Каждая третья успешная кибератака на промышленность имеет признаки шпионажа, а основные инциденты в отрасли связаны с пользовательскими учетными записями и контролем над ними — такие выводы содержатся в аналитическом отчете группы компаний «Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности). Особый интерес к промышленности (особенно к тяжелой и ТЭК) виден и в даркнете: хакеры часто ищут доступы и другие данные, которые помогут проникнуть в сеть предприятия и максимально долго оставаться незамеченными.
Отчет составлен на основе анализа попыток кибератак на клиентов центра Solar JSOC; аналитики внешних киберугроз, проведенной центром Solar AURA; данных с расследований центра Solar 4RAYS и работ, проведенных отделом анализа защищенности.
Среди инцидентов, зафиксированных центром противодействия кибератакам Solar JSOC, встречаются попытки подбора пароля (брутфорса) в том числе от критичных систем, административный доступ за пределы сети (указывает на использование средств ОС для удаленного доступа), многочисленные блокировки учетных записей (говорят о множественных попытках брутфорса). Всего же за последние три года на сектор промышленности было совершено около 600 тыс. попыток кибератак.
При этом среди общего объема данных, утекших в сеть за последние годы, к промышленности относится только 1%, еще 3% относятся к телеком-отрасли, отмечают эксперты центра мониторинга внешних цифровых угроз SolarAURA. Речь идет о попытках кражи как технической информации, так и коммерческих данных о клиентах и сделках.
«Такого рода инциденты редко становятся достоянием общественности: осуществив успешное проникновение в инфраструктуру организации, злоумышленники стараются не привлекать излишнего внимания, не выкладывают базы в открытый доступ и не стремятся сделать себе пиар на таких атаках. Это еще раз указывает на то, что шпионаж —основная цель кибератак в отношении отрасли промышленности. В ряде случаев хакеры могут месяцами оставаться в инфраструктуре предприятия незамеченными, добывая ценную информацию, развивая атаку, стараясь увеличить масштаб вредоносного воздействия или реализовать атаку на цепочку поставок», —отмечает директор центра противодействия кибератакам SolarJ SOC Владимир Дрюков.
В промышленности встречаются и атаки с применением массового вредоносного ПО (ВПО). По данным мониторинга Solar JSOC, почти 10% подтвержденных инцидентов (то есть тех, на которые заказчик ответил и подтвердил критичность для бизнеса) приходятся на тип «вирус обнаружен на хосте и не удален». Особенно актуальным для промышленности становятся атаки вирусов-майнеров (почти 4% подтвержденных инцидентов). Это связано с масштабами распределенных инфраструктур и сложностью контроля соблюдения политик информационной безопасности(ИБ) в них. При этом мощности используемого на предприятиях оборудования дают злоумышленникам достаточно ресурса для добычи криптовалюты. Хотя чаще всего ВПО все-таки «пытается» провести подбор пароля или проэксплуатировать уязвимость Eternal Blue (из-за которой возникли в свое время эпидемии Wanna Cry и Not Petya).
По данным с сенсоров и ханипотов на сетях «Ростелекома», из всех организаций, в инфраструктуре которых уже обнаружены вирусы, на промышленность и телеком приходится 35%. При этом, по оценке центра исследования киберугроз Solar 4RAYS, в 2024 году средний показатель продолжительности заражения для организаций из разных отраслей составляет 11,9 месяца. Для промышленных сетей —12,5 месяцев, а для телекоммуникационных —11,3 месяца. В 2023 году значения были ниже —6,7 месяца для всех отраслей, и 8,5 и 11,3 месяца —для промышленности и телекома, соответственно.
Уязвимости организаций
По результатам анализа защищенности организаций, на сектор промышленности и телекома приходится 22% всех обнаруженных уязвимостей с высоким уровнем критичности. Внутри этих отраслей больше всего слабых мест (41% уязвимостей) найдено в энергетике. Еще 25% —в телекоме, далее следуют нефтегазовая отрасль (18%) и производство (16%).
Большинство обнаруженных уязвимостей в реализованных проектах связаны со слабой парольной политикой (30%) и недостатками в контроле доступа (20%). Но не теряют актуальности риски, связанные с использованием компонентов с известными уязвимостями (10%), недостатками конфигураций (10%) и инъекциями (10%).
«Как и в других отраслях, основным источником рисков кибератак в телекоме и промышленности является использование слабых паролей, что говорит о необходимости повышения навыков ИБ у сотрудников и внедрения более строгой парольной политики. Эти слабые места видят и киберпреступники, о чем красноречиво говорит статистика инцидентов и аналитика расследований. Попав в корпоративные сети промышленных предприятий, злоумышленники собирают не только информацию о коммерческой деятельности организации (ее конкурентах, счетах и т.п.), но и технические данные и информацию, которая поможет им получить доступ в технологический сегмент. А это чревато уже просто потерями конкретного бизнеса, но и массовыми авариями и серьезными последствиями для целых регионов», — комментирует Владимир Дрюков.