Каждая вторая промышленная компания подвергалась APT-атаке, нередко с простоем инфраструктуры

Эксперты Positive Technologies описали специфику APT-атак на промышленные компании и организации ТЭК. Помимо этого, эксперты провели опрос среди посетителей сайта компании и участников ряда отраслевых сообществ.

По данным опроса, более половины (60%) респондентов из сферы промышленности и топливно-энергетического комплекса признают, что вероятность успешной кибератаки достаточно высока. При этом лишь 11% участников опроса уверены в том, что их предприятие сможет противостоять APT-атаке.

Большинство представителей организаций считают, что основной целью APT-группировки при атаке на их компании будет являться нарушение технологических процессов и вывод из строя инфраструктуры. Около половины (55%) участников опроса сообщили, что их организации уже становились жертвами атак. Каждый четвертый участник отметил, что одним из итогов такой атаки стал простой инфраструктуры.

При этом во многих компаниях используются лишь базовые средства защиты, которые практически бесполезны для противодействия таким сложным угрозам, как APT. Так, лишь 5% респондентов, работающих в промышленных и топливно-энергетических компаниях, сообщили, что в их организациях используются специализированные инструменты борьбы с целевыми атаками.

На практике типовые защитные решения оказываются неэффективными для противодействия APT-атакам. Кибергруппировки запутывают код своего вредоносного ПО, чтобы антивирусные решения на компьютерах сотрудников не могли распознать угрозу в момент атаки. Пять из девяти группировок, нацеленных на ТЭК, используют вредоносное ПО, выполняющееся сразу в оперативной памяти и не оставляющее следов на жестком диске. Киберпреступники добавляют в зловред специальные модули для определения версии используемого в системе антивируса, а также модули для обнаружения выполнения в «песочнице» и виртуальной среде, что позволяет обойти динамические проверки систем защиты в момент атаки.

Большинство APT-группировок шифруют канал связи с командными серверами, чтобы скрыть вредоносный трафик и обмануть системы обнаружения вторжений. При атаках на промышленные компании каждая вторая группа (46%) с этой целью использует известные алгоритмы шифрования, а 38% – их модифицированные версии. Вредоносный трафик часто маскируется под легитимный: при атаках на промышленный сектор 77% APT-группировок обмениваются информацией с командным центром по широко распространенным протоколам. Отдельные группировки, нацеленные на сектор ТЭК, размещают командные серверы по адресам, которые схожи с названиями известных в отрасли компаний.

Злоумышленников не останавливает даже полная изоляция технологического сегмента сети от ее корпоративного сегмента и интернета. Если их цель находится в промышленном сегменте, то в компанию могут быть подброшены съемные носители (например, флешки) с вредоносным ПО, или их может подключить к USB-разъемам критически важных систем внедрившийся в компанию инсайдер (техника Replication Through Removable Media).