Positive Technologies
Новости

Positive Technologies: больше половины APT-группировок нацелены на госучреждения

Эксперты Positive Technologies проанализировали деятельность двадцати двух APT 1-группировок, атакующих российские организации на протяжении последних двух лет, и выяснили, что больше половины из них нацелены на государственные организации, а 87% атакующих госучреждения APT-группировок начинают атаки с фишинга.

По данным исследования, среди атакуемых оказалось множество крупнейших компаний России — лидеров различных отраслей, при этом на государственные организации нацелены 68% всех рассмотренных APT-группировок.

В своем новом исследовании специалисты Positive Technologies рассказали о специфике APT-атак на российские министерства, ведомства и другие госучреждения, а также описали наиболее вероятные действия атакующих.

В ходе проведенного компанией опроса 2 57% респондентов, работающих в государственных организациях, констатировали, что риск успешной кибератаки является критическим. При этом 45% признались, что их организация не готова противостоять целенаправленным атакам.

«В информационных системах государственных организаций хранятся и обрабатываются критически важные данные, в которых заинтересованы кибершпионы, поэтому госучреждения находятся под постоянной угрозой кибератак, — говорит аналитик Positive Technologies Яна Авезова. — Три четверти участников нашего опроса, представляющих госучреждения, считают, что кража информации может стать мотивом для APT-атаки. При этом лишь 17% признали приоритетность защиты их организации от APT-группировок».

К информации, которая может заинтересовать киберпреступников, эксперты отнесли персональные данные сотрудников, сведения в области внешней политики и экономики, научно-исследовательские работы и финансовую отчетность.

Как следует из ответов респондентов, в государственных организациях преимущественно используются базовые средства защиты, которые не способны обнаружить и вовремя остановить сложные атаки. Так, 95% участников опроса ответили, что в госучреждении используется антивирус, и только 8% респондентов сообщили, что в организации применяются специализированные средства защиты от APT-атак.

По словам директора экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексея Новикова, если организация стала мишенью APT-группировки, рано или поздно злоумышленникам удастся осуществить атаку. «По нашим данным, в прошлом году с APT-атаками столкнулась каждая вторая компания. Базовые средства защиты, которые используются в большинстве госучреждений, не спасут от целенаправленной атаки, — подчеркивает Алексей Новиков. — Стремясь обойти механизмы защиты и противодействия APT-атакам, преступники кодируют и шифруют вредоносный код (93% исследованных APT-группировок), используют "бесфайловый" вредоносный код 3 (67%), проверяют систему на наличие "песочницы" 4 (40%) и подписывают вредоносные файлы цифровой подписью 5 (27%)».

В исследовании также отмечается, что большинство APT-группировок начинают атаки на государственные учреждения с целенаправленного фишинга6;. При этом если на первоначальном этапе обнаружить злоумышленников практически невозможно, так как они прекрасно знают какие СЗИ используются в организации и как их можно обойти, то почти единственным методом обнаружения компрометации является обнаружение злоумышленников на этапе горизонтального перемещения и закрепления при наличии в инфраструктуре средств глубокого анализа трафика, мониторинга событий ИБ и возможности ретроспективного поиска индикаторов компрометации.

  1. Advanced persistent threat (APT) — многоэтапная, тщательно спланированная и организованная кибератака, направленная на отдельную отрасль или конкретные (как правило, крупные) компании.
  2. Опрос проводился среди посетителей сайта компании Positive Technologies, аудитории интернет-портала SecurityLab.ru и участников ряда отраслевых сообществ.
  3. Выполняют вредоносные действия прямо в оперативной памяти, не оставляя каких-либо следов на жестком диске.
  4. Изолированная среда, в которой можно безопасно запускать различные программы для анализа их алгоритма работы на предмет вредоносной активности. Если вредоносное ПО «понимает», что находится в виртуальной среде, оно прекращает свою работу.
  5. Средства защиты лояльно относятся к файлам с цифровыми подписями, считая их доверенными. Подписав вредоносную программу, злоумышленники рассчитывают «обмануть» механизмы безопасности.
  6. Метод атаки, при котором сотрудникам компании рассылаются электронные письма, цель которых вынудить получателя открыть приложенный файл или перейти по ссылке.