/Поглед.инфо/ Руските промишлени предприятия продължават да бъдат изложени на риск. Причината е нарастващият брой усъвършенствани хакерски атаки. Ако миналата година целта им най-често е била да получат финансови облаги, то тази година се предвиждат опити за организиране на истински саботаж в производството.
Кибератаките, които удариха Русия веднага след началото на специалната военна операция, продължават да застрашават нашата ИТ инфраструктура, включително индустриални предприятия. В момента онези слабости, които съществуват в системата за сигурност на много индустрии, изискват задълбочено проучване и повишено внимание.
Алексей Новиков, директор на Експертния център за сигурност на Positive Technologies, говори за това на конференция, проведена в рамките на форума за цифрова устойчивост и информационна сигурност на Русия.
Лов за главни инженери
Кибератаките срещу индустрията се случват постоянно. Всяко десето успешно действие от този тип се пада на този конкретен сегмент от икономиката.
„Броят на инцидентите, за съжаление, расте. И няма предпоставки те да станат по-малко. Все повече и повече предприятия се насочват към дигитализация и все повече и повече нападатели разбират, че има от какво да печелят“, каза експертът.
Броят на достъпите до инфраструктурата на индустриални организации, предлагани за продажба в тъмната мрежа през 2022 г., се е увеличил от 86 на 122 - с повече от 40%. Достъпите представляват 75% от всички реклами, свързани с индустрията, а цената им обикновено варира от $500 до $5000, според аналитичните материали на Positive Technologies, цитирани от лектора.
Индустриалният сектор, според експерти, привлича дори нискоквалифицирани киберпрестъпници с лесните си пари. Те получават първоначален достъп и след това го продават на по-компетентни нападатели, за да доразвият хака. Изследователите подчертават, че групите за рансъмуер са били най-активни миналата година в атаката, предимно като LockBit, BlackCat, Cl0p и Conti, хактивисти, както и APT групи като Space Pirates, APT31 и ChamelGang.
Алексей Новиков отбеляза, че по-голямата част от успешните атаки са насочени към компютри, сървъри и мрежово оборудване - 87%. В 44% от случаите са били „нападнати“ самите служители, тоест персоналът на промишлените предприятия. Такива операции са извършени с помощта на електронна поща в 94% от случаите, фишинг сайтове - в 10%. А 12% от атаките са насочени към сайтове на организации в този сектор.
При извършване на 70% от кибератаките срещу промишлени предприятия нападателите са използвали зловреден софтуер, в почти половината от случаите са използвали методи за социално инженерство, а в 43% от случаите са използвали уязвимости в софтуера. В този случай хакерите често комбинират няколко метода за хакване.
„Как изглежда веригата от действия на хакерите, когато искат да проникнат в индустриален обект? Първо той прониква в корпоративната мрежа, след което нападателите търсят компютъра на главния инженер. И този главен инженер най-вероятно има достъп до автоматизирана система за управление на процесите (АСУ УП", казва Алексей Новиков.
"В същото време компютрите и мрежовото оборудване са обекти на атака, добре проучени от хакерите, с които те знаят как да работят", добавя той.
"Въпреки това, в някои случаи сме виждали инциденти, когато нападателите не са имали време да разберат характеристиките на автоматизираната система за контрол на процесите. След като корпоративната мрежа беше хакната, телегамските канали попитаха: „Колеги, кой има инструкции за работа с определена автоматизирана система за управление на процесите?“, каза още Алексей Новиков.
Как да хакнете завод?
Най-разпространеният хакерски инструмент станаха "криптографи" (cryptolockers) - семейство злонамерени програми, които, използвайки различни алгоритми за криптиране, блокират достъпа на потребителите до файлове на компютър. Те са били използвани в две от три атаки със зловреден софтуер.
Следват зловреден софтуер за дистанционно управление (около 23% от атаките) и шпионски софтуер (около 15% от случаите). Също така, представител на Positive Technologies отбеляза, че вайперите, софтуер, който изтрива данни, също са придобили „популярност“.
„Трябва да се отбележи, че през 2022 г. имаше голям брой криптографи, които не предполагаха, че инфраструктурата може да бъде възстановена. Нападателите не възнамеряват, дори когато получават откуп, да прехвърлят информация, тъй като все още ще бъде невъзможно да се дешифрира “, оплака се той.
Най-използваният канал за социално инженерство в индустриалния сектор стана електронната поща. С негова помощ нападателите доставят зловреден софтуер, маскиран като различни документи и изпращат имейли със злонамерени връзки, които при кликване изтеглят специална програма или отварят фишинг сайтове. Алексей Новиков отбеляза, че нападателите често не трябва да разбиват нищо, компаниите вече имат уязвимости.
„Когато възстановявахме веригата от действия на хакерите, става ясно, че те са получили първоначалния достъп, например през декември миналата година, дори преди да са извършени разрушителните действия в инфраструктурата. Някои хакери казват, че това са били предварително уговорени достъпи", добави Новиков.
"Някой премина през данните за вход и парола на услугата за дистанционно управление, разбра каква фирма е, запази данните. Тогава вижда реклама в даркнет а-ла „ще купим достъп до конкретна индустриална организация“, предава информацията за развитие на атаката. Следователно през 2022 г. броят на рекламите за продаден достъп се е увеличил с 40%", разяснява още той.
"Това е страшна история. Само промяна в начина на мислене ще помогне на компаниите тук. Трябва да разберете, че най-вероятно е имало хак и трябва да го погледнете в ретроспекция. По този начин тъмната мрежа е платформа, която е позволила на хакерите да извършват по-успешни атаки“, заключи експертът.
Между другото, основните последици от хакването бяха изтичане на данни, включително данни, свързани с поверителността и търговските тайни. В същото време много хакерски групи имат „ушите“ на западните разузнавателни служби, стърчащи зад гърба им.
Конференция по киберсигурността на форума "Цифрова устойчивост и информационна безопасност на Русия" в Магнитогорск.
Вайпърите тръгват в атака
В ексклузивен коментар за "Експерт" Алексей Новиков отбеляза, че в индустрията няма отрасли, които да са по-защитени от други.
„Във всеки сегмент има недостатъци. За съжаление, трудовият опит показва, че някои предприятия, принадлежащи към индустриалната категория, не обръщат внимание на безопасността", заяви той.
"Особено ако става въпрос за среден или малък бизнес, който смята, че не може да бъде атакуван. Например преди две седмици с нас се свърза компания, разпространена в цяла Русия и занимаваща се с дърводобив и доставка на дървен материал. Когато попитахме къде са техните ИТ специалисти, те отговориха, че нямат щатен специалист по киберсигурност, въпреки че имат ИТ служба. Тоест не са мислили, че могат да пострадат. В резултат на това срещу тях е използвано криптиране, а това е спиране на бизнес процеси, логистика и така нататък “, каза той.
В същото време Positive Technologies са уверени, че през 2023 г. основната цел на престъпниците зад кибератаките срещу индустриални предприятия няма да бъдат финансови печалби, големи откупи и т.н., а прекъсване на дейностите, спиране на най-важните им технологични процеси и дори тези, провокирани извън инцидента.
Тоест всъщност всичко това вече може да се тълкува като пълноценен киберсаботаж, ако не и като кибервойна.
„В тази връзка прогнозираме появата на нов зловреден софтуер, насочен към индустриалните системи, както и по-широкото използване на „чистачки“, които водят до унищожаване на данни на устройства", обясниха от Positive Technologies.
"Очакваме и появата на нови кибершпионски кампании срещу промишлени предприятия и горивно-енергийния комплекс. 2023 г. няма да бъде лесна година за организациите от индустриалния сектор. Индустрията привлече значително внимание не само от нападателите, но и от регулаторите, които възнамеряват значително да повишат статуса на сигурност на индустрията", каза фирмата.
"Това от своя страна ще изисква активна работа и голям ресурс за осигуряване на необходимото ниво на сигурност и съответствие с нови, повишени изисквания", добавиха от компанията.
"Организациите трябва да проучат своите информационни активи, да идентифицират слабостите и възможните заплахи. На първо място е необходимо да се идентифицират възможни събития, които са неприемливи за функционирането на бизнеса, и редовно да се проверяват такива събития на практика чрез тестване за проникване или поставяне на цифрови близнаци на киберполигони", обясниха още експертите.
"Поради тенденцията да се нарушават основните дейности на индустриалните организации с помощта на различни зловреден софтуер, решенията за архивиране ще ви позволят бързо да се възстановите, ако атаката все пак постигне целта си “, заключиха от компанията.
Превод: СМ
Абонирайте се за нашия Ютуб канал: https://www.youtube.com
и за канала ни в Телеграм: https://t.me/pogled
Влизайте директно в сайта www.pogled.info . Споделяйте в профилите си, с приятели, в групите и в страниците. По този начин ще преодолеем ограниченията, а хората ще могат да достигнат до алтернативната гледна точка за събитията!?