Войти

Против взлома: за год «Ростех» зафиксировал 3 трлн событий информбезопасности

1200
0
0
Источник изображения: Фото: ИЗВЕСТИЯ/Сергей Коньков

Как хакеры из недружественных стран пытаются ослабить российский оборонно-промышленный комплекс

В прошлом году на предприятиях госкорпорации «Ростех» было зафиксировано почти 3 трлн событий информационной безопасности. Это в два раза больше, чем годом ранее, сообщили «Известиям» в госкорпорации. Эксперты отмечают, что российская промышленность сегодня в тройке самых атакуемых отраслей наряду с финансовым и государственным секторами. По их мнению, такими действиями наши противники хотят ослабить российский оборонно-промышленный комплекс и армию.

Часть гибридной войны

В 2024 году Центр мониторинга и реагирования на инциденты информационной безопасности госкорпорации «Ростех» (RT Protect SOC) обработал почти 3 трлн событий информационной безопасности (виртуальных инцидентов, которые могли бы повлиять на работу компании). Это почти в два раза больше, чем годом ранее. Системы зафиксировали более 1,2 млн срабатываний, из которых вручную проверили свыше 360 тыс. потенциально опасных инцидентов, сообщили в «Ростехе».

Фото: ИЗВЕСТИЯ

Источник изображения: iz.ru

Подтверждено 2230 случаев, способных повлиять на устойчивость критических IT-систем, промышленного оборудования и ведомственных сетей, отметили собеседники издания.

— Суть киберугроз меняется, — рассказал «Известиям» первый заместитель генерального директора АО «РТ-Информационная безопасность» Артем Сычев. — Хакеры больше не действуют в лоб, они ведут себя как разведчики: заходят незаметно, долго наблюдают, маскируются под штатную активность, а затем атакуют точечно. В 2024 году наш SOC обработал 2,94 трлн событий, подтвердил более 2 тыс. атак и научился выявлять угрозы еще до того, как они успеют нанести вред.

Рост количества кибератак на предприятия отечественного оборонно-промышленного комплекса неслучаен — это часть гибридной войны, которая ведется против нашей страны, рассказал «Известиям» военный эксперт Василий Дандыкин.

— Большинство атак — дело рук киевского режима, и это серьезная угроза, — отметил он. — За ними стоят другие страны, прежде всего Великобритания. Значение науки, промышленности в современных военных конфликтах очень велико, а люди и компании, изготавливающие новые системы вооружения, становятся приоритетными целями. Без боевой техники, отвечающей вызовам времени, даже высокомотивированная армия будет разбита в считаные дни.

Фото: ИЗВЕСТИЯ/Тарас Петренко

Источник изображения: iz.ru

Атрибуция кибератак сложна и часто политизирована, рассказал «Известиям» директор компании «Интернет-розыск» Игорь Бедеров.

— Однако основные источники угроз для России, особенно для ОПК, ассоциируются со странами НАТО, особенно с разведывательным альянсом «Пять глаз» (в него входят Австралия, Канада, Новая Зеландия, Великобритания и США. — «Известия»), Украиной, странами Восточной Европы и анонимными хакерскими группами, — отметил он.

Российские заводы и промышленные предприятия атакуют, как и прежде, в основном для проведения кибершпионажа или кибердиверсий. Но вот количество кибератак и число самих APT-групп, которые атакуют Россию, после начала СВО выросло значительно. Если в 2023 году насчитывалось 14 прогосударственных APT-групп, атакующих Россию и СНГ, то в 2024-м их стало в два раза больше — 27, рассказали «Известиям» эксперты департамента киберразведки (Threat Intelligence) компании F6.

Аномальная активность

Три триллиона угроз за год — это колоссальный объем, около 8,2 млрд в день, считает Игорь Бедеров.

