Positive Technologies: киберпреступники нацелены на телекоммуникации и военно-промышленный комплекс на Ближнем Востоке

Наиболее атакуемые страны региона — Саудовская Аравия и ОАЭ

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) провели всестороннее исследование деятельности APT-группировок¹, нацеленных на организации Ближнего Востока². Эксперты отметили, что 88% исследованных группировок атакуют Саудовскую Аравию, а в топ-5 атакуемых отраслей входят госучреждения, промышленность, телекоммуникации, военно-промышленный и топливно-энергетический комплексы. Для получения первоначального доступа в инфраструктуру злоумышленники в основном делают фишинговые рассылки и используют недостатки в общедоступных приложениях.

По данным анализа, в топ-7 целей злоумышленников вошли Саудовская Аравия (88%), ОАЭ (75%), Израиль (63%), Иордания (56%), Египет (50%), Кувейт (50%) и Ливан (44%)³.

Как отмечается в исследовании, в пятерку наиболее атакуемых отраслей вошли также телекоммуникационные компании и военно-промышленный комплекс: их атаковала каждая вторая группировка.

По мнению экспертов Positive Technologies, ВПК оказался в топе атакуемых отраслей из-за специфики региона. Ближневосточные СМИ, по сравнению с другими регионами, также часто становятся целями атак и исторически сохраняют высокое место в рейтинге. Повышенный интерес киберпреступников к телекоммуникационной отрасли специалисты связывают с атаками группировок китайского происхождения, поскольку телекоммуникации издавна были одной из их главных целей.

По данным анализа Positive Technologies, для получения первоначального доступа 69% группировок делают фишинговые рассылки, 31% используют недостатки в общедоступных приложениях, а 19% размещают вредоносное ПО на профильных веб-ресурсах.

По словам эксперта, после получения первоначального доступа атакующие стремятся закрепиться в инфраструктуре. Для закрепления 69% APT-группировок используют планировщик заданий (компонент операционной системы, позволяющий запускать программы или скрипты при выполнении определенного условия), как в случае с кампанией против правительства ОАЭ, когда группировка OilRig создавала запланированную задачу Microsoft Edge Update Service, которая срабатывала каждые пять минут и запускала вредоносное ПО. Большая часть злоумышленников (56%) настраивали автозагрузку вредоносных программ. Треть APT-группировок (31%) для закрепления в системе компаний-жертв настраивали срабатывание вредоносного кода при наступлении определенного события.

После проникновения в корпоративную сеть злоумышленники изучают устройства, к которым удалось получить доступ, чтобы понять, как действовать дальше. Как показал анализ Positive Technologies, прежде всего атакующих интересуют данные об операционной системе и архитектуре скомпрометированного узла, а также сведения о версиях ПО, установленных патчах и пакетах обновлений — эту технику используют 94% группировок. Большое число группировок (81%) стараются идентифицировать пользователей скомпрометированного узла и определить их степень активности, 63% атакующих изучают процессы, запущенные на скомпрометированных узлах, 56% анализируют файлы и каталоги в поисках полезной информации.

Как отметили эксперты PT Expert Security Center, для APT-группировок важно оставаться незамеченными в скомпрометированной среде как можно дольше. Они прибегают к различным способам сокрытия следов присутствия. Как правило, злоумышленники предварительно тестируют образцы своих вредоносных программ и впоследствии модифицируют их, чтобы обойти обнаружение антивирусными решениями. Распространенный способ — замаскировать вредоносное ПО под легитимные файлы или приложения. Большинство (56%) APT-группировок удаляют признаки своей активности: чистят журналы событий и историю сетевых соединений, изменяют временные метки. Эти действия впоследствии значительно усложняют специалистам по кибербезопасности расследование инцидентов.

Для борьбы со сложными целенаправленными атаками и построения эффективной системы защиты от них специалисты Positive Technologies рекомендуют организациям обратить внимание на основы результативной кибербезопасности, которая включает в себя:

• Управление активами.
• Мониторинг и реагирование на инциденты.
• Обучение кибербезопасности.
• Оценку защищенности.

С полным перечнем тактик и техник APT-группировок, действующих на Ближнем Востоке, можно ознакомиться в исследовании, опубликованном на сайте.

1. APT-группировка — киберпреступная группа, совершающая многоэтапные и тщательно спланированные атаки, направленные на конкретную отрасль экономики или группу отраслей.
2. Эксперты проанализировали тактики и техники 16 APT-группировок, которые действуют в странах Ближнего Востока на протяжении последних нескольких лет. Под Ближним Востоком в отчете понимаются следующие страны: Бахрейн, Египет, Израиль, Иордания, Ирак, Иран, Йемен, Катар, Кипр, Кувейт, Ливан, Объединенные Арабские Эмираты (ОАЭ), Оман, Палестина, Саудовская Аравия, Сирия.
3. Доля группировок, совершивших атаки на организации конкретной страны.