Хакеры с квалификацией выбирают КИИ

Большая часть из этих 300 атак реализована группировками со средней квалификацией - киберкриминалом. Такие хакеры используют кастомизированные инструменты, доступное вредоносное ПО и уязвимости, социальный инжиниринг, а их основной целью является прямая монетизация атаки с помощью шифрования, майнинга или вывода денежных средств. По данным исследователей, на высокопрофессиональные группировки пришлось 18% атак, совершенных в этом году. Такие киберпреступники используют сложные инструменты: самописное ПО, 0-day-уязвимости, ранее внедренные "закладки". Как правило, они нацелены на заказные работы, кибершпионаж, хактивизм, полный захват инфраструктуры, а их жертвами становятся крупный бизнес и объекты КИИ.

"Доля атак высококвалифицированных злоумышленников будет увеличиваться примерно на 20-30% в год. При этом объекты КИИ останутся в их фокусе внимания. Темпы роста числа атак со стороны профессиональных группировок также будут ускоряться. Как правило, цели хакеров с высокой квалификацией - это контроль инфраструктуры и кибершпионаж. Именно поэтому наибольший интерес для них представляют крупные, стратегически важные организации, в частности владельцы КИИ", - ответил на вопросы ComNews о дальнейших темпах роста атак злоумышленников и о том, почему высокопрофессиональные хакеры занимаются КИИ, директор центра противодействия кибератакам Solar JSOC компании "Ростелеком-Солар" Владимир Дрюков.

Отвечая на вопрос ComNews, насколько в следующем году может увеличиться количество и качество атак на объекты КИИ, директор по стратегии компании - разработчика оборудования на основе квантовой криптографии QRate Андрей Дремлюга сказал, что невозможно назвать конкретный процент, но тренд - восходящий, при этом прополитические атаки могут носить скрытый характер.

"Например, по данным агентства Booz Allen, хакеры Китая уже собирают биометрические маркеры, информацию о сотрудниках, номера документов, чертежи и прочие данные, не теряющие своей ценности в долгосрочной перспективе, для их расшифровки квантовым компьютером. То есть атака может быть проведена сейчас, а негативный эффект будет ощутим позже. К какому отчетному периоду относить такую атаку, наверное, не столь важно. Главное, что защищаться от нее нужно уже сейчас", - резюмировал Андрей Дремлюга.

Отвечая на тот же вопрос, руководитель отдела продвижения продуктов компании "Код Безопасности" Павел Коростелев заметил, что рост кибератак в целом ожидается на уровне этого года. По его словам, нет причин ни для серьезного падения, ни для драматического роста таких атак, если только не случится каких-то потрясений в мире, войн или каких-то других очень неприятных геополитических ситуаций.

Абсолютное большинство кибератак (92%), совершенных высокопрофессиональными злоумышленниками в 2021 г., направлены на объекты критической информационной инфраструктуры (КИИ). Чаще всего внимание хакеров с высокой квалификацией - кибернаемников и проправительственных группировок привлекали госорганизации, предприятия энергетики, промышленности и ВПК. Такие цифры озвучил вице-президент "Ростелекома" по кибербезопасности, генеральный директор "Ростелеком-Солар" Игорь Ляпунов.

"Такие атаки почти всегда являются таргетированными, поэтому сначала злоумышленники внимательно изучают атакуемую организацию. Причем кибернаемники и проправительственные группировки проводят разведку не только в отношении ИТ-периметра жертвы, но и в отношении ее подрядчиков. Эти группировки хорошо знакомы с логикой работы базовых средств защиты информации, что позволяет им долгое время оставаться незамеченными. А ущерб от их действий может исчисляться сотнями миллионов рублей. Если же речь идет о КИИ, то возникают также риски, связанные с влиянием на экономику страны в целом, безопасность граждан и политическую ситуацию", - отметил Владимир Дрюков из "Ростелеком-Солар".

Павел Коростелев из компании "Код Безопасности" считает, что профессиональные хакерские атаки на КИИ - это общемировая тенденция, которая связана с усилением геополитической напряженности. По его словам, страны, у которых есть средства и финансовые возможности для наступательных действий в области кибербезопасности, получают резон их использовать. Эксперт добавляет, что целью таких атак, как правило, является критическая инфраструктура противоположных стран, отчего тренд и можно причислить к общемировым.

