Принимаю условия соглашения и даю своё согласие на обработку персональных данных и cookies.
Согласен

Хакеры освоили новые инструменты взлома систем безопасности банков, IT-компаний и госструктур

23 января 2024, 10:02
Фото: Анастасия Кеда, 66.RU
Главной угрозой при кибератаках на госструктуры и частные компании в 2024 году станут лазейки в системах безопасности их подрядчиков и контрагентов. Так считают сотрудники Национального координационного центра по компьютерным инцидентам и представители частных структур безопасности. Это значит, что проблемы возникнут у компаний, которыми хакеры прежде не интересовались.

Удары по слабому звену

Экспертный центр безопасности Positive Technologies (PT ESC) проанализировал более ста хакерских атак на предприятия и госучреждения России и СНГ за 2021–2023 годы. По словам сотрудников центра, проникнуть в крупную компанию проще через контрагентов — поставщиков оборудования, разработчиков ПО, аудиторов, HR-агентства, у которых есть VPN-доступ к IT-инфраструктуре заказчика. «Такие предприятия не ждут неприятностей от злоумышленников, они слабо защищены, не следят за обновлением софта и не всегда используют антивирусы. Задача хакеров упрощается — в IT-контур партнера этих фирм они заходят под учетными записями, которые получили в процессе взлома», — говорит Денис Гойденко, руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies.

В 2023 году атака на контрагентов (supply chain attack) превратилась в проблему номер один.
Для взлома хакеры применяли два основных инструмента — доступные в интернете веб-приложения (63% случаев) и фишинговые рассылки (17% случаев). В числе уязвимых сервисов центр PT ESC называет почтовый сервер Microsoft Exchange — на его долю приходится 50% кибератак, веб-сервер Bitrix (13%) и продукты Confluence и Jira компании Atlassian (7%).

Хакеры освоили новые инструменты взлома систем безопасности банков, IT-компаний и госструктур
Фото: Анастасия Кеда, 66.RU

Эльман Бейбутов, директор по развитию продуктового бизнеса PT ESC, ссылается на пример, когда подрядчик использовал в сетевом периметре систему Confluence. Взломщики обнаружили в ней страницу с логинами и паролями энергетической компании-партнера. «Ничего безопаснее для сохранения учетных данных сотрудники не придумали, — говорит Бейбутов. — Через этого подрядчика хакеры и атаковали клиента. Кейс очень простой, но в России он распространен из-за отсутствия базовой гигиены и культуры, свойственного небольшим сервисным компаниям».

По данным лаборатории цифровой криминалистики F.A. C.C.T., с фишинга началась атака на системообразующий российский банк. Его сотрудники получили письма от имени известного маркетплейса, обещавшие корпоративную скидку. Чтобы купить товары на 25% дешевле, адресатам предлагали перейти в каталог. Ссылка в письме выглядела как настоящая, но отправляла на ресурс, с которого загружался файл для обхода механизмов защиты. Когда служба безопасности обнаружила и заблокировала фишинговую рассылку, объектом атаки стал подрядчик. Хакеры получили доступ к компьютеру одного из сотрудников компании и инфицировали расположенный на общем сетевом диске zip-архив с документами клиента.

Затем взломщики продвинулись в сеть и похитили конфиденциальные документы банка.
В 2023 году хакерские группировки использовали для фишинга темы трудоустройства, служб доставки и быстрого заработка, в том числе с помощью криптовалют. Системы защиты электронной почты во многих случаях обходили с помощью вложений с расширением pdf.

К концу года количество PDF-файлов с встроенными вредоносными ссылками, в том числе замаскированными под QR-коды или word-файлы, выросло в пять раз.

Хакеры освоили новые инструменты взлома систем безопасности банков, IT-компаний и госструктур
Фото: Анастасия Кеда, 66.RU

Сотрудники PT ESC убедились, что кибератака может продолжаться от нескольких дней до пяти лет. Все это время хакеры остаются в инфраструктуре компании и распоряжаются ее конфиденциальной информацией.

Простые решения закончились

По данным PT ESC, в тройке основных мишеней хакеров — государственные учреждения, промышленные предприятия и IT-компании. Принципиальной разницы между взломами государственных и частных структур нет, говорят специалисты, — и те и другие допускают одинаковые ошибки. «Безопасность непосредственно связана с мониторингом, с действиями квалифицированных специалистов, — объясняет Гойденко. — Такие специалисты обычно уходят из госструктур в коммерческие организации, где более широкая линейка мотивации ценных сотрудников».

Хакеры освоили новые инструменты взлома систем безопасности банков, IT-компаний и госструктур
Фото: Анастасия Кеда, 66.RU

Когда началась СВО на Украине, хакеры взломали виджет статистики, отслеживающий количество посетителей в нескольких правительственных учреждениях, и опубликовали свой контент на сайтах Министерства энергетики, Федеральной службы государственной статистики, Федеральной службы исполнения наказаний, Федеральной службы судебных приставов, Федеральной антимонопольной службы, Министерства культуры и других госучреждений.

Алексей Лукацкий, автор проекта «Бизнес безопасности», вспоминает случай, когда информацию у государственной структуры похитила компания, выступавшая как поставщик сетевого оборудования. Она выиграла тендер, предложив цену ниже, чем у производителя.

«Представьте — неизвестная фирма-однодневка прошла все проверки по реестрам недобросовестных поставщиков, претензий к ней не было, — говорит Лукацкий. — Но спустя какое-то время ведомство обнаружило в сетевом оборудовании закладки. С их помощью неизвестные лица получали интересующие их сведения. Вот вам классический пример доступа к конфиденциальным данным через поставщика оборудования».

Простых решений в такой ситуации нет, считают участники рынка. Техническая проверка оборудования обойдется заказчику недешево, тем более, предприятий, готовых выполнить тестирование, в России не так много. Как вариант, можно идентифицировать каждую сборочную единицу по QR-коду или серийному номеру изготовителя — на это потребуется время.

Хакеры освоили новые инструменты взлома систем безопасности банков, IT-компаний и госструктур
Фото: Анастасия Кеда, 66.RU

Обычно хакеры подбираются к конфиденциальной информации, чтобы ее уничтожить, потребовать выкуп за дешифровку/неразглашение данных или, наоборот, выложить в открытый доступ. Гойденко вспоминает случай, когда с помощью фишинга хакерская группировка завладела перепиской руководства строительной фирмы и угрожала ее опубликовать. За отказ от своих намерений взломщики требовали относительно небольшую сумму, бонусом предлагали отчет о действиях при взломе системы. «Собственники предприятия связались со своими знакомыми, которые попали в аналогичную историю и заплатили выкуп, — говорит Гойденко. — Взамен им рассказали о выявленных факторах уязвимости. Но застройщик платить отказался. Я не спрашивал, почему, и не убеждал его поступить иначе. Обычно мы не советуем вступать в переговоры с хакерами, но если речь идет о разумной сумме, можно рискнуть и проверить, получите вы расшифрованные данные или нет».

В марте 2022 года неизвестные проникли в компьютеры агрохолдинга «Мираторг». Точкой взлома стала государственная информационная система VetIS, которая обрабатывает и хранит информацию об обороте животноводческой продукции. Это обстоятельство позволило квалифицировать инцидент как атаку через контрагента.

Нападавшие использовали троянский вирус, шифрующий файлы в дисковой системе зараженных компьютеров. От вмешательства пострадали 18 производственных предприятий «Мираторга» — вместо электронных документов, сопровождающих готовую продукцию, им пришлось временно перейти на бумажные. Информацию в систему VetIS вносили уже потом.

Поскольку предложений заплатить за дешифровку информации не поступило, атаку расценили как теракт.

Не паранойя

Помимо уязвимых веб-сервисов и фишинга хакеры проникают в IT-системы с помощью архаичных методов вроде зараженных USB-носителей. По этой причине в некоторых крупных компаниях, обычно иностранных, USB порты компьютеров блокирует служба безопасности, персонал пользуется корпоративным облачным хранилищем. По словам Бейбутова, мера себя оправдывает — с большей вероятностью сотрудник корпорации потеряет флешку, чем станет жертвой хакера, который украдет его персональный пароль и получит доступ к внутренней информации.

Сложнее отказать подрядчикам, предпочитающим входить в IT-систему клиента со своего ноутбука. «Представьте себе производственную компанию — у нее есть подрядчики, которые работают со сложным оборудованием. Причем софт для этого оборудования, открывающий дополнительные административные возможности, установлен на компьютере подрядчика. Он будет настаивать, что должен использовать только свой ноутбук», — говорит Лукацкий.
Один из выходов в том, чтобы любой компьютер проходил проверку службы безопасности перед подключением к сети. Другой вариант — когда подрядчику выдают рабочий ноутбук с необходимым для его работы софтом и всеми корпоративными средствами защиты. Необходимую информацию он заранее выкладывает в облачное хранилище.

Хакеры освоили новые инструменты взлома систем безопасности банков, IT-компаний и госструктур
Фото: Анастасия Кеда, 66.RU

Теперь специалисты по информационной безопасности обсуждают, возможны ли вмешательства при обновлении действующего софта. «Десять лет назад мы разрабатывали модель угроз для автоматизированных систем управления технологическими процессами (АСУ ТП) одного заказчика и говорили, что реалистичным вектором может быть инфицированное обновление ПО подрядчика. Нам не поверили, сказали: «Что за ерунда?», а сейчас такой сценарий считают реалистичным», — говорит Николай Домуховский, заместитель генерального директора по научно-технической работе Уральского центра систем безопасности.

Если в компании считают, что производитель ПО может умышленно включить в обновление софта вредоносные элементы, решения у задачи нет, считают эксперты. Компании не под силу полностью верифицировать обновление и убедиться, что в нем нет каких-либо закладок.

Единственный способ с этим справиться — предполагать худшее, наблюдать за работой ПО и анализировать его аномальную активность. Если подозрения оправдаются, служба безопасности должна понимать, как решить проблему.

Жертвой хакеров может стать даже ПО, которое всегда считали безопасным. В сентябре 2023 года Лаборатория Касперского обнаружила вредоносную кампанию, нацеленную на операционную систему Linux. Если пользователь открывал в браузере легитимный веб-сайт Free Download Manager, а затем нажимал кнопку загрузки программы для Linux, в некоторых случаях его перенаправляли на URL-адрес, с которого скачивалась вредоносная версия. После запуска файла компьютер поражала разновидность троянского вируса, позволявшая злоумышленникам красть информацию, включая данные криптовалютных кошельков и даже учетные данные облачных сервисов, например, Amazon Web Services или Google.

Поскольку жертвы заражались при попытке загрузить программное обеспечение с официального сайта, эксперты посчитали, что речь идет об атаке на подрядчика.

В таких условиях многие компании выбирают концепцию «нулевого доверия» Zero Trust. Эта модель, подразумевающая, что хакеры действуют снаружи и внутри сети и ни одному устройству/пользователю доверять нельзя. Система автоматически запускает процедуру аутентификации и авторизации пользователя, прежде чем допустить его к базе данных или другим ресурсам компании.

Участники рынка рассказывают, как хакеры похитили отчеты об аудите безопасности клиентов у компании из Чебоксар, которая специализируется на IT-защите АСУ ТП.

На этом фоне концепция «нулевого доверия» выглядит безальтернативной.

Михаил Старков