Эксперты подвели предварительные итоги по расследованию атак на украинские энергокомпании

Эксперты подвели предварительные итоги по расследованию атак на украинские энергокомпании

Специалисты установили основные моменты атаки и дали рекомендации по предотвращению подобных инцидентов.

Состоявшиеся в конце 2015 года атаки на объекты энергетической инфраструктуры Украины привлекли внимание ИБ-экспертов со всего мира. Данные инциденты могут свидетельствовать о повышении интереса хакеров к объектам критической инфраструктуры и вынуждают специалистов принимать все более суровые меры по недопущению повторения подобных атак в будущем.

По мнению издания Global Security Press , организациям стоит уделить внимание вопросам фильтрации электронной корреспонденции, а также периодически проводить тренинги для сотрудников. Персонал компаний должен уметь выявлять и противодействовать фишинг-атакам, осуществляемым злоумышленниками.

С украинской стороны в расследовании инцидента приняли участие команды быстрого реагирования Intel Security и CERT-UA, а также специалисты группы компаний БАКОТЕК.

На данный момент специалистам достоверно известно следующее:

  • Атакующих групп было несколько. Каждая группировка использовала разные инструменты для осуществления атаки. Единственным общим элементом был канал доставки и метод внедрения – фишинговые письма с базовыми элементами социальной инженерии;

  • Ущерб от осуществленных атак мог быть значительно выше;

  • Кампании по рассылке в первую очередь нацелены на государственные учреждения;

  • Под «дымовой завесой» BlackEnergy была осуществлена еще как минимум одна кампания;

  • Успешность кибератак подчеркивает необходимость использования динамического и статического анализа документов для обеспечения приемлемого уровня защиты.

Технический директор группы компаний БАКОТЕК Владислав Радецкий сформулировал ряд рекомендаций по предотвращению повторных кибератак, а также защите от целевых атак и APT-кампаний:

  • IT- и ИБ-департаментам необходимо немедленно начать проводить профилактические беседы и семинары с сотрудниками на тему фишинга и социальной инженерии. Комбинация данных методик позволила успешно осуществить атаки на предприятия критической инфраструктуры;

  • Организациям следует усилить фильтрацию электронной почты и блокировать все письма с вредоносными вложениями – любыми скриптами, макросами и выполняемыми файлами. Подобные меры являются временными – со временем злоумышленники изменят форму приманки;

  • На уровне рабочих станций запретить создание и запуск скриптов и выполняемых файлов из директорий %temp% и AppData;

  • Внедрить активную фильтрацию web-трафика и исходящих соединений. Даже если сотрудник откроет фишинговое письмо и запустит вложение, дроппер не сможет соединиться с C&C-сервером;

  • Включенные в сегменты технологических сетей АРМ должны использовать механизм «белых списков» для недопущения запуска сторонних, нерегламентированных приложений;

  • На системах, коррелирующих с известными маркерами компрометации, немедленно сменить пароли от локальных и внешних сервисов, используемых сотрудниками в течение 5-10 месяцев до момента атаки;

  • Провести аудит безопасности и усилить защиту внутренних серверов организации;

  • Для обеспечения приемлемого уровня защиты от целевых атак необходимо использовать песочницы. Если результат запуска файла будет подвергаться предварительной проверке, количество успешных целевых атак пойдет на убыль;

  • Компаниям стоит задуматься о внедрении механизмов активного реагирования, т.е. модулей, позволивших бы оперативно проверять наличие маркеров компрометации и выполнять автоматизированные действия по устранению последствий пребывания киберугроз в системе;

  • Как минимум раз в год проводить тесты на проникновения с обязательной проверкой социального канала;

  • По результатам тестов проводить разъяснительные беседы с каждым сотрудником;

  • Своевременно доносить до персонала основные тренды угроз.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину