"Ростелеком" рассказал об атаках хакеров на банки и ТЭК через подрядчиков

Число совершенных через подрядчиков атак на госорганы и другие объекты критической инфраструктуры за год удвоилось, оценили эксперты "Ростелекома". Хотя доля таких атак невысока, это самый эффективный способ взлома, говорят они

Специалисты "Ростелеком-Солар" — "дочки" "Ростелекома", специализирующейся на кибербезопасности, — зафиксировали в 2020 году двукратный рост хакерских атак вида supply chain (через подрядчиков) на объекты критической информационной инфраструктуры, к которой относятся сети связи и ИТ-системы госорганов, банков, объектов оборонной отрасли, ТЭК и т.д. Об этом говорится в ежегодном отчете компании по анализу угроз Solar JSOC Security Report (есть у РБК). В качестве таких подрядчиков могут выступать поставщики программного обеспечения, средств защиты, разработчики сайтов, различные компании, занимающиеся бухгалтерией на аутсорсинге, и другие.

В "Ростелеком-Солар" не уточнили число подобных атак, отметив лишь, что счет идет на "десятки". Их доля в общем объеме инцидентов пока невелика, "однако именно эту тактику используют профессиональные злоумышленники при атаках на ключевые организации страны", указано в исследовании.

Исследование проводилось на основе анализа прошлогодних кибератак среди 130 компаний (с численностью сотрудников от 1 тыс. человек) из разных отраслей — госсектор, нефтегазовая отрасль, энергетика, телекоммуникации и крупный ретейл.

Известным примером атаки типа supply chain в конце 2020 года стал взлом разработчика ПО SolarWinds, вследствие чего пострадали такие ее клиенты, как Microsoft, Cisco, FireEye, а также несколько ключевых министерств и ведомств США, говорится в отчете. В нем не приводятся названия отечественных организаций, которые пострадали от подобных атак, но отмечается, что в России взлом подрядчика стал самым эффективным способом проникновения в инфраструктуру госкомпаний и объектов критической информационной инфраструктуры.

Среди причин роста такого вида атак специалисты "Ростелеком-Солар" называют то, что компании все чаще отдают часть внутренних процессов на аутсорсинг, при этом не всегда выбирают благонадежного поставщика, который тщательно следит за собственной информационной безопасностью. Кроме того, лишь небольшое количество компаний проводят регулярный аудит инфраструктуры, из-за чего там "присутствуют незащищенные узлы, которыми пользуются или пользовались раньше подрядные организации".

Несмотря на появление такой ключевой угрозы кибербезопасности на государственном уровне, конкретного решения, как минимизировать риски, пока нет, говорит директор центра мониторинга и реагирования на кибератаки Solar JSOC "Ростелеком-Солар" Владимир Дрюков. "Даже аттестованный регулятором на соответствие нормам информационной безопасности подрядчик может быть успешно атакован злоумышленниками. При этом у компании-заказчика нет возможности напрямую контролировать уровень ИБ-защиты аутсорсера", — отмечает он.

В июле 2015 года директор американского Управления по персоналу Кэтрин Арчулета покинула свой пост вскоре после крупнейшей кражи персональных данных, в результате которой хакеры получили сведения о 22 млн гражданах США — госслужащих и членах их семей. Похищенную базу данных в США называли крупнейшей в истории, а в качестве организатора кибератаки упоминалось правительство Китая.

По словам директора блока экспертных сервисов BI.ZONE (входит в экосистему Сбербанка) Евгения Волошина, атаки на подрядчика — это быстрый и эффективный путь проникнуть в инфраструктуру организации. "Иногда причиной успеха может быть простая невнимательность: компания не обновила какое-либо ПО, где недавно была найдена уязвимость, и тем самым поставила под угрозу всех своих контрагентов", — объясняет он. BI.ZONE фиксирует рост числа атак на цепочки поставок уже не первый год: только за 2019 год их количество увеличилось почти на 80% по сравнению с предыдущим годом, но за 2020 год статистики пока нет, сказал Волошин.

Еще одна компания, занимающаяся кибербезопасностью, — Positive Technologies — еще в 2017 году предупреждала о том, что supply chains набирают обороты. Но настоящей "головной болью" они стали именно в 2020-м, говорит директор экспертного центра безопасности этого игрока Алексей Новиков. В марте прошлого года Positive Technologies зафиксировала деятельность китайской хакерской группировки Winnti, использовавшей в том числе метод supply chain. Целью этой группы является шпионаж и получение финансовой выгоды, она атаковала компании игровой индустрии, разработчиков ПО, компании авиационно-космической промышленности, энергетики, фармацевтики и др.
По оценке Positive Technologies, треть из нескольких десятков расследованных ими в прошлом году инцидентов касалась именно атак через supply chain. Новиков отметил, что многие компании все еще не рассматривают доверенных партнеров как возможный вектор проникновения хакеров, хотя их защищенность значительно хуже. Он, как и Дрюков, прогнозирует рост числа подобных атак в будущем.

Руководитель департамента системных решений Group-IB Станислав Фесенко считает, что в 2021 году угроза таких атак нависла над всеми объектами критической информационной инфраструктуры и компания оценивает их опасность для промышленного и государственного сектора как "критическую" и "очень высокую". В 2020 году в мире девять групп, связанных со спецслужбами и использующих такой метод атак, проявили интерес к энергетике, рассказал он.

Представитель "Лаборатории Касперского" сообщал, что в начале марта этого года был зафиксирован рост атак на хостинг электронной почты Microsoft Exchange Server. Примерно 40 российских компаний, пользующихся этим сервисом, подверглись атаке. Хакеры в течение нескольких недель пытались воспользоваться недостатками системы, чтобы получить доступ к почтовым аккаунтам и установить на них вредоносное ПО. Компания ESET Research также обнаружила около 5 тыс. попыток взлома почтовых адресов в 115 странах мира. Аккаунты принадлежат в том числе крупным компаниям и правительствам. Массовая атака усилилась после обновления системы Microsoft Exchange Server.

К каким еще выводам пришли специалисты "Ростелеком-Солар"

В 2020 году впервые за пять лет в исследованных компаниях выросла доля внутренних инцидентов. Опасаясь возможного сокращения, сотрудники в поисках дополнительного дохода начали сливать корпоративную информацию. В результате во втором полугодии доля внутренних утечек конфиденциальных данных составила 53,4 после 50,2% за тот же период 2019 года.

Самый популярный инструмент внешних атак — использование вредоносного ПО. В 2020 году их доля составила 39%, что на четверть выше показателя предыдущего года. Примерно на 30% выросло количество шифровальщиков, поскольку в период удаленки компании массово ослабили защиту информационной безопасности.

Число атак, направленных на получение контроля над инфраструктурой, выросло на 30%. В качестве причины эксперты называют возросшую активность киберпреступников и группировок, которые спонсируются иностранными государствами.
Почти 75% всех атак профессиональных хакеров — фишинговые рассылки, особенно активно они спекулировали на теме коронавируса.