Специалисты установили основные моменты атаки и дали рекомендации по предотвращению подобных инцидентов.
Состоявшиеся в конце 2015 года атаки на объекты энергетической инфраструктуры Украины привлекли внимание ИБ-экспертов со всего мира. Данные инциденты могут свидетельствовать о повышении интереса хакеров к объектам критической инфраструктуры и вынуждают специалистов принимать все более суровые меры по недопущению повторения подобных атак в будущем.
По мнению издания Global Security Press , организациям стоит уделить внимание вопросам фильтрации электронной корреспонденции, а также периодически проводить тренинги для сотрудников. Персонал компаний должен уметь выявлять и противодействовать фишинг-атакам, осуществляемым злоумышленниками.
С украинской стороны в расследовании инцидента приняли участие команды быстрого реагирования Intel Security и CERT-UA, а также специалисты группы компаний БАКОТЕК.
На данный момент специалистам достоверно известно следующее:
Атакующих групп было несколько. Каждая группировка использовала разные инструменты для осуществления атаки. Единственным общим элементом был канал доставки и метод внедрения – фишинговые письма с базовыми элементами социальной инженерии;
Ущерб от осуществленных атак мог быть значительно выше;
Кампании по рассылке в первую очередь нацелены на государственные учреждения;
Под «дымовой завесой» BlackEnergy была осуществлена еще как минимум одна кампания;
Успешность кибератак подчеркивает необходимость использования динамического и статического анализа документов для обеспечения приемлемого уровня защиты.
Технический директор группы компаний БАКОТЕК Владислав Радецкий сформулировал ряд рекомендаций по предотвращению повторных кибератак, а также защите от целевых атак и APT-кампаний:
IT- и ИБ-департаментам необходимо немедленно начать проводить профилактические беседы и семинары с сотрудниками на тему фишинга и социальной инженерии. Комбинация данных методик позволила успешно осуществить атаки на предприятия критической инфраструктуры;
Организациям следует усилить фильтрацию электронной почты и блокировать все письма с вредоносными вложениями – любыми скриптами, макросами и выполняемыми файлами. Подобные меры являются временными – со временем злоумышленники изменят форму приманки;
На уровне рабочих станций запретить создание и запуск скриптов и выполняемых файлов из директорий %temp% и AppData;
Внедрить активную фильтрацию web-трафика и исходящих соединений. Даже если сотрудник откроет фишинговое письмо и запустит вложение, дроппер не сможет соединиться с C&C-сервером;
Включенные в сегменты технологических сетей АРМ должны использовать механизм «белых списков» для недопущения запуска сторонних, нерегламентированных приложений;
На системах, коррелирующих с известными маркерами компрометации, немедленно сменить пароли от локальных и внешних сервисов, используемых сотрудниками в течение 5-10 месяцев до момента атаки;
Провести аудит безопасности и усилить защиту внутренних серверов организации;
Для обеспечения приемлемого уровня защиты от целевых атак необходимо использовать песочницы. Если результат запуска файла будет подвергаться предварительной проверке, количество успешных целевых атак пойдет на убыль;
Компаниям стоит задуматься о внедрении механизмов активного реагирования, т.е. модулей, позволивших бы оперативно проверять наличие маркеров компрометации и выполнять автоматизированные действия по устранению последствий пребывания киберугроз в системе;
Как минимум раз в год проводить тесты на проникновения с обязательной проверкой социального канала;
По результатам тестов проводить разъяснительные беседы с каждым сотрудником;
Своевременно доносить до персонала основные тренды угроз.