Эксперты подвели предварительные итоги по расследованию атак на украинские энергокомпании

Состоявшиеся в конце 2015 года атаки на объекты энергетической инфраструктуры Украины привлекли внимание ИБ-экспертов со всего мира. Данные инциденты могут свидетельствовать о повышении интереса хакеров к объектам критической инфраструктуры и вынуждают специалистов принимать все более суровые меры по недопущению повторения подобных атак в будущем.

По мнению издания Global Security Press , организациям стоит уделить внимание вопросам фильтрации электронной корреспонденции, а также периодически проводить тренинги для сотрудников. Персонал компаний должен уметь выявлять и противодействовать фишинг-атакам, осуществляемым злоумышленниками.

С украинской стороны в расследовании инцидента приняли участие команды быстрого реагирования Intel Security и CERT-UA, а также специалисты группы компаний БАКОТЕК.

На данный момент специалистам достоверно известно следующее:

• Атакующих групп было несколько. Каждая группировка использовала разные инструменты для осуществления атаки. Единственным общим элементом был канал доставки и метод внедрения – фишинговые письма с базовыми элементами социальной инженерии;

• Ущерб от осуществленных атак мог быть значительно выше;

• Кампании по рассылке в первую очередь нацелены на государственные учреждения;

• Под «дымовой завесой» BlackEnergy была осуществлена еще как минимум одна кампания;

• Успешность кибератак подчеркивает необходимость использования динамического и статического анализа документов для обеспечения приемлемого уровня защиты.

Технический директор группы компаний БАКОТЕК Владислав Радецкий сформулировал ряд рекомендаций по предотвращению повторных кибератак, а также защите от целевых атак и APT-кампаний:

• IT- и ИБ-департаментам необходимо немедленно начать проводить профилактические беседы и семинары с сотрудниками на тему фишинга и социальной инженерии. Комбинация данных методик позволила успешно осуществить атаки на предприятия критической инфраструктуры;

• Организациям следует усилить фильтрацию электронной почты и блокировать все письма с вредоносными вложениями – любыми скриптами, макросами и выполняемыми файлами. Подобные меры являются временными – со временем злоумышленники изменят форму приманки;

• На уровне рабочих станций запретить создание и запуск скриптов и выполняемых файлов из директорий %temp% и AppData;

• Внедрить активную фильтрацию web-трафика и исходящих соединений. Даже если сотрудник откроет фишинговое письмо и запустит вложение, дроппер не сможет соединиться с C&C-сервером;

• Включенные в сегменты технологических сетей АРМ должны использовать механизм «белых списков» для недопущения запуска сторонних, нерегламентированных приложений;

• На системах, коррелирующих с известными маркерами компрометации, немедленно сменить пароли от локальных и внешних сервисов, используемых сотрудниками в течение 5-10 месяцев до момента атаки;

• Провести аудит безопасности и усилить защиту внутренних серверов организации;

• Для обеспечения приемлемого уровня защиты от целевых атак необходимо использовать песочницы. Если результат запуска файла будет подвергаться предварительной проверке, количество успешных целевых атак пойдет на убыль;

• Компаниям стоит задуматься о внедрении механизмов активного реагирования, т.е. модулей, позволивших бы оперативно проверять наличие маркеров компрометации и выполнять автоматизированные действия по устранению последствий пребывания киберугроз в системе;

• Как минимум раз в год проводить тесты на проникновения с обязательной проверкой социального канала;

• По результатам тестов проводить разъяснительные беседы с каждым сотрудником;

• Своевременно доносить до персонала основные тренды угроз.