Positive Technologies: киберпреступники нацелены на телекоммуникации и военно-промышленный комплекс на Ближнем Востоке

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) провели всестороннее исследование...

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) провели всестороннее исследование деятельности APT-группировок, нацеленных на организации Ближнего Востока. Эксперты отметили, что 88% исследованных группировок атакуют Саудовскую Аравию, а в топ-5 атакуемых отраслей входят госучреждения, промышленность, телекоммуникации, военно-промышленный и топливно-энергетический комплексы. Для получения первоначального доступа в инфраструктуру злоумышленники в основном делают фишинговые рассылки и используют недостатки в общедоступных приложениях. Об этом CNews сообщили представители Positive Technologies .

По данным анализа, в топ-7 целей злоумышленников вошли Саудовская Аравия (88%), ОАЭ (75%), Израиль (63%), Иордания (56%), Египет (50%), Кувейт (50%) и Ливан (44%)[1].

«Подавляющее большинство рассмотренных APT-группировок, действующих в странах Ближнего Востока, хотя бы раз совершали атаки на госучреждения (94%) и промышленность (81%), а 69% атаковали топливно-энергетический комплекс, — сказала Яна Авезова, старший аналитик исследовательской группы Positive Technologies. — Стоит отметить, что государственные учреждения являются наиболее привлекательными целями для всех злоумышленников: на их долю в 2022–2023 гг. пришлось 22% от общего числа атак на организации стран Ближнего Востока».

Как отмечается в исследовании, в пятерку наиболее атакуемых отраслей вошли также телекоммуникационные компании и военно-промышленный комплекс: их атаковала каждая вторая группировка.

По мнению экспертов Positive Technologies, ВПК оказался в топе атакуемых отраслей из-за специфики региона. Ближневосточные СМИ, по сравнению с другими регионами, также часто становятся целями атак и исторически сохраняют высокое место в рейтинге. Повышенный интерес киберпреступников к телекоммуникационной отрасли специалисты связывают с атаками группировок китайского происхождения, поскольку телекоммуникации издавна были одной из их главных целей.

По данным анализа Positive Technologies, для получения первоначального доступа 69% группировок делают фишинговые рассылки, 31% используют недостатки в общедоступных приложениях, а 19% размещают вредоносное ПО на профильных веб-ресурсах.

«Комплексные целенаправленные атаки начинаются с разведки, — сказал Александр Бадаев, специалист отдела исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies (PT Expert Security Center). — Атакующие могут проводить широкомасштабные сетевые сканирования в поисках подходящих целей. В результате у злоумышленников появляется информация, которой достаточно для начального этапа проникновения. К такой информации относится, например, установленное на целевом сервере программное обеспечение и его версии, подверженные известным уязвимостям. За разведкой следует этап подготовки инструментальной базы для проведения атак. Злоумышленники могут регистрировать поддельные домены и создавать учетные записи электронной почты или аккаунты в социальных сетях для проведения целенаправленного фишинга».

По словам эксперта, после получения первоначального доступа атакующие стремятся закрепиться в инфраструктуре. Для закрепления 69% APT-группировок используют планировщик заданий (компонент операционной системы, позволяющий запускать программы или скрипты при выполнении определенного условия), как в случае с кампанией против правительства ОАЭ, когда группировка OilRig создавала запланированную задачу Microsoft Edge Update Service, которая срабатывала каждые пять минут и запускала вредоносное ПО. Большая часть злоумышленников (56%) настраивали автозагрузку вредоносных программ. Треть APT-группировок (31%) для закрепления в системе компаний-жертв настраивали срабатывание вредоносного кода при наступлении определенного события.

После проникновения в корпоративную сеть злоумышленники изучают устройства, к которым удалось получить доступ, чтобы понять, как действовать дальше. Как показал анализ Positive Technologies, прежде всего атакующих интересуют данные об операционной системе и архитектуре скомпрометированного узла, а также сведения о версиях ПО, установленных патчах и пакетах обновлений — эту технику используют 94% группировок. Большое число группировок (81%) стараются идентифицировать пользователей скомпрометированного узла и определить их степень активности, 63% атакующих изучают процессы, запущенные на скомпрометированных узлах, 56% анализируют файлы и каталоги в поисках полезной информации.

Как отметили эксперты PT Expert Security Center, для APT-группировок важно оставаться незамеченными в скомпрометированной среде как можно дольше. Они прибегают к различным способам сокрытия следов присутствия. Как правило, злоумышленники предварительно тестируют образцы своих вредоносных программ и впоследствии модифицируют их, чтобы обойти обнаружение антивирусными решениями. Распространенный способ — замаскировать вредоносное ПО под легитимные файлы или приложения. Большинство (56%) APT-группировок удаляют признаки своей активности: чистят журналы событий и историю сетевых соединений, изменяют временные метки. Эти действия впоследствии значительно усложняют специалистам по кибербезопасности расследование инцидентов.

Для борьбы со сложными целенаправленными атаками и построения эффективной системы защиты от них специалисты Positive Technologies рекомендуют организациям обратить внимание на основы результативной кибербезопасности, которая включает в себя: управление активами; мониторинг и реагирование на инциденты; обучение кибербезопасности; оценку защищенности.

***

Positive Technologies — является разработчиком продуктов, решений и сервисов, позволяющих выявлять и предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Наши технологии используют более 3,3 тыс. организаций по всему миру.

Адрес новости:
https://corp.cnews.ru/news/line/2024-03-27_positive_technologies_kiberprestupniki