Фото: ИЗВЕСТИЯ/Сергей Коньков

Источник изображения: iz.ru

— Эта цифра указывает на экстремальную активность злоумышленников, — отметил эксперт. — Рост в два раза по сравнению с 2023 годом — это тревожная тенденция, значительно опережающая среднемировые показатели. После начала СВО ситуация резко обострилась. Произошел резкий рост количества и интенсивности атак, изменение их характера и усложнение их атрибуции.

Директор по развитию бизнеса в «К2 Кибербезопасность» Андрей Заикин рассказал «Известиям», что количество инцидентов, которые фиксирует Центр мониторинга кибербезопасности компании, выросло в два раза. По его словам, фокус смещается в реальный сектор экономики.

— Российская промышленность сегодня в тройке самых атакуемых отраслей наряду с госсектором и финансами, — отметил он.

Чаще всего под ударом оказываются сферы с высокой степенью цифровизации и большими объемами данных: финансовый сектор, промышленность и фарминдустрия, подтвердила директор проектов IT-экосистемы «Лукоморье», product owner ИИ-центра «Сирин» Екатерина Ионова.

Фото: РИА Новости

Источник изображения: iz.ru

Злоумышленники хотят, чтобы работа наших оборонных предприятий была нарушена, ведь начиная с 2022 года мы находимся в состоянии кибервойны .

— Они также заинтересованы в краже информации о деятельности компаний, входящих в «Ростех», — рассказал «Известиям» гендиректор компании Phishman Алексей Горелкин.

Наш ОПК стараются ослабить всеми возможными способами — и виртуальными, и террористическими, уверен Василий Дандыкин.

— На наших конструкторов и руководителей уже не раз совершались покушения, — отметил он.

Эксперт напомнил, что такое воздействие уже широко вошло в практику — в ходе начавшегося конфликта между Израилем и Ираном были уничтожены не только генералы или политические деятели, но ученые и конструкторы, занимающиеся проектами иранского ВПК и даже мирным атомом.

Опасная почта

Большинство атак, приводивших к тем или иным последствиям, начинались с фишинговых писем или использования скомпрометированных учетных данных, отметили в «Ростехе».

Фото: ИЗВЕСТИЯ/Эдуард Корниенко

Источник изображения: iz.ru

Вредоносные сообщения часто маскировались под внутреннюю переписку, обращения от служб техподдержки или запросы от руководства.

Злоумышленники активно пытались использовать уязвимости в известных продуктах, таких как WinRAR и Outlook. Как показывает практика, наиболее уязвимыми оказываются подрядчики и партнеры компаний — через них злоумышленники стараются проникнуть в периметр основной инфраструктуры госкорпорации.

Согласно отчету Центра мониторинга и реагирования на инциденты информационной безопасности «Ростеха», более 70% инцидентов начинались с действий конечного пользователя — сотрудника, который открыл вредоносное письмо или не распознал подмену.

Фото: Global Look Press/IMAGO/Zoonar.com/Andres Victorer

Источник изображения: iz.ru

Также зафиксирован рост атак через популярные мессенджеры. Хакеры крадут аккаунты и рассылают вредоносные файлы, притворяясь коллегами. Всё чаще небезопасные послания бездействуют в системе до определенного момента. Этот «спящий режим» позволяет обойти защиту и активироваться в момент наибольшей уязвимости системы, например, в выходные или праздничные дни.

Хакеры и их приемы

Наибольшую активность в 2024 году проявили APT-группировки HeadMare и Cloud Atlas. Они использовали фишинг (незаконное получение доступа к логинам и паролям пользователей), архивы с вредоносными документами, а также программы удаленного доступа, говорится в отчете Центра мониторинга и реагирования «Ростеха».

После проникновения на устройство запускалась вредоносная программа PhantomCore, за которой следовали инструменты для закрепления в Сети и шифровальщики LockBit и Babuk. Причем атаки настраивались под каждую цель.

Фото: Global Look Press/IMAGO/Rene Traut

Источник изображения: iz.ru

В некоторых случаях программа не активировалась неделями, ожидая подходящего момента. Такие сценарии особенно опасны для предприятий оборонной и научной сферы, где злоумышленники стремятся к долгосрочному присутствию и сбору информации, отмечается в докладе.

Эксперты считают, что пока иностранные хакеры, атакуя российскую промышленность, делают ставку на массовость, но эту угрозу не стоит преуменьшать.

— Автоматизированные сканирования, массовый фишинг, попытки брутфорса, нецелевые атаки легко генерируются ботами. Но при этом рост угроз, разумеется, напрямую коррелирует с ростом риска успешных атак, — отметил Игорь Бедеров.

Последствия таких атак могут быть самыми разными, рассказали эксперты департамента киберразведки (Threat Intelligence) компании F6.

Фото: ИЗВЕСТИЯ/Эдуард Корниенко

Источник изображения: iz.ru

— Минимальный ущерб — это если сотрудник попался на массовые фишинг или скам. Последствия — угон TG-аккаунта, утечка личной учетной записи, — отметили они. — В более сложных схемах злоумышленники собирают информацию о цели, чтобы придумать хорошую легенду, например, по схеме FakeBoss («фальшивый босс»). Известно о ряде успешных атак, в ходе которых бухгалтеры различных организаций добровольно переводили средства (от сотен тысяч до десятков миллионов) на счета злоумышленников, думая, что выполняют поручения руководителя организации.

Методы борьбы с кибератаками постоянно совершенствуются, отмечают эксперты. Так, например, в «Ростехе» RT Protect SOC стал не только центром реагирования, но и инструментом прогнозирования атак извне. Благодаря этому система способна не только обнаруживать угрозы, но и предотвращать их на стадии подготовки.


Богдан Степовой

Владимир Матвеев

Антон Белый

Права на данный материал принадлежат
Материал размещён правообладателем в открытом доступе
  • В новости упоминаются
Хотите оставить комментарий? Зарегистрируйтесь и/или Войдите и общайтесь!
ПОДПИСКА НА НОВОСТИ
Ежедневная рассылка новостей ВПК на электронный почтовый ящик
  • Разделы новостей
  • Обсуждаемое
    Обновить
  • 11.07 04:31
  • 9599
Без кнута и пряника. Россия лишила Америку привычных рычагов влияния
  • 11.07 02:40
  • 6
ISW: Россия массово закупит мотоциклы для наступательных операций
  • 10.07 22:22
  • 10
Российскую лазерную систему ПВО применят против украинского «Лютого»
  • 10.07 17:49
  • 36
МС-21 готовится к первому полету
  • 10.07 17:48
  • 103
Обзор программы создания Ил-114-300
  • 10.07 17:42
  • 57
Гендиректор ОАК Слюсарь: испытания SSJ New с российскими двигателями начнутся осенью - Интервью ТАСС
  • 10.07 17:15
  • 0
Миграционный конфликт: предвестник провокации
  • 10.07 15:26
  • 1
БДК «Сергей Кабанов» и другие корабли проекта 11711 могут получить средства защиты от беспилотников
  • 10.07 14:53
  • 1
«Первый в мире маловысотный беспилотник»: Турция показала испытания дрона-камикадзе Talay для ударов по морским и береговым целям
  • 09.07 16:12
  • 0
Россия против Украины: дипломатия исчерпана
  • 09.07 16:01
  • 0
«Железный защитник» или прощальный марш
  • 09.07 09:51
  • 2
Российский тяжелый беспилотник упал на дом в Казани. Пятитонный дрон «Альтиус» разрабатывают уже 14 лет
  • 09.07 09:49
  • 2
Зеленоградский завод вложил 118 млрд в 130-нм производство чипов
  • 08.07 18:12
  • 12
Путин и отношения с Азербайджаном: фокус на Южном Кавказе (Al Mayadeen, Ливан)
  • 08.07 11:54
  • 0
Как изменится опыт игры в VR/AR-пространствах?