«Ростелеком» констатировал слабый уровень защищенности веб-приложений на объектах КИИ и в органах государственной власти

Недостаточная защищённость веб-приложений на объектах критической информационной инфраструктуры (КИИ) и в органах государственной власти привела к тому, что кибератаки в этом направлении стали наиболее популярными у злоумышленников в 2020 году; в 45% изученных случаев хакеры атаковали именно веб-приложения, а ещё в 35% использовали известные и незакрытые уязвимости периметра организаций, следует из аналитического отчёта «Ростелекома».

Всего за 2020 год центр мониторинга и реагирования на кибератаки дочки «Ростелекома», компании «Ростелеком-Солар», Solar JSOC зафиксировал более 200 хакерских атак со стороны профессиональных кибергруппировок. Имели место попытки воздействия на целые отрасли и сектора экономики. Примерно в 30 случаях за атаками стояли злоумышленники наиболее высокого уровня подготовки и квалификации – кибернаёмники и кибергруппировки, преследующие интересы иностранных государств. В числе наиболее частых целей – объекты КИИ России.

После проникновения в инфраструктуру киберпреступники пытались завладеть конфиденциальной информацией организации за счёт доступа к почтовым серверам (85% случаев) и рабочим компьютерам первых лиц, их заместителей и секретарей (70% случаев). Киберпреступники стремились захватить максимальный контроль над инфраструктурой, атакуя рабочие станции IT-администраторов с высоким уровнем привилегий (80% случаев) и системы IT-управления инфраструктурой (75% случаев). При этом чаще всего использовалось ПО, направленное на сокрытие атаки от стандартных средств защиты, в 20% атак хакеры также применяли легитимные корпоративные или свободно распространяемые утилиты, маскируясь под действия администраторов и пользователей.

В Solar JSOC отмечают, что целью наиболее профессиональных хакерских группировок обычно являются деструктивные воздействия и кибершпионаж. Ущерб от таких атак состоит не только в финансовых потерях, он влияет на экономику страны в целом, на безопасность жизнедеятельности граждан и на политическую ситуацию. Только сопутствующий ущерб от компрометации инфраструктуры – например, кража персональных данных сотрудников и клиентов, регуляторные и репутационные риски, возможности развития новых атак – в случае успеха киберпреступников мог бы достичь десятков миллионов рублей. Совокупный же ущерб от полномасштабной реализации такого рода атаки составил бы несколько миллиардов рублей.

«Следует отметить, что сейчас набирает силу тренд так называемых supple chain атак на органы госвласти и ключевые предприятия России. То есть злоумышленники всё чаще атакуют не саму организацию напрямую, а действуют через её подрядчика, который меньше заботится об информационной безопасности и при этом имеет доступ к инфраструктуре конечной цели атаки. Поэтому очень важно обращать внимание на уровень защищённости подрядных организаций и выстраивать максимально безопасный способ их доступа в инфраструктуру», – рассказал директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков.

Атаки организованных группировок среднего уровня квалификации – киберкриминала – имели целью воровство денег: вывод финансовых средств или получение выкупа за расшифрование данных компании. Фокусом внимания киберкриминала в 2020 году оставалась кредитно-финансовая сфера. В 85% случаев хакеры пытались вывести деньги с корреспондентских счетов и атаковали финансовые системы компаний. При этом в целом по рынку, отмечают аналитики Solar JSOC, наблюдается существенное снижение результативности и сокращение ущерба от таких атак, достигающее не более нескольких десятков миллионов рублей.

Основным оружием киберкриминала остается фишинг, успешно реализуемый благодаря низкому уровню грамотности сотрудников компаний в области информационной безопасности. В 74% случаев злоумышленники пользовались фишингом, применяя для проникновения в инфраструктуру социальную инженерию. Для заражения рабочих станций и дальнейшего развития атаки кибергруппировки использовали массово доступное в даркнете вредоносное ПО (40% случаев), а также ПО для IT-администрирования и анализа защищённости (40% случаев), говорится в документе.

«Ростелеком» констатировал слабый уровень защищенности веб-приложений на объектах КИИ и в органах государственной власти
Инфраструктуры органов государственной власти и госорганизаций имеют множество уязвимостей и архитектурных ошибок.

Документ основан на данных по более чем 140 крупным организациям – клиентам Solar JSOC в разных отраслях (банки, энергетика и нефтегазовый сектор, органы государственной власти и др.), а также по компаниям-заказчикам центра расследования киберинцидентов JSOC CERT. Помимо этого сводная статистика учитывает информацию об атаках и вредоносном ПО, собираемую так называемыми ловушками (honeypot) на сетях связи и центрах обработки данных на территории РФ и данные от других российских и международных CERT.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться: