Согласно аналитическому отчёту группы компаний «Солар», каждая третья успешная кибератака на промышленные предприятия имеет признаки шпионажа. Основные инциденты в этой сфере связаны с пользовательскими учётными записями и контролем над ними.
Хакеры проявляют особый интерес к тяжёлой промышленности и топливно-энергетическому комплексу, активно ищут доступы и другие данные в даркнете. Это позволяет им проникать в сети предприятий и оставаться незамеченными в течение длительного времени.
Отчёт основан на анализе попыток кибератак, проведённом центрами Solar JSOC, Solar AURA и Solar 4RAYS, а также на работах отдела анализа защищённости. Среди инцидентов, зафиксированных центром противодействия кибератакам Solar JSOC, можно выделить попытки подбора паролей, административный доступ за пределы сети и многочисленные блокировки учётных записей.
За последние три года на промышленный сектор было совершено около 600 тысяч попыток кибератак. Эксперты центра мониторинга внешних цифровых угроз Solar AURA отмечают, что из общего объёма данных, утекших в сеть за последние годы, только 1% относится к промышленности, а ещё 3% — к телекоммуникационной отрасли. Речь идёт о попытках кражи как технической информации, так и коммерческих данных о клиентах и сделках.
«Такого рода инциденты редко становятся достоянием общественности: осуществив успешное проникновение в инфраструктуру организации, злоумышленники стараются не привлекать излишнего внимания, не выкладывают базы в открытый доступ и не стремятся сделать себе пиар на таких атаках. Это еще раз указывает на то, что шпионаж — основная цель кибератак в отношении отрасли промышленности. В ряде случаев хакеры могут месяцами оставаться в инфраструктуре предприятия незамеченными, добывая ценную информацию, развивая атаку, стараясь увеличить масштаб вредоносного воздействия или реализовать атаку на цепочку поставок», — отмечает директор центра противодействия кибератакам Solar JSOC Владимир Дрюков.
В промышленности распространены атаки с использованием вредоносного программного обеспечения (ВПО). Согласно мониторингу Solar JSOC, примерно 10% подтверждённых инцидентов (то есть тех, на которые клиент отреагировал и признал критичными для бизнеса) связаны с типом «вирус обнаружен на хосте и не удалён». Особенно актуальны атаки вирусов-майнеров (около 4% подтверждённых инцидентов). Это обусловлено масштабами распределённых инфраструктур и сложностью контроля соблюдения политик информационной безопасности (ИБ) в них. Однако мощности оборудования, используемого на предприятиях, предоставляют злоумышленникам достаточно ресурсов для майнинга криптовалют. Хотя вредоносное ПО обычно пытается подобрать пароль или использовать уязвимость EternalBlue (ставшую причиной эпидемий WannaCry и NotPetya).
Согласно данным сенсоров и ханипотов в сетях «Ростелекома», на промышленность и телекоммуникационную отрасль приходится 35% организаций с обнаруженными вирусами. По оценкам центра исследования киберугроз Solar 4RAYS, в 2024 году средний срок заражения для организаций различных отраслей составляет 11,9 месяца. Для промышленных сетей — 12,5 месяцев, для телекоммуникационных — 11,3 месяца. В 2023 году эти показатели были ниже — 6,7 месяца для всех отраслей и 8,5 и 11,3 месяца для промышленности и телекоммуникаций соответственно.
Анализ защищённости организаций показывает, что на сектор промышленности и телекоммуникаций приходится 22% всех обнаруженных уязвимостей с высоким уровнем критичности. В этих отраслях наибольшее количество слабых мест (41% уязвимостей) обнаружено в энергетической сфере. Ещё 25% — в телекоммуникациях, затем следуют нефтегазовая отрасль (18%) и производство (16%).
«Как и в других отраслях, основным источником рисков кибератак в телекоме и промышленности является использование слабых паролей, что говорит о необходимости повышения навыков ИБ у сотрудников и внедрения более строгой парольной политики. Эти слабые места видят и киберпреступники, о чем красноречиво говорит статистика инцидентов и аналитика расследований. Попав в корпоративные сети промышленных предприятий, злоумышленники собирают не только информацию о коммерческой деятельности организации (ее конкурентах, счетах и т.п.), но и технические данные и информацию, которая поможет им получить доступ в технологический сегмент. А это чревато уже просто потерями конкретного бизнеса, но и массовыми авариями и серьезными последствиями для целых регионов», — комментирует Владимир Дрюков.
Большинство обнаруженных уязвимостей в реализованных проектах связаны со слабой парольной политикой (30%) и недостатками в контроле доступа (20%). Однако актуальность сохраняют риски, связанные с использованием компонентов с известными уязвимостями (10%), недостатками конфигураций (10%) и инъекциями (10%).
Фото: пресс-материалы.