Лишь 11% предприятий уверены в своей защите от APT-атак
В новых исследованиях специалисты Positive Technologies описали специфику APT-атак на промышленные компании и организации ТЭК. В опросе приняли участие 306 респондентов. Доля представителей ТЭК и промышленности составила 18,6%.
Девять из них фокусируются на организациях топливно-энергетического комплекса (ТЭК), а 13 объединений злоумышленников видят целью промышленные компании. Некоторые группировки атаковали и промышленные, и энергетические компании.
По данным опроса, более половины (60%) респондентов из сферы промышленности и топливно-энергетического комплекса признают, что вероятность успешной кибератаки достаточно высока. При этом лишь 11% участников опроса уверены в том, что их предприятие сможет противостоять APT-атаке.
Большинство представителей организаций считают, что основной целью при атаке на их компании будет являться нарушение технологических процессов и вывод из строя инфраструктуры. При этом 55% участников опроса сообщили, что уже становились жертвами атак. Каждый четвертый участник отметил, что одним из итогов такой атаки стал простой инфраструктуры.
Тем не менее во многих компаниях используются лишь базовые средства защиты, которые практически бесполезны для противодействия таким сложным угрозам. Лишь 5% респондентов, работающих в промышленных и топливно-энергетических компаниях, сообщили, что в их организациях используются специализированные инструменты борьбы с целевыми атаками.
Пять из девяти группировок, нацеленных на ТЭК, используют вредоносное ПО, выполняющееся сразу в оперативной памяти и не оставляющее следов на жестком диске.
Большинство APT-группировок шифруют канал связи с командными серверами, чтобы скрыть вредоносный трафик и обмануть системы обнаружения вторжений. При атаках на промышленные компании каждая вторая группа (46%) с этой целью использует известные алгоритмы шифрования, а 38% — их модифицированные версии. Вредоносный трафик часто маскируется под легитимный: при атаках на промышленный сектор 77% APT-группировок обмениваются информацией с командным центром по широко распространенным протоколам. Отдельные группировки, нацеленные на сектор ТЭК, размещают командные серверы по адресам, которые схожи с названиями известных в отрасли компаний.
Конечной целью APT-группировки может являться разрушительное деструктивное воздействие на инфраструктуру в определенный момент, связанный с политическими или военными событиями. Главная опасность заключается в том, что атака может не просто вывести оборудование из строя, но и спровоцировать серьезную аварию, которая нанесет ущерб экологии или приведет к человеческим жертвам.
По статистике 2 из 9 группировок перехватывают сетевой трафик, 4 из 9 ищут учетные данные в файлах, 6 из 9 получают учетные данные их памяти системных процессоров, и 7 из 9 устанавливают кейлоггеры и перехватывают ввод с клавиатуры.
И даже полная изоляция технологического сегмента сети от ее корпоративного сегмента и интернета не остановят их. Если цель находится в промышленном сегменте, то в компанию могут быть подброшены съемные носители (например, флешки) с вредоносным ПО, или их может подключить к USB-разъемам критически важных систем внедрившийся в компанию инсайдер (техника Replication Through Removable Media).
Эксперты также отметили, что выявить злоумышленников проще, когда их цель – надежно закрепиться в инфраструктуре и контролировать ключевые системы максимально длительное время. В таком случае у жертвы не только есть время до активных действий, но и возможность выследить проникшего по артефактам в сетевом трафике и на самих узлах.