С начала 2020 года количество атак на промышленность держится на высоком уровне. В третьем квартале эту отрасль атаковали различные хакерские группировки - в их числе RTM и TinyScouts, а также операторы шифровальщиков - например, Maze. Об этом сообщает компания Positive Technologies.
Так, целью TinyScouts стали энергетические компании. Хакеры использовали метод социальной инженерии - на первом этапе злоумышленники рассылали сотрудникам различных организаций фишинговые письма - либо на тему COVID-19, либо составленные под конкретную жертву. В июльской кампании к письму прикреплялся файл с расширением .lnk, и когда пользователь открывал его, запускалась утилита mshta.exe. С ее помощью для пользователя открывался файл-заглушка, а для злоумышленников отрабатывал скрипт, проверяющий наличие TeamViewer, RDP-сессий и факт входа в домен. Далее следовала вариативная часть: если компания оказывалась интересной злоумышленникам, запускалась шпионская программа, собирающая все необходимые им данные, в противном случае начинал свою работу шифровальщик. Схожим образом действовала и группировка Gamaredon, активность которой специалисты по безопасности наблюдают на протяжении нескольких кварталов.
Операторы программы-вымогателя Maze провели успешную атаку на Hoa Sen Group - крупнейшего производителя стальных листов во Вьетнаме. В ходе атаки были похищены персональные данные сотрудников, внутренняя переписка и другая конфиденциальная информация. В сеть выложено 1,64 ГБ файлов, что составляет 5% от общего объема украденных данных. От рук тех же злоумышленников пострадал и крупный поставщик оперативной и флеш-памяти компания SK hynix. В результате атаки похищено 11 ГБ информации, в том числе конфиденциальные соглашения с Apple о поставке флеш-памяти NAND.
"В текущем году подавляющее большинство преступных групп переключилось на работу с программами-шифровальщиками - злоумышленники поняли, что с их помощью можно заработать не меньше, чем в случае успешной атаки на банк, а техническое исполнение - значительно проще", - объясняет Анастасия Тихонова, руководитель отдела исследования APT Group-IB.
По ее словам, текущий год дал жизнь еще большему количеству групп и партнерских программ, которые присоединились к "охоте за крупной дичью". "Размер выкупа также значительно увеличился: операторы криптолокеров нередко просят несколько миллионов долларов, а иногда - и несколько десятков миллионов. Например, группа OldGremlin, состоящая из русскоязычных хакеров, активно атакует исключительно российские компании - банки, промышленные предприятия, медицинские организации и разработчиков софта", - поясняет Тихонова.
Эксперт считает, что одним из самых слабых звеньев по-прежнему остается человек. "Известны примеры, когда оператор крупного промышленного предприятия заскучал, захотел послушать музыку, да и воткнул 3G-модем прямо в USB-порт системы управления и мониторинга SCADA. И вроде зла не желал, и правила знает, но ведь от желания "просто послушать музыку" ничего не будет... Или другой пример: когда администраторы подключают к системе АСУ ТП модем для обеспечения дистанционного управления, забывая, что они открывают свою систему в общедоступную сеть. Есть и другие способы, как кибершпионы и диверсанты могут проникнуть в "изолированные" сети важной инфраструктуры: USB-флешки, новый сервер с трояном в UEFI, Raspberry Pi с подключенным к сети 4G-модемом и "доверенный ноутбук", который сотрудник привез из командировки", - заключает Тихонова.
Устройства интернета вещей разнообразны и могут использоваться в различных отраслях - от умных камер для контроля технологического процесса на нефтеперерабатывающей установке до промышленных датчиков, установленных на трубопроводе теплотрассы на огромном расстоянии, поясняет Александр Карпенко, руководитель направления защиты АСУ ТП и КИИ Центра информационной безопасности "Инфосистемы Джет". "Они представляют миниатюрные самодостаточные вычислительные комплексы с процессором, операционной системой (в основном unix-подобной) и большим количеством периферийных компонентов: модуль Wi-Fi, модуль Bluetooth и т. д. Уровень защищенности таких устройств зачастую зависит от производителей оборудования, которые в погоне за функциональностью и стоимостью решений могут жертвовать безопасностью. По статистике Palo Alto Networks, 98% трафика IoT-устройств не шифруется и передается в открытом виде через интернет".
Эксперт полагает, что опасность использования устройств Интернета вещей в том, что определить факт компрометации проблематично и продвинутым инженерам. Целевые системы собираются из довольно большого количества устройств, и производить мониторинг, реагировать на возможные события безопасности и угрозы без дополнительных решений и человеческих ресурсов практически невозможно.
