Компании топливно-энергетического комплекса (ТЭК) поддерживают работу промышленных, оборонных производств и других стратегических объектов. Энергетика обеспечивает жизнедеятельность городов, а это больницы, телекоммуникационные станции, правительственные учреждения и многие другие. И нарушение энергоснабжения таких объектов может привести к дестабилизации обстановки в отдельно взятом городе или даже стране в целом. Аварии на объектах ТЭК всегда имеют широкий общественный резонанс и могут привести к экологическим катастрофам и человеческим жертвам. Разрушительное воздействие на инфраструктуру и промышленный шпионаж – это основные цели киберпреступников, атакующих ТЭК.
Для таких операций злоумышленникам требуются высокая техническая квалификация и правильная организация. Атаки, которые проводятся хорошо подготовленными преступными группировками, называют advanced persistent threat (APT), а киберпреступников – АPT-группировками. По мере развития группировка совершенствует свои методы, отбирая наиболее подходящие и отказываясь от бесперспективных стратегий. Она проникает в инфраструктуру компаний с помощью рассылки фишинговых писем. Злоумышленники отправляют сотрудникам компании электронные письма, которые замаскированы под обычную деловую переписку или рассылку, например под официальное приглашение на профильную конференцию или письмо от партнера. Письмо содержит документ в одном из популярных форматов. При открытии этого документа на компьютере сотрудника начинает действовать вредоносный код. Другие группировки взламывают отраслевой сайт, который часто посещают сотрудники компании, и размещают на нем вредоносный код. Когда пользователь заходит на зараженный сайт, на его компьютер загружается хакерская программа. APT-группировки начинают атаки не сразу после проникновения в сеть компании. Они могут годами контролировать все системы предприятия, не предпринимая никаких разрушительных действий, а лишь похищают важные сведения и выжидают удачный момент для нападения. Преступники используют различные техники для того, чтобы их присутствие оставалось незамеченным. Данные, передаваемые между командным сервером и зараженными узлами, шифруются и обфусцируются. Кроме того, злоумышленники разбивают управляющие команды символом «_», чтобы обмануть системы обнаружения вторжений. Распространенной практикой стало использование бестелесных скриптов, которые запускаются сразу в оперативной памяти, не оставляя следов на жестком диске.
В компаниях топливно-энергетического комплекса сеть, как правило, разделена на корпоративный сегмент и технологический. В корпоративном сегменте находятся рабочие станции сотрудников, чья деятельность не связана непосредственно с управлением промышленным оборудованием. Именно здесь, скорее всего, окажутся злоумышленники сразу после проникновения в инфраструктуру. В корпоративной сети APT-группировку будут интересовать компьютеры, на которых хранится конфиденциальная информация – научные разработки, производственные регламенты, финансовая информация.
Но на корпоративном сегменте группировка не остановится, ведь основная цель при атаке на топливно-энергетический комплекс – возможность влиять на производственные процессы. Соответственно, злоумышленники постараются проникнуть в технологический сегмент сети, откуда осуществляется управление промышленными системами. Например, при атаке на электрическую подстанцию вмешательство злоумышленников в логику работы защитной автоматики в случае нештатной ситуации может привести к отключению подачи электроэнергии потребителям. Взяв под контроль ключевые узлы сети, группировка, скорее всего, будет присутствовать тайно до тех пор, пока от организаторов кибератаки не поступит команда перейти к активным действиям. Однако не исключено, что изучив надежные пути доступа к целевым объектам, злоумышленники покинут сеть, чтобы снизить риск обнаружения, и вернутся позже.
Получив доступ к важным узлам сети, преступники приступают к сбору ценной информации. Если компьютер является рабочей станцией оператора промышленной системы, то злоумышленники попытаются найти пароли для подключения к системам управления оборудованием. В комплекте инструментов хакеров обязательно присутствуют модули, которые выполняют шпионские функции – делают скриншоты и видеозаписи экрана, записывают звук с микрофона и перехватывают ввод данных с клавиатуры. На компьютерах руководства, бухгалтеров или инженеров злоумышленники будут искать научные разработки, информацию о промышленных системах, договоры, финансовую документацию, деловую переписку.
Так как предотвратить атаку крайне сложно, стратегия защиты должна строиться на том, чтобы выявить действия злоумышленников в сети до того, как они смогут причинить ущерб. Ситуация осложняется тем, что видимые признаки часто отсутствуют: из компании не исчезают деньги, технологические процессы не прерываются. Очень долго компания даже не подозревает о том, что находится под контролем APT-группировки. Злоумышленники могут годами тайно находиться в инфраструктуре, не предпринимая никаких действий и ожидая дальнейших указаний от организаторов кибератаки.
Базовых средств защиты, антивирусов или IDS уже недостаточно для противодействия современным APT-атакам. Поэтому важно не только проводить мониторинг событий информационной безопасности в реальном времени, но и при появлении информации о новых угрозах пересматривать события в инфраструктуре, которые происходили ранее. Такой подход называется ретроспективным, он позволяет выявить скрытое присутствие злоумышленников в системе и проанализировать цепочку атаки даже через несколько лет. Особый подход требуется и при защите технологического сегмента сети. Корректная сегментация, отсутствие каналов управления из корпоративной сети и строгое разграничение привилегий пользователей уже значительно усложнят атаки.
Юлия Сорокина, специалист Positive Technologies
