«Дайте рекомендацию коллеге»: фраза, с которой начинается атака на завод

Эксперты RED Security SOC и компании CICADA8 сообщили о деятельности хакерской группировки, которая осуществляет целевые атаки на российские предприятия в сферах промышленности и машиностроения. Злоумышленники используют продвинутые фишинговые схемы для хищения учетных данных сотрудников. По данным специалистов, атаки уже затронули ряд крупных производственных организаций.

На этапе подготовки киберпреступники анализируют кадровые перестановки внутри компаний — выясняют, кто недавно уволился, в каком подразделении он работал и кто мог с ним взаимодействовать. Затем на рабочие адреса его бывших коллег рассылаются письма, в которых злоумышленники представляются HR-специалистами компании, куда якобы устраивается уволившийся сотрудник. Получателя просят дать отзыв, перейдя по ссылке и авторизовавшись с помощью логина и пароля от корпоративной учетной записи.

Письма содержат достоверную информацию о бывшем сотруднике и направляются только тем, кто действительно мог с ним работать, что повышает степень доверия. После ввода данных на фишинговом ресурсе информация в реальном времени используется для доступа к ИТ-инфраструктуре предприятия. Если пароль введён неверно, отображается сообщение об ошибке, имитирующее поведение легитимного сервиса. Такая схема позволяет обходить технические меры защиты, включая двухфакторную аутентификацию, и дает злоумышленникам возможность оперативно развивать атаку, включая использование программ-вымогателей, до того как службы безопасности успевают отреагировать.

Атаки были зафиксированы исключительно в промышленности, что позволяет предположить наличие политически мотивированных целей, связанных с дестабилизацией отрасли.

Фишинговые домены, использовавшиеся в ходе атак, были своевременно заблокированы, однако существует риск появления их копий. В связи с этим промышленным организациям рекомендовано усилить защиту от фишинга и повышать уровень киберграмотности сотрудников.