Исследование: Основной целью хакеров при атаках на промышленность стал шпионаж

Каждая третья успешная кибератака на промышленные предприятия связана со шпионажем, свидетельствует аналитический отчет группы компаний «Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности).

Основные инциденты в отрасли связаны с пользовательскими учетными записями и контролем над ними. При этом в даркнете заметен повышенный интерес к промышленности (особенно к тяжелой индустрии и ТЭК): хакеры часто ищут доступы и другие данные, которые помогут проникнуть в сеть предприятия и максимально долго оставаться незамеченными.

Отчет составлен на основе анализа попыток кибератак на клиентов центра Solar JSOC; аналитики внешних киберугроз, проведенной центром Solar AURA; данных с расследований центра Solar 4RAYS и работ, проведенных отделом анализа защищенности.

Среди инцидентов, зафиксированных центром противодействия кибератакам Solar JSOC, встречаются попытки подбора пароля (брутфорса) в том числе от критичных систем, административный доступ за пределы сети (указывает на использование средств ОС для удаленного доступа), многочисленные блокировки учетных записей (говорят о множественных попытках брутфорса). Всего же за последние три года на сектор промышленности было совершено около 600 тыс. попыток кибератак.

По данным отчета, только 1% утекших данных относится к промышленности, еще 3% - к телекому. Речь идет о краже технической информации, данных клиентов и сделок.

Инциденты в промышленности редко становятся известны публично. После проникновения злоумышленники стараются не привлекать внимания, не выкладывают базы в открытый доступ и не стремятся сделать себе пиар на таких атаках, отмечают в компании. Это еще раз указывает, что основная цель кибератак в отношении отрасли промышленности- шпионаж. «В ряде случаев хакеры могут месяцами оставаться в инфраструктуре предприятия незамеченными, добывая ценную информацию, развивая атаку, стараясь увеличить масштаб вредоносного воздействия или реализовать атаку на цепочку поставок», - добавили в «Солар».

В промышленности распространены и атаки с использованием вредоносного ПО. По данным Solar JSOC, около 10% подтвержденных инцидентов (то есть тех, на которые заказчик ответил и подтвердил критичность для бизнеса) приходятся на тип «вирус обнаружен на хосте и не удален». Особенно актуальна проблема вирусов-майнеров (почти 4%), что объясняется масштабами распределенных инфраструктур и сложностью контроля за соблюдением политик ИБ. При этом мощности используемого на предприятиях оборудования дают злоумышленникам достаточно ресурса для добычи криптовалюты. Хотя чаще всего ВПО все-таки «пытается» провести подбор пароля или проэксплуатировать уязвимость EternalBlue (из-за которой возникли в свое время эпидемии WannaCry и NotPetya).

Из всех организаций, в инфраструктуре которых уже обнаружены вирусы, на промышленность и телеком приходится 35%. По оценке Solar 4RAYS, средний период заражения в 2024 году составляет 11,9 месяца, для промышленных сетей - 12,5 месяца, для телекома - 11,3 месяца. В 2023 году значения были ниже – 6,73 месяца для всех отраслей, и 8,5 и 11,3 месяца – для промышленности и телекома, соответственно.

Что касается уязвимостей предприятий, то, согласно анализу защищенности, на сектор промышленности и телекома приходится 22% всех обнаруженных уязвимостей с высоким уровнем критичности. Внутри этих отраслей 41% уязвимостей выявлено в энергетике, 25% - в телекоме, 18% - в нефтегазовой сфере, 16% - в производстве. На телеком и энергетику также приходится большая часть наиболее опасных (критичных для бизнеса) уязвимостей.

Большинство обнаруженных уязвимостей связаны со слабой парольной политикой (30%) и недостатками в контроле доступа (20%). Актуальны также риски, связанные с использованием компонентов с известными уязвимостями (10%), недостатками конфигураций (10%) и инъекциями (10%).