернет. Речь идет не только о посещении подозрительных сайтов с рабочего компьютера. Удаленные работники могли также получить нелегитимный доступ к закрытым ресурсам компании, так как корректно сегментировать корпоративную сеть на базе VPN затруднительно.

Самым распространенным инструментом внешних злоумышленников стало вредоносное ПО, а основным способом его доставки в инфраструктуру жертвы - фишинговые рассылки, большая часть которых спекулировала на теме COVID-19. При этом отмечается значительный рост (на треть) числа атак с использованием шифровальщиков: в период массовой «удаленки», когда многие компании ослабили ИБ-защиту, этот и без того простой способ монетизации стал еще популярнее.

В 2020 году на 30% выросло количество атак, направленных на получение контроля над инфраструктурой, в то время как количество атак, нацеленных на кражу денежных средств, увеличилось незначительно (менее, чем на 10%). Это говорит о значительном росте квалификации злоумышленников и усложнении их инструментария.

Отчет об атаках и инструментарии профессиональных группировок за 2020 год

2020

На ИТ-системы госорганов, банков и ТЭК России совершено 120 тыс. кибератак

На критическую информационную инфраструктуру России (сюда относятся ИТ-системы госорганов, банков, ТЭК и др. ) в 2020 году было совершено более 120 тыс. хакерских атак. Такую цифру 24 июня 2021 года озвучил секретарь Совета безопасности РФ генерал армии Николай Патрушев.

По его словам, киберпространство всё чаще становится ареной борьбы с «геополитическими оппонентами», а Россия регулярно подвергается компьютерным атакам.

Николай Патрушев: На ИТ-системы госорганов, банков и ТЭК России за год совершено 120 тыс. кибератак

Большая часть из них осуществлялась с территории США, Германии и Нидерландов, и была направлена против объектов государственного управления, военно-промышленного комплекса, здравоохранения, транспорта, науки и образования нашей страны, — сказал он.

Как отметил секретарь Совбеза, Россия выступает за неполитизированное сотрудничество между странами для создания глобальной системы кибербезопасности.

Россия выступает за развитие международного сотрудничества в интересах формирования глобального международно-правового режима, обеспечивающего безопасное и равноправное использование информационно-коммуникационных технологий, - подчеркнул он в интервью «Российской газете».

24 июня 2021 года в компании Group-IB привели данные, согласно которым в первой половине 2020 года в России было зарегистрировано втрое больше атак на объекты критической инфраструктуры, чем за весь 2019 год. 40% атак на объекты КИИ в России, были совершены киберкриминалом, 60% - прогосударственными атакующими.

Руководитель Департамента сетевой безопасности Group-IB Никита Кислицин отметил, что примерно 8 промышленных предприятий России из 10 имеют проблемы с обслуживанием ИТ-инфраструктуры.

По словам экспертов, к проблемам с обслуживанием ИТ-инфраструктуры организаций приводит недостаток ресурсов, устаревшее программное обеспечение и зачастую невыстроенный процесс патч-менеджмент.^[8]

Рост числа кибератак на органы власти в 2 раза - ИБ-центр ФСБ

Больше половины (58%) кибератак в России за 2020 год пришлось на органы государственной власти, тогда как в 2019-м эта доля равнялась 27%. Такие данные в конце апреля 2021 года привел заместитель директора созданного на базе ФСБ Национального координационного центра по компьютерным инцидентам (НКЦКИ; координирует работы по обнаружению, предупреждению и ликвидации последствий компьютерных атак на объекты критической информационной инфраструктуры в России и реагированию на компьютерные инциденты) Николай Мурашов.

Проведенный НКЦКИ анализ данных показал, что если в 2019 году наибольшая доля компьютерных атак была нацелена на кредитно-финансовую сферу – 33%, то в 2020 году – на информационные ресурсы органов государственной власти и предприятий промышленности, — сказал Мурашов на онлайн-брифинге (цитата по «РИА Новости»).

Доля кибератак на органы власти в 2020 году выросла вдвое

По его словам, доля хакерских атак на ИТ-системы предприятий промышленности в 2020 году достигла 38% против 18% годом ранее.

Ранее секретарь Совета безопасности РФ Николай Патрушев заявил, что интенсивность деятельности иностранных разведок в киберпространстве существенно возросла на фоне обострения обстановки в мире, а количество хакерских атак на российские информационные ресурсы в 2020 году выросло в 1,6 раза.

