Российской промышленности объявили кибервойну

Отечественные промышленные предприятия продолжают находиться в зоне риска. Причина — растущее число хакерских атак усовершенствованного типа. Если в прошлом году их целью чаще всего было получение финансовой выгоды, то в нынешнем прогнозируются попытки устроить настоящие диверсии на производстве.

Кибератаки, волна которых накатила на Россию сразу после начала специальной военной операции, по-прежнему угрожают нашей IT-инфраструктуре, в том числе промышленным предприятиям. На данный момент те слабые места, которые имеются в системе безопасности многих отраслей, требуют глубокой проработки и повышенного внимания.

Об этом на конференции, прошедшей в рамках форума «Цифровая устойчивость и информационная безопасность России», рассказал директор экспертного центра безопасности Positive Technologies Алексей Новиков.

Охота на главных инженеров

Кибератаки на промышленность происходят постоянно. Каждая десятая успешная акция такого типа приходится именно на данный сегмент экономики. «Количество инцидентов, к сожалению, растет. И нет никаких предпосылок, что их станет меньше. Все больше предприятий идет в сторону цифровизации и все больше злоумышленников понимает, что там есть, чем поживиться», — констатировал эксперт.

Число доступов к инфраструктуре промышленных организаций, выставленных в 2022 году на продажу в даркнете, выросло с 86 до 122 — более чем на 40%. Доступы составляют 75% всех объявлений, относящихся к промышленности, а их стоимость обычно колеблется от 500 до 5000 долларов, отмечено в аналитических материалах компании Positive Technologies, на которые сослался спикер. Индустриальный сектор, как считают специалисты, привлекает легким заработком даже малоквалифицированных киберпреступников. Они получают первоначальный доступ, а затем продают его более компетентным злоумышленникам для дальнейшего развития взлома. Исследователи подчеркивают, что активнее всего в прошлом году в атаку шли группировки вымогателей, в первую очередь такие, как LockBit, BlackCat, Cl0p и Conti, хактивисты, а также APT-группировки, типа Space Pirates, APT31 и ChamelGang.

Алексей Новиков обратил внимание, что основная часть успешных атак была направлена на компьютеры, серверы и сетевое оборудование — 87%. В 44% случаев «нападению» подвергались сами сотрудники, то есть персонал промышленных компаний. Подобные операции проводились при помощи рассылок по электронной почте в 94% случаев, фишинговых сайтов — в 10%. А 12% атак были направлены на сайты организаций данного сектора.

При проведении 70% кибератак на промышленные предприятия злоумышленники применяли вредоносное ПО, почти в половине случаев — методы социальной инженерии, в 43% случаев эксплуатировали уязвимости ПО. При этом зачастую хакеры комбинируют несколько методов взлома.

«Как выглядит цепочка действий хакеров, когда они хотят попасть на промышленный объект? Он сначала взламывается корпоративная сеть, затем злоумышленники ищут компьютер главного инженера. И этот главный инженер, скорее всего, через имеет доступ к автоматизированной системе управления технологическим процессом (АСУ ТП). При этом компьютеры, сетевое оборудование — это хорошо изученные хакерами объекты атак, с которыми они умеют работать. Впрочем, в некоторых случаях мы видели инциденты, когда злоумышленники не успевали разобраться в особенностях АСУ ТП. После взлома корпоротивной сети в telegam-каналах спрашивали: “Коллеги, у кого есть инструкции по работе с конкретной АСУ ТП системой?”», — рассказал Алексей Новиков.

Наиболее распространенным хакерским инструментом стали «шифровальщики» (криптолокерs) — семейство вредоносных программ, которые с помощью разлys[ алгоритмов шифрования блокируют доступ пользователей к файлам на компьютере. Их использовали в двух из трех атак с вредоносным программным обеспечением. Далее — ВПО для удаленного управления (около 23% атак), и программы для шпионажа (примерно 15% случаев). Также представитель Positive Technologies заметил, что «популярность» получили и вайперы — ПО, удаляющего данные.

«Необходимо обратить внимание, что в 2022 году было большое количество “шифровальщиков”, которые не подразумевали, что инфраструктуру можно будет восстановить. Злоумышленники не предполагают, даже при получении выкупа, передавать информацию, так как расшифровать все равно будет невозможно» — посетовал он.

Используемым чаще других каналом социальной инженерии в промышленном секторе стала электронная почта. С ее помощью злоумышленники доставляют вредоносное ПО, маскируя его под различные документы, и рассылают письма с вредоносными ссылками, при переходе по которым загружается специальная программа или открываются фишинговые сайты. Алексей Новиков отметил, что зачастую злоумышленникам не надо ничего ломать, компании уже имеют уязвимости.

«Когда мы восстанавливали цепочку действий хакеров, понятно, что первоначальный доступ они получили, например, в декабре прошлого года, еще до того, как случились деструктивные действия в инфраструктуре. Некоторые взломы говорят о том, что это были заранее подготовленные доступы. Кто-то перебрал логин и пароль на сервисе удаленного управления, понял, что это за компания, сохранил данные. Затем увидел объявление в даркнете а-ля “купим доступ к конкретной промышленной организации”, передал информацию для развития атаки. Поэтому в 2022 году на 40% выросло количество объявлений о продаваемых доступах. Это устрашающая история. Здесь компаниям поможет только изменение мышления. Нужно понимать, что, скорее всего, взлом был и смотреть на это надо уже ретроспективно. Таким образом, дарквнет — площадка, которая дала возможность хакерам проводить атаки более успешно», — резюмировал он.

Кстати, основными последствиями взломов становилась утечка данных, в том числе связанных с конфедициальность информацией и коммерческой тайной. При этом из-за спины у многих хакерских группировок «торчат уши» западных спецслужб.

«Вайперы» идут в атаку

Алексей Новиков заметил, что в рамках промышленности нет отраслей, которые защищены больше остальных. «Недостатки есть в каждом сегменте. К сожалению, опыт работы показал, что некоторые предприятия, относящиеся к категории промышленных, не уделяли внимания безопасности. Особенно, если это средний или малый бизнес, который думает, что они не могут быть объектами атак. Например, две недели назад компания, распределенная по России и занимающаяся заготовкой и доставкой леса, обратилась к нам. Когда мы спросили, где же их ИБ-шники, они ответили, что не имеют штатного специалиста по кибербезопасности, хотя у них есть ИТ-служба. То есть они не думали, что могут пострадать. В итоге против них применили шифрование, а это остановка бизнес-процессов, логистики и так далее», — указал он.

При этом в Positive Technologies уверены, что в 2023 году главной целью преступников, стоящих за кибератаками на промышленные предприятия, будет не финансовая выгода, крупные суммы выкупа и так далее, а перебои в деятельности, остановка их важнейших технологических процессов и даже спровоцированные из вне аварии.

То есть, по сути, все это уже можно будет трактовать как полноценные кибердиверсии, если не как кибервойну.

«В связи с этим мы прогнозируем появление новых вредоносных программ, ориентированных на промышленные системы, а также более широкое применение “вайперов”, приводящих к уничтожению данных на устройствах. Также мы ожидаем появления новых кампаний кибершпионажа в отношении промышленных предприятий и ТЭК. 2023 год не станет легким для организаций промышленного сектора. К отрасли приковано значительное внимание не только атакующих, но и регуляторов, которые намерены значительно повысить состояние защищенности отрасли. Это, в свою очередь, потребует активной работы и большого объема ресурсов для обеспечения необходимого уровня безопасности и соответствия новым, повышенным требованиям. Организациям стоит изучить свои информационные активы, определить слабые места и возможные угрозы. В первую очередь необходимо определить возможные события, которые недопустимы для функционирования бизнеса, и регулярно проводить верификацию таких событий на практике с помощью тестирования на проникновение или размещения цифровых двойников на киберполигонах. Из-за тенденции к нарушению основной деятельности промышленных организаций с помощью различного ВПО решения резервного копирования позволят быстро восстановиться, если атака все-таки достигла своей цели», — заключили в компании.

Екатерина Кобиц,