Удары по слабому звену
Экспертный центр безопасности Positive Technologies (PT ESC) проанализировал более ста хакерских атак на предприятия и госучреждения России и СНГ за 2021–2023 годы. По словам сотрудников центра, проникнуть в крупную компанию проще через контрагентов — поставщиков оборудования, разработчиков ПО, аудиторов, HR-агентства, у которых есть VPN-доступ к IT-инфраструктуре заказчика. «Такие предприятия не ждут неприятностей от злоумышленников, они слабо защищены, не следят за обновлением софта и не всегда используют антивирусы. Задача хакеров упрощается — в IT-контур партнера этих фирм они заходят под учетными записями, которые получили в процессе взлома», — говорит Денис Гойденко, руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies.
В 2023 году атака на контрагентов (supply chain attack) превратилась в проблему номер один.
Для взлома хакеры применяли два основных инструмента — доступные в интернете веб-приложения (63% случаев) и фишинговые рассылки (17% случаев). В числе уязвимых сервисов центр PT ESC называет почтовый сервер Microsoft Exchange — на его долю приходится 50% кибератак, веб-сервер Bitrix (13%) и продукты Confluence и Jira компании Atlassian (7%).
 Фото: Анастасия Кеда, 66.RU |
|---|
Эльман Бейбутов, директор по развитию продуктового бизнеса PT ESC, ссылается на пример, когда подрядчик использовал в сетевом периметре систему Confluence. Взломщики обнаружили в ней страницу с логинами и паролями энергетической компании-партнера. «Ничего безопаснее для сохранения учетных данных сотрудники не придумали, — говорит Бейбутов. — Через этого подрядчика хакеры и атаковали клиента. Кейс очень простой, но в России он распространен из-за отсутствия базовой гигиены и культуры, свойственного небольшим сервисным компаниям».
По данным лаборатории цифровой криминалистики F.A. C.C.T., с фишинга началась атака на системообразующий российский банк. Его сотрудники получили письма от имени известного маркетплейса, обещавшие корпоративную скидку. Чтобы купить товары на 25% дешевле, адресатам предлагали перейти в каталог. Ссылка в письме выглядела как настоящая, но отправляла на ресурс, с которого загружался файл для обхода механизмов защиты. Когда служба безопасности обнаружила и заблокировала фишинговую рассылку, объектом атаки стал подрядчик. Хакеры получили доступ к компьютеру одного из сотрудников компании и инфицировали расположенный на общем сетевом диске zip-архив с документами клиента.
Затем взломщики продвинулись в сеть и похитили конфиденциальные документы банка.
В 2023 году хакерские группировки использовали для фишинга темы трудоустройства, служб доставки и быстрого заработка, в том числе с помощью криптовалют. Системы защиты электронной почты во многих случаях обходили с помощью вложений с расширением pdf.
К концу года количество PDF-файлов с встроенными вредоносными ссылками, в том числе замаскированными под QR-коды или word-файлы, выросло в пять раз.
 Фото: Анастасия Кеда, 66.RU |
|---|
Сотрудники PT ESC убедились, что кибератака может продолжаться от нескольких дней до пяти лет. Все это время хакеры остаются в инфраструктуре компании и распоряжаются ее конфиденциальной информацией.
Простые решения закончились
По данным PT ESC, в тройке основных мишеней хакеров — государственные учреждения, промышленные предприятия и IT-компании. Принципиальной разницы между взломами государственных и частных структур нет, говорят специалисты, — и те и другие допускают одинаковые ошибки. «Безопасность непосредственно связана с мониторингом, с действиями квалифицированных специалистов, — объясняет Гойденко. — Такие специалисты обычно уходят из госструктур в коммерческие организации, где более широкая линейка мотивации ценных сотрудников».
 Фото: Анастасия Кеда, 66.RU |
|---|
Когда началась СВО на Украине, хакеры взломали виджет статистики, отслеживающий количество посетителей в нескольких правительственных учреждениях, и опубликовали свой контент на сайтах Министерства энергетики, Федеральной службы государственной статистики, Федеральной службы исполнения наказаний, Федеральной службы судебных приставов, Федеральной антимонопольной службы, Министерства культуры и других госучреждений.
Алексей Лукацкий, автор проекта «Бизнес безопасности», вспоминает случай, когда информацию у государственной структуры похитила компания, выступавшая как поставщик сетевого оборудования. Она выиграла тендер, предложив цену ниже, чем у производителя.
«Представьте — неизвестная фирма-однодневка прошла все проверки по реестрам недобросовестных поставщиков, претензий к ней не было, — говорит Лукацкий. — Но спустя какое-то время ведомство обнаружило в сетевом оборудовании закладки. С их помощью неизвестные лица получали интересующие их сведения. Вот вам классический пример доступа к конфиденциальным данным через поставщика оборудования».
Простых решений в такой ситуации нет, считают участники рынка. Техническая проверка оборудования обойдется заказчику недешево, тем более, предприятий, готовых выполнить тестирование, в России не так много. Как вариант, можно идентифицировать каждую сборочную единицу по QR-коду или серийному номеру изготовителя — на это потребуется время.
 Фото: Анастасия Кеда, 66.RU |
|---|
Обычно хакеры подбираются к конфиденциальной информации, чтобы ее уничтожить, потребовать выкуп за дешифровку/неразглашение данных или, наоборот, выложить в открытый доступ. Гойденко вспоминает случай, когда с помощью фишинга хакерская группировка завладела перепиской руководства строительной фирмы и угрожала ее опубликовать. За отказ от своих намерений взломщики требовали относительно небольшую сумму, бонусом предлагали отчет о действиях при взломе системы. «Собственники предприятия связались со своими знакомыми, которые попали в аналогичную историю и заплатили выкуп, — говорит Гойденко. — Взамен им рассказали о выявленных факторах уязвимости. Но застройщик платить отказался. Я не спрашивал, почему, и не убеждал его поступить иначе. Обычно мы не советуем вступать в переговоры с хакерами, но если речь идет о разумной сумме, можно рискнуть и проверить, получите вы расшифрованные данные или нет».
В марте 2022 года неизвестные проникли в компьютеры агрохолдинга «Мираторг». Точкой взлома стала государственная информационная система VetIS, которая обрабатывает и хранит информацию об обороте животноводческой продукции. Это обстоятельство позволило квалифицировать инцидент как атаку через контрагента.
Нападавшие использовали троянский вирус, шифрующий файлы в дисковой системе зараженных компьютеров. От вмешательства пострадали 18 производственных предприятий «Мираторга» — вместо электронных документов, сопровождающих готовую продукцию, им пришлось временно перейти на бумажные. Информацию в систему VetIS вносили уже потом.
Поскольку предложений заплатить за дешифровку информации не поступило, атаку расценили как теракт.
Не паранойя
Помимо уязвимых веб-сервисов и фишинга хакеры проникают в IT-системы с помощью архаичных методов вроде зараженных USB-носителей. По этой причине в некоторых крупных компаниях, обычно иностранных, USB порты компьютеров блокирует служба безопасности, персонал пользуется корпоративным облачным хранилищем. По словам Бейбутова, мера себя оправдывает — с большей вероятностью сотрудник корпорации потеряет флешку, чем станет жертвой хакера, который украдет его персональный пароль и получит доступ к внутренней информации.
Сложнее отказать подрядчикам, предпочитающим входить в IT-систему клиента со своего ноутбука. «Представьте себе производственную компанию — у нее есть подрядчики, которые работают со сложным оборудованием. Причем софт для этого оборудования, открывающий дополнительные административные возможности, установлен на компьютере подрядчика. Он будет настаивать, что должен использовать только свой ноутбук», — говорит Лукацкий.
Один из выходов в том, чтобы любой компьютер проходил проверку службы безопасности перед подключением к сети. Другой вариант — когда подрядчику выдают рабочий ноутбук с необходимым для его работы софтом и всеми корпоративными средствами защиты. Необходимую информацию он заранее выкладывает в облачное хранилище.
 Фото: Анастасия Кеда, 66.RU |
|---|
Теперь специалисты по информационной безопасности обсуждают, возможны ли вмешательства при обновлении действующего софта. «Десять лет назад мы разрабатывали модель угроз для автоматизированных систем управления технологическими процессами (АСУ ТП) одного заказчика и говорили, что реалистичным вектором может быть инфицированное обновление ПО подрядчика. Нам не поверили, сказали: «Что за ерунда?», а сейчас такой сценарий считают реалистичным», — говорит Николай Домуховский, заместитель генерального директора по научно-технической работе Уральского центра систем безопасности.
Если в компании считают, что производитель ПО может умышленно включить в обновление софта вредоносные элементы, решения у задачи нет, считают эксперты. Компании не под силу полностью верифицировать обновление и убедиться, что в нем нет каких-либо закладок.
Единственный способ с этим справиться — предполагать худшее, наблюдать за работой ПО и анализировать его аномальную активность. Если подозрения оправдаются, служба безопасности должна понимать, как решить проблему.
Жертвой хакеров может стать даже ПО, которое всегда считали безопасным. В сентябре 2023 года Лаборатория Касперского обнаружила вредоносную кампанию, нацеленную на операционную систему Linux. Если пользователь открывал в браузере легитимный веб-сайт Free Download Manager, а затем нажимал кнопку загрузки программы для Linux, в некоторых случаях его перенаправляли на URL-адрес, с которого скачивалась вредоносная версия. После запуска файла компьютер поражала разновидность троянского вируса, позволявшая злоумышленникам красть информацию, включая данные криптовалютных кошельков и даже учетные данные облачных сервисов, например, Amazon Web Services или Google.
Поскольку жертвы заражались при попытке загрузить программное обеспечение с официального сайта, эксперты посчитали, что речь идет об атаке на подрядчика.
В таких условиях многие компании выбирают концепцию «нулевого доверия» Zero Trust. Эта модель, подразумевающая, что хакеры действуют снаружи и внутри сети и ни одному устройству/пользователю доверять нельзя. Система автоматически запускает процедуру аутентификации и авторизации пользователя, прежде чем допустить его к базе данных или другим ресурсам компании.
Участники рынка рассказывают, как хакеры похитили отчеты об аудите безопасности клиентов у компании из Чебоксар, которая специализируется на IT-защите АСУ ТП.
На этом фоне концепция «нулевого доверия» выглядит безальтернативной.
