Против взлома: за год «Ростех» зафиксировал 3 трлн событий информбезопасности
В прошлом году на предприятиях госкорпорации «Ростех» было зафиксировано почти 3 трлн событий информационной безопасности. Это в два раза больше, чем годом ранее, сообщили «Известиям» в госкорпорации. Эксперты отмечают, что российская промышленность сегодня в тройке самых атакуемых отраслей наряду с финансовым и государственным секторами. По их мнению, такими действиями наши противники хотят ослабить российский оборонно-промышленный комплекс и армию.
Часть гибридной войны
В 2024 году Центр мониторинга и реагирования на инциденты информационной безопасности госкорпорации «Ростех» (RT Protect SOC) обработал почти 3 трлн событий информационной безопасности (виртуальных инцидентов, которые могли бы повлиять на работу компании). Это почти в два раза больше, чем годом ранее. Системы зафиксировали более 1,2 млн срабатываний, из которых вручную проверили свыше 360 тыс. потенциально опасных инцидентов, сообщили в «Ростехе».
Подтверждено 2230 случаев, способных повлиять на устойчивость критических IT-систем, промышленного оборудования и ведомственных сетей, отметили собеседники издания.
— Суть киберугроз меняется, — рассказал «Известиям» первый заместитель генерального директора АО «РТ-Информационная безопасность» Артем Сычев. — Хакеры больше не действуют в лоб, они ведут себя как разведчики: заходят незаметно, долго наблюдают, маскируются под штатную активность, а затем атакуют точечно. В 2024 году наш SOC обработал 2,94 трлн событий, подтвердил более 2 тыс. атак и научился выявлять угрозы еще до того, как они успеют нанести вред.
Рост количества кибератак на предприятия отечественного оборонно-промышленного комплекса неслучаен — это часть гибридной войны, которая ведется против нашей страны, рассказал «Известиям» военный эксперт Василий Дандыкин.
— Большинство атак — дело рук киевского режима, и это серьезная угроза, — отметил он. — За ними стоят другие страны, прежде всего Великобритания. Значение науки, промышленности в современных военных конфликтах очень велико, а люди и компании, изготавливающие новые системы вооружения, становятся приоритетными целями. Без боевой техники, отвечающей вызовам времени, даже высокомотивированная армия будет разбита в считаные дни.
Атрибуция кибератак сложна и часто политизирована, рассказал «Известиям» директор компании «Интернет-розыск» Игорь Бедеров.
— Однако основные источники угроз для России, особенно для ОПК, ассоциируются со странами НАТО, особенно с разведывательным альянсом «Пять глаз» (в него входят Австралия, Канада, Новая Зеландия, Великобритания и США. — «Известия»), Украиной, странами Восточной Европы и анонимными хакерскими группами, — отметил он.
Российские заводы и промышленные предприятия атакуют, как и прежде, в основном для проведения кибершпионажа или кибердиверсий. Но вот количество кибератак и число самих APT-групп, которые атакуют Россию, после начала СВО выросло значительно. Если в 2023 году насчитывалось 14 прогосударственных APT-групп, атакующих Россию и СНГ, то в 2024-м их стало в два раза больше — 27, рассказали «Известиям» эксперты департамента киберразведки (Threat Intelligence) компании F6.
Аномальная активность
Три триллиона угроз за год — это колоссальный объем, около 8,2 млрд в день, считает Игорь Бедеров.
— Эта цифра указывает на экстремальную активность злоумышленников, — отметил эксперт. — Рост в два раза по сравнению с 2023 годом — это тревожная тенденция, значительно опережающая среднемировые показатели. После начала СВО ситуация резко обострилась. Произошел резкий рост количества и интенсивности атак, изменение их характера и усложнение их атрибуции.
Директор по развитию бизнеса в «К2 Кибербезопасность» Андрей Заикин рассказал «Известиям», что количество инцидентов, которые фиксирует Центр мониторинга кибербезопасности компании, выросло в два раза. По его словам, фокус смещается в реальный сектор экономики.
— Российская промышленность сегодня в тройке самых атакуемых отраслей наряду с госсектором и финансами, — отметил он.
Чаще всего под ударом оказываются сферы с высокой степенью цифровизации и большими объемами данных: финансовый сектор, промышленность и фарминдустрия, подтвердила директор проектов IT-экосистемы «Лукоморье», product owner ИИ-центра «Сирин» Екатерина Ионова.
Злоумышленники хотят, чтобы работа наших оборонных предприятий была нарушена, ведь начиная с 2022 года мы находимся в состоянии кибервойны .
— Они также заинтересованы в краже информации о деятельности компаний, входящих в «Ростех», — рассказал «Известиям» гендиректор компании Phishman Алексей Горелкин.
Наш ОПК стараются ослабить всеми возможными способами — и виртуальными, и террористическими, уверен Василий Дандыкин.
— На наших конструкторов и руководителей уже не раз совершались покушения, — отметил он.
Эксперт напомнил, что такое воздействие уже широко вошло в практику — в ходе начавшегося конфликта между Израилем и Ираном были уничтожены не только генералы или политические деятели, но ученые и конструкторы, занимающиеся проектами иранского ВПК и даже мирным атомом.
Опасная почта
Большинство атак, приводивших к тем или иным последствиям, начинались с фишинговых писем или использования скомпрометированных учетных данных, отметили в «Ростехе».
Вредоносные сообщения часто маскировались под внутреннюю переписку, обращения от служб техподдержки или запросы от руководства.
Злоумышленники активно пытались использовать уязвимости в известных продуктах, таких как WinRAR и Outlook. Как показывает практика, наиболее уязвимыми оказываются подрядчики и партнеры компаний — через них злоумышленники стараются проникнуть в периметр основной инфраструктуры госкорпорации.
Согласно отчету Центра мониторинга и реагирования на инциденты информационной безопасности «Ростеха», более 70% инцидентов начинались с действий конечного пользователя — сотрудника, который открыл вредоносное письмо или не распознал подмену.
Также зафиксирован рост атак через популярные мессенджеры. Хакеры крадут аккаунты и рассылают вредоносные файлы, притворяясь коллегами. Всё чаще небезопасные послания бездействуют в системе до определенного момента. Этот «спящий режим» позволяет обойти защиту и активироваться в момент наибольшей уязвимости системы, например, в выходные или праздничные дни.
Хакеры и их приемы
Наибольшую активность в 2024 году проявили APT-группировки HeadMare и Cloud Atlas. Они использовали фишинг (незаконное получение доступа к логинам и паролям пользователей), архивы с вредоносными документами, а также программы удаленного доступа, говорится в отчете Центра мониторинга и реагирования «Ростеха».
После проникновения на устройство запускалась вредоносная программа PhantomCore, за которой следовали инструменты для закрепления в Сети и шифровальщики LockBit и Babuk. Причем атаки настраивались под каждую цель.
В некоторых случаях программа не активировалась неделями, ожидая подходящего момента. Такие сценарии особенно опасны для предприятий оборонной и научной сферы, где злоумышленники стремятся к долгосрочному присутствию и сбору информации, отмечается в докладе.
Эксперты считают, что пока иностранные хакеры, атакуя российскую промышленность, делают ставку на массовость, но эту угрозу не стоит преуменьшать.
— Автоматизированные сканирования, массовый фишинг, попытки брутфорса, нецелевые атаки легко генерируются ботами. Но при этом рост угроз, разумеется, напрямую коррелирует с ростом риска успешных атак, — отметил Игорь Бедеров.
Последствия таких атак могут быть самыми разными, рассказали эксперты департамента киберразведки (Threat Intelligence) компании F6.
— Минимальный ущерб — это если сотрудник попался на массовые фишинг или скам. Последствия — угон TG-аккаунта, утечка личной учетной записи, — отметили они. — В более сложных схемах злоумышленники собирают информацию о цели, чтобы придумать хорошую легенду, например, по схеме FakeBoss («фальшивый босс»). Известно о ряде успешных атак, в ходе которых бухгалтеры различных организаций добровольно переводили средства (от сотен тысяч до десятков миллионов) на счета злоумышленников, думая, что выполняют поручения руководителя организации.
Методы борьбы с кибератаками постоянно совершенствуются, отмечают эксперты. Так, например, в «Ростехе» RT Protect SOC стал не только центром реагирования, но и инструментом прогнозирования атак извне. Благодаря этому система способна не только обнаруживать угрозы, но и предотвращать их на стадии подготовки.
