Киберпреступники могут годами контролировать работу энергетических компаний

Компании топливно-энергетического комплекса (ТЭК)поддерживают работу промышленных, оборонных производств и других стратегическихобъектов. Энергетика обеспечивает жизнедеятельность городов, а это больницы,телекоммуникационные станции, правительственные учреждения и многие другие. И нарушениеэнергоснабжения таких объектов может привести к дестабилизации обстановки вотдельно взятом городе или даже стране в целом. Аварии на объектах ТЭК всегдаимеют широкий общественный резонанс и могут привести к экологическимкатастрофам и человеческим жертвам. Разрушительное воздействие наинфраструктуру и промышленный шпионаж – это основные цели киберпреступников,атакующих ТЭК.

Для таких операций злоумышленникам требуются высокаятехническая квалификация и правильная организация. Атаки, которые проводятсяхорошо подготовленными преступными группировками, называют advanced persistentthreat (APT), а киберпреступников – АPT-группировками. По мере развитиягруппировка совершенствует свои методы, отбирая наиболее подходящие иотказываясь от бесперспективных стратегий. Она проникает в инфраструктурукомпаний с помощью рассылки фишинговых писем. Злоумышленники отправляютсотрудникам компании электронные письма, которые замаскированы под обычнуюделовую переписку или рассылку, например под официальное приглашение напрофильную конференцию или письмо от партнера. Письмо содержит документ в одномиз популярных форматов. При открытии этого документа на компьютере сотрудниканачинает действовать вредоносный код. Другие группировки взламывают отраслевойсайт, который часто посещают сотрудники компании, и размещают на немвредоносный код. Когда пользователь заходит на зараженный сайт, на егокомпьютер загружается хакерская программа. APT-группировки начинают атаки несразу после проникновения в сеть компании. Они могут годами контролировать всесистемы предприятия, не предпринимая никаких разрушительных действий, а лишьпохищают важные сведения и выжидают удачный момент для нападения. Преступникииспользуют различные техники для того, чтобы их присутствие оставалосьнезамеченным. Данные, передаваемые между командным сервером и зараженными узлами,шифруются и обфусцируются. Кроме того, злоумышленники разбивают управляющиекоманды символом «_», чтобы обмануть системы обнаружения вторжений. Распространеннойпрактикой стало использование бестелесных скриптов, которые запускаются сразу воперативной памяти, не оставляя следов на жестком диске.

В компаниях топливно-энергетического комплекса сеть,как правило, разделена на корпоративный сегмент и технологический. Вкорпоративном сегменте находятся рабочие станции сотрудников, чья деятельностьне связана непосредственно с управлением промышленным оборудованием. Именноздесь, скорее всего, окажутся злоумышленники сразу после проникновения винфраструктуру. В корпоративной сети APT-группировку будут интересоватькомпьютеры, на которых хранится конфиденциальная информация – научныеразработки, производственные регламенты, финансовая информация.

Но на корпоративном сегменте группировка неостановится, ведь основная цель при атаке на топливно-энергетический комплекс –возможность влиять на производственные процессы. Соответственно, злоумышленникипостараются проникнуть в технологический сегмент сети, откуда осуществляетсяуправление промышленными системами. Например, при атаке на электрическуюподстанцию вмешательство злоумышленников в логику работы защитной автоматики вслучае нештатной ситуации может привести к отключению подачи электроэнергиипотребителям. Взяв под контроль ключевые узлы сети, группировка, скорее всего,будет присутствовать тайно до тех пор, пока от организаторов кибератаки непоступит команда перейти к активным действиям. Однако не исключено, что изучивнадежные пути доступа к целевым объектам, злоумышленники покинут сеть, чтобыснизить риск обнаружения, и вернутся позже.

Получив доступ к важным узлам сети, преступникиприступают к сбору ценной информации. Если компьютер является рабочей станциейоператора промышленной системы, то злоумышленники попытаются найти пароли дляподключения к системам управления оборудованием. В комплекте инструментовхакеров обязательно присутствуют модули, которые выполняют шпионские функции –делают скриншоты и видеозаписи экрана, записывают звук с микрофона иперехватывают ввод данных с клавиатуры. На компьютерах руководства, бухгалтеровили инженеров злоумышленники будут искать научные разработки, информацию опромышленных системах, договоры, финансовую документацию, деловую переписку.

Так как предотвратить атаку крайне сложно, стратегиязащиты должна строиться на том, чтобы выявить действия злоумышленников в сетидо того, как они смогут причинить ущерб. Ситуация осложняется тем, что видимыепризнаки часто отсутствуют: из компании не исчезают деньги, технологическиепроцессы не прерываются. Очень долго компания даже не подозревает о том, чтонаходится под контролем APT-группировки. Злоумышленники могут годами тайнонаходиться в инфраструктуре, не предпринимая никаких действий и ожидаядальнейших указаний от организаторов кибератаки.

Базовых средств защиты, антивирусов или IDS уженедостаточно для противодействия современным APT-атакам. Поэтому важно нетолько проводить мониторинг событий информационной безопасности в реальномвремени, но и при появлении информации о новых угрозах пересматривать события винфраструктуре, которые происходили ранее. Такой подход называетсяретроспективным, он позволяет выявить скрытое присутствие злоумышленников всистеме и проанализировать цепочку атаки даже через несколько лет. Особыйподход требуется и при защите технологического сегмента сети. Корректнаясегментация, отсутствие каналов управления из корпоративной сети и строгое разграничениепривилегий пользователей уже значительно усложнят атаки.

ЮлияСорокина, специалист Positive Technologies