"Для высокопрофессиональных хакеров выгоднее заниматься объектами КИИ, потому что работа таких специалистов очень дорого стоит. Их услуги могут оплатить только богатые страны, а для них важны атаки на КИИ. Такие люди не будут ломать детский сад или почту какого-нибудь школьника. Очевидно, что они, как профессионалы, будут заниматься критически важными объектами", - заключает Павел Коростелев.

Андрей Дремлюга из QRate говорит, что нельзя сказать "в основном", однако атака объектов КИИ является одной из самых привлекательных с точки зрения политических и экономических результатов хакерской активности, так как создает критические риски для держателя инфраструктуры. Он отмечает, что Федеральный закон №187-ФЗ определяет 13 важных для государства сфер хозяйственной и экономической деятельности, в том числе здравоохранение, транспорт, связь, энергетику, банковскую сферу, ТЭК. По его словам, если организация владеет информационной системой, АСУ, используемой в одной из перечисленных сфер, арендует или управляет ею по поручению собственника, то данная система и управляемые ею объекты могут быть отнесены к разряду КИИ.

"Как мы видим, объекты для атак часто выбираются исходя из политических или экономических целей, поэтому тренд - общемировой с фокусом на экономически развитые страны. Если вспомнить кибератаки на Colonial Pipeline, Rheinmetall, Norsk Hydro, Hexion, Momentive и представить, что эти предприятия находятся в России, то они однозначно определялись бы как субъект КИИ. Организации с КИИ тесно связаны с оценкой потенциального ущерба от кибератак, который измеряется в денежном эквиваленте или риске для жизни и здоровья граждан. Постановление правительства №127 определяет масштаб возможных последствий. Так, если, например, при атаке на электросеть без электричества останутся более 5000 человек, то инфраструктура является значимым объектом КИИ первой (наивысшей) категории. Если 50 человек, то незначимым. Значимый объект обладает большими финансовыми или политическими ресурсами, которые злоумышленник постарается использовать в своих целях", - подчеркивает Андрей Дремлюга.

Ключевые техники, используемые профессиональными хакерами для взлома периметра, за год изменились незначительно. Фишинг по-прежнему занимает лидирующую позицию среди техник злоумышленников среднего уровня (60% атак), что объясняется его дешевизной и массовостью. В 50% атак хакеры с высокой квалификацией эксплуатируют веб-уязвимости. Это связано с тем, что веб-приложения объектов КИИ и органов госвласти (например, корпоративные порталы или веб-почта) до сих пор слабо защищены и имеют огромное количество ошибок. Кроме этого, высокопрофессиональные злоумышленники чаще, чем киберкриминал, прибегают к атакам через подрядчика, рост числа которых наблюдается уже не первый год. Фишинг же, напротив, применяется ими только в 2% случаев. К наиболее популярным техникам взлома в 2021 г. также добавилась эксплуатация уязвимостей в MS Exchange, которые опубликованы в конце 2020 г.

Старший консультант отдела аудита и консалтинга Центра компетенций по информационной безопасности "Т1 Интеграция" Роман Романов считает, что, говоря о КИИ как основном направлении для атак, надо учитывать обширность этого направления. Он полагает, что здесь стоит смотреть глубже и принимать во внимание, объектам из каких сфер хакеры уделяют большее "внимание", ведь КИИ - это не только здравоохранение или ТЭК, но банки и иные сферы финансового рынка. Вместе с тем эксперт согласен, что при широком рассмотрении атака объектов КИИ является скорее международной тенденцией и относится не только к России.

Как и годом ранее, для закрепления внутри сети киберпреступники чаще всего использовали механизмы автозагрузки и системные службы. А для развития подавляющего числа атак - удаленные сервисы RDP, SMB, SSH. В частности, это связано с массовым переходом на дистанционный режим работы: компании стали активнее использовать эти протоколы, позволяющие организовать удаленный доступ к файлам и устройствам.