Патрушев отметил ежегодный рост хакерских атак на ИТ-ресурсы органов власти и компаний «с целью их блокировки, получения возможности доступа к охраняемым банкам данным и скрытому управлению информационными системами».

Одновременно актуальным остается вопрос использования уязвимостей применяемого в государственных органах и организациях программного обеспечения в разведывательных целях. Более 30% выявленных уязвимостей может быть использовано дистанционно для проведения компьютерных атак на информационную инфраструктуру, – сказал секретарь Совбеза РФ.[9]

Кемеровчанин осужден за кибератаки на КИИ РФ

Кемеровчанин осужден за кибератаки на КИИ РФ. Об этом стало известно 27 ноября 2020 года. Подробнее здесь.

Обнаружена подготовка к шпионской атаке китайской APT-группы на российские предприятия ТЭК

24 сентября 2020 года стало известно, что разработчик средств информационной защиты компания «Доктор Веб» опубликовала исследование фишинговой кампании, которая была нацелена на российские предприятия топливно-энергетического комплекса. Первая волна была датирована апрелем 2020 года, последние проявления активности случились в сентябре 2020 года. Подробнее здесь.

2019: Хакеры годами готовят атаки на ТЭК

Хакеры годами готовят атаки на предприятия топливно-энергетического сектора. Об этом 14 ноября 2019 года сообщили в компании Positive Technologies.

По словам экспертов, профессиональные кибергруппировки, проводящие целевые атаки, деструктивно нападают не сразу после проникновения. Они могут несколько лет контролировать все системы предприятия, не предпринимая никаких разрушительных действий, а лишь похищая важные сведения и ожидая подходящего момента, чтобы приступить к нападению.

Хакеры годами готовят атаки на предприятия топливно-энергетического сектора, параллельно похищая у них данные

В ходе расследования одного из инцидентов специалисты обнаружили, что группировка TaskMasters, занимавшаяся хищением конфиденциальных документов и шпионажем, находилась в инфраструктуре компании-жертвы не менее 8 лет.

В основном хакеры нападают на ТЭК, чтобы нарушить ее производственный процесс или ради похищения корпоративной информации и нанесения ущерба репутации. Лишь каждая третья атака преследует цель похищения финансовых средств, а чаще всего компании сталкиваются с утечками информации или подменой и уничтожением данных.

На кибератаки ТЭК с утечкой информации приходится 30% от общего количества инцидентов. В 26% случаев данные уничтожают или подменивают. 25% опрошенных предприятий заявили о том, что после атак инфраструктура компании простаивает.

По словам директора экспертного центра безопасности Positive Technologies Алексея Новикова, обнаружить целенаправленную атаку в момент проникновения злоумышленников в систему очень сложно. Проще и эффективнее раскрыть активность хакера уже после проникновения в инфраструктуру, например, при его перемещении между серверами уже во внутренней сети.

Такие перемещения непременно оставляют артефакты в сетевом трафике и на самих узлах, это позволяет обнаружить произошедшее ранее проникновение ретроспективно и устранить угрозу до того, как злоумышленник перейдет к активным деструктивным действиям или украдет важную информацию, — отметил Новиков.[10]

2018: За 2018 год на РФ было совершено около 4,3 млрд кибератак

По данным Национального координационного центра по компьютерным инцидентам, за 2018 год на критические инфраструктуры РФ было совершено более 4,3 млрд кибератак. Об этом в августе 2019 года сообщил заместитель секретаря Совета безопасности РФ Олег Храмов в интервью "Российской газете".

По словам Храмова, количество кибератак за последние шесть лет выросло на 57%. Если за период с 2014 по 2015 год случаи скоординированных целенаправленных атак составляли около 1,5 тыс. в год, то в 2018 году их количество превысило 17 тыс. Особую опасность представляют атаки, направленные на выведение из строя оборудования объектов критической инфраструктуры.

С начала 2019 года было предотвращено внедрение вредоносного программного обеспечения на более чем 7 тыс. объектов критических инфраструктур. Целями атак злоумышленников становились объекты кредитно-финансовой сферы (38% от всех атак), органов государственной власти (35%), оборонной промышленности (7%), сферы науки и образования (7%) и сферы здравоохранения (3%).

По данным американской компании Webroot, в 2018 году на долю США пришлось 63% интернет-ресурсов, распространяющих вредоносное ПО, тогда как доля Китая и России составляет всего 5% и 3% соответственно.

Примечания