Атаки на НИИ: как уберечь разработки от скрытого шпионажа

Кибератака далеко не всегда стремительна. В очень многих случаях злоумышленник может находиться в инфраструктуре годами и, например, заниматься шпионажем, как это произошло с несколькими российскими научно-исследовательскими институтами (НИИ). 

В начале апреля компания «Доктор Веб» выпустила отчет о проведенном ими расследовании: к ИБ-экспертам обратились сотрудники НИИ, заметившие ряд технических проблем, которые оказались результатом наличия вредоносного ПО в локальной сети. В ходе расследования вирусные аналитики установили, что на компании были осуществлены целевые атаки с использованием специализированных бэкдоров и троянов: BackDoor.Farfli.130, Trojan.Mirage.12, BackDoor.Siggen2.3268, BackDoor.Skeye.1, BackDoor.DNSep.1, BackDoor.PlugX, BackDoor.RemShell.24.

Сущность бэкдора как такового заключается в том, чтобы давать злоумышленнику несанкционированный доступ к системе или данным в требуемый ему момент. И таким образом осуществлять кражу данных или иметь возможность для загрузки полезной нагрузки: троянов, крипто-майнеров, шифровальщиков и др. 

Главная опасность бэкдора в его «тихом» нахождении в системе – сложное обнаружение и возможность многократного использования. А в данном случае бэкдоры были специально подготовлены для компаний и, вероятно, сокращены в широком распространении – что может привести к длительному отсутствию сигнатур и других индикаторов компрометации для них. Эксперты Dr Web даже не безосновательно полагают, что эти следы оставила не одна APT-группировка, и атаки методично происходили на протяжении нескольких лет (с 2017 г.). Кстати, сами бэкдоры в данном случае имели подробный журнал своих действий.

Влияние на бизнес и процветание компании скрытого шпионажа трудно недооценивать, тем более если она обладает техническими или научными ноу-хау. 

Каким образом компания может обезопасить себя от возникновения подобных рисков:

  • Качественным анализом событий и расследованием инцидентов ИБ, в том числе выявленных аномалий в поведении ПО и СО. Зачастую у ИБ-экспертов компании не хватает времени и опыта для выстраивания этого процесса. Группа компаний Angara предлагает комплексный подход к решению этой проблемы: проектирование и создание центра мониторинга событий на базе лучших мировых решений On-Premise, а также подключение к Центру киберустойчивости Angara Cyber Resilience Center (ACRC) на базе платформы собственной разработки Angara Cyber Resilience Platform.

  • Анализ как исходящего, так и внутреннего трафика на аномалии. Вредоносное ПО имеет сетевую активность – это основной метод управления им, его горизонтального распространения и канал утечки данных. Как правило, сетевые домены или IP, с которыми соединяются хакерские инструменты, уже отмечаются в подозрительной активