Атаки на НИИ: как уберечь разработки от скрытого шпионажа

Кибератака далеко не всегда стремительна. В очень многих случаях злоумышленник может находиться в инфраструктуре годами и, например, заниматься шпионажем, как это произошло с несколькими российскими научно-исследовательскими институтами (НИИ). 

В начале апреля компания «Доктор Веб» выпустила отчет о проведенном ими расследовании: к ИБ-экспертам обратились сотрудники НИИ, заметившие ряд технических проблем, которые оказались результатом наличия вредоносного ПО в локальной сети. В ходе расследования вирусные аналитики установили, что на компании были осуществлены целевые атаки с использованием специализированных бэкдоров и троянов: BackDoor.Farfli.130, Trojan.Mirage.12, BackDoor.Siggen2.3268, BackDoor.Skeye.1, BackDoor.DNSep.1, BackDoor.PlugX, BackDoor.RemShell.24.

Сущность бэкдора как такового заключается в том, чтобы давать злоумышленнику несанкционированный доступ к системе или данным в требуемый ему момент. И таким образом осуществлять кражу данных или иметь возможность для загрузки полезной нагрузки: троянов, крипто-майнеров, шифровальщиков и др. 

Главная опасность бэкдора в его «тихом» нахождении в системе – сложное обнаружение и возможность многократного использования. А в данном случае бэкдоры были специально подготовлены для компаний и, вероятно, сокращены в широком распространении – что может привести к длительному отсутствию сигнатур и других индикаторов компрометации для них. Эксперты Dr Web даже не безосновательно полагают, что эти следы оставила не одна APT-группировка, и атаки методично происходили на протяжении нескольких лет (с 2017 г.). Кстати, сами бэкдоры в данном случае имели подробный журнал своих действий.

Влияние на бизнес и процветание компании скрытого шпионажа трудно недооценивать, тем более если она обладает техническими или научными ноу-хау. 

Каким образом компания может обезопасить себя от возникновения подобных рисков:

  • Качественным анализом событий и расследованием инцидентов ИБ, в том числе выявленных аномалий в поведении ПО и СО. Зачастую у ИБ-экспертов компании не хватает времени и опыта для выстраивания этого процесса. Группа компаний Angara предлагает комплексный подход к решению этой проблемы: проектирование и создание центра мониторинга событий на базе лучших мировых решений On-Premise, а также подключение к Центру киберустойчивости Angara Cyber Resilience Center (ACRC) на базе платформы собственной разработки Angara Cyber Resilience Platform.

  • Анализ как исходящего, так и внутреннего трафика на аномалии. Вредоносное ПО имеет сетевую активность – это основной метод управления им, его горизонтального распространения и канал утечки данных. Как правило, сетевые домены или IP, с которыми соединяются хакерские инструменты, уже отмечаются в подозрительной активности.

  • Использование на конечных узлах средств обнаружения аномальной активности и реагирования на нее – Endpoint Detection and Response. Находясь в системе, кроме подозрительной сетевой активности, вредоносное ПО осуществляет нехарактерные запросы в системе, например, листинг каталогов и перечисление файлов в папках, или запросы информации о дисках, запросы в реестр (о прокси серверах итд), попытки горизонтального перемещения в инфраструктуре, и др. Эксперты группы компаний Angara рекомендуют следующие решения класса EDR:

    • Trend Micro Endpoint Sensor,

    • Kaspersky Endpoint Detection and Response.


По всем вопросам вы можете обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.

Другие публикации

Инструменты и технологии проактивной безопасности в e-Commerce

Цифровая трансформация является неотъемлемой частью любого бизнеса в современном мире, и она требует внедрения технологий проактивной безопасности для защиты данных и предотвращения кибератак. Об использовании передовых инструментов и средств защиты данных рассказывает Денис Бандалетов, руководитель отдела сетевых технологий Angara Security.

04.11.2024

Как сохранить свои данные в безопасности?

Отвечает директор по управлению сервисами Angara Security Павел Покровский.

01.11.2024

Рынок услуг управления уязвимостями в России: контроль поверхности атак

Управление уязвимостями (Vulnerability Management, VM) играет ключевую роль в обеспечении информационной безопасности современных организаций.

30.10.2024

CNEWS: В 2023 году ритейл и e-commerce вошли в топ-3 самых атакуемых отраслей российской экономики

В 2023 году ритейл и e-commerce вошли в топ-3 самых атакуемых отраслей российской экономики. Об этом CNews сообщили представители Angara Security.

актуально
рекомендации

18.10.2024

Эксперты Angara Security представили рекомендации по защите банковского сектора от DDoS-атак

В течение нескольких дней 23 и 24 июля российский банковский сектор подвергся целенаправленным DDoS-атакам из-за...

актуально
рекомендации

16.10.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах