Positive Technologies
Новости

Positive Technologies: киберпреступники нацелены на телекоммуникации и военно-промышленный комплекс на Ближнем Востоке

Наиболее атакуемые страны региона — Саудовская Аравия и ОАЭ

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) провели всестороннее исследование деятельности APT-группировок1, нацеленных на организации Ближнего Востока2. Эксперты отметили, что 88% исследованных группировок атакуют Саудовскую Аравию, а в топ-5 атакуемых отраслей входят госучреждения, промышленность, телекоммуникации, военно-промышленный и топливно-энергетический комплексы. Для получения первоначального доступа в инфраструктуру злоумышленники в основном делают фишинговые рассылки и используют недостатки в общедоступных приложениях.

По данным анализа, в топ-7 целей злоумышленников вошли Саудовская Аравия (88%), ОАЭ (75%), Израиль (63%), Иордания (56%), Египет (50%), Кувейт (50%) и Ливан (44%)3.

Подавляющее большинство рассмотренных APT-группировок, действующих в странах Ближнего Востока, хотя бы раз совершали атаки на госучреждения (94%) и промышленность (81%), а 69% атаковали топливно-энергетический комплекс. Стоит отметить, что государственные учреждения являются наиболее привлекательными целями для всех злоумышленников: на их долю в 2022–2023 годах пришлось 22% от общего числа атак на организации стран Ближнего Востока.

Яна Авезова
Яна АвезоваСтарший аналитик исследовательской группы Positive Technologies

Как отмечается в исследовании, в пятерку наиболее атакуемых отраслей вошли также телекоммуникационные компании и военно-промышленный комплекс: их атаковала каждая вторая группировка.

По мнению экспертов Positive Technologies, ВПК оказался в топе атакуемых отраслей из-за специфики региона. Ближневосточные СМИ, по сравнению с другими регионами, также часто становятся целями атак и исторически сохраняют высокое место в рейтинге. Повышенный интерес киберпреступников к телекоммуникационной отрасли специалисты связывают с атаками группировок китайского происхождения, поскольку телекоммуникации издавна были одной из их главных целей.

По данным анализа Positive Technologies, для получения первоначального доступа 69% группировок делают фишинговые рассылки, 31% используют недостатки в общедоступных приложениях, а 19% размещают вредоносное ПО на профильных веб-ресурсах.

Комплексные целенаправленные атаки начинаются с разведки. Атакующие могут проводить широкомасштабные сетевые сканирования в поисках подходящих целей. В результате у злоумышленников появляется информация, которой достаточно для начального этапа проникновения. К такой информации относится, например, установленное на целевом сервере программное обеспечение и его версии, подверженные известным уязвимостям. За разведкой следует этап подготовки инструментальной базы для проведения атак. Злоумышленники...

Александр Бадаев
Александр БадаевСпециалист отдела исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies (PT Expert Security Center)

По словам эксперта, после получения первоначального доступа атакующие стремятся закрепиться в инфраструктуре. Для закрепления 69% APT-группировок используют планировщик заданий (компонент операционной системы, позволяющий запускать программы или скрипты при выполнении определенного условия), как в случае с кампанией против правительства ОАЭ, когда группировка OilRig создавала запланированную задачу Microsoft Edge Update Service, которая срабатывала каждые пять минут и запускала вредоносное ПО. Большая часть злоумышленников (56%) настраивали автозагрузку вредоносных программ. Треть APT-группировок (31%) для закрепления в системе компаний-жертв настраивали срабатывание вредоносного кода при наступлении определенного события.

После проникновения в корпоративную сеть злоумышленники изучают устройства, к которым удалось получить доступ, чтобы понять, как действовать дальше. Как показал анализ Positive Technologies, прежде всего атакующих интересуют данные об операционной системе и архитектуре скомпрометированного узла, а также сведения о версиях ПО, установленных патчах и пакетах обновлений — эту технику используют 94% группировок. Большое число группировок (81%) стараются идентифицировать пользователей скомпрометированного узла и определить их степень активности, 63% атакующих изучают процессы, запущенные на скомпрометированных узлах, 56% анализируют файлы и каталоги в поисках полезной информации.

Как отметили эксперты PT Expert Security Center, для APT-группировок важно оставаться незамеченными в скомпрометированной среде как можно дольше. Они прибегают к различным способам сокрытия следов присутствия. Как правило, злоумышленники предварительно тестируют образцы своих вредоносных программ и впоследствии модифицируют их, чтобы обойти обнаружение антивирусными решениями. Распространенный способ — замаскировать вредоносное ПО под легитимные файлы или приложения. Большинство (56%) APT-группировок удаляют признаки своей активности: чистят журналы событий и историю сетевых соединений, изменяют временные метки. Эти действия впоследствии значительно усложняют специалистам по кибербезопасности расследование инцидентов.

Для борьбы со сложными целенаправленными атаками и построения эффективной системы защиты от них специалисты Positive Technologies рекомендуют организациям обратить внимание на основы результативной кибербезопасности, которая включает в себя:

  • Управление активами.
  • Мониторинг и реагирование на инциденты.
  • Обучение кибербезопасности.
  • Оценку защищенности.

С полным перечнем тактик и техник APT-группировок, действующих на Ближнем Востоке, можно ознакомиться в исследовании, опубликованном на сайте.

  1. APT-группировка — киберпреступная группа, совершающая многоэтапные и тщательно спланированные атаки, направленные на конкретную отрасль экономики или группу отраслей.
  2. Эксперты проанализировали тактики и техники 16 APT-группировок, которые действуют в странах Ближнего Востока на протяжении последних нескольких лет. Под Ближним Востоком в отчете понимаются следующие страны: Бахрейн, Египет, Израиль, Иордания, Ирак, Иран, Йемен, Катар, Кипр, Кувейт, Ливан, Объединенные Арабские Эмираты (ОАЭ), Оман, Палестина, Саудовская Аравия, Сирия.
  3. Доля группировок, совершивших атаки на организации конкретной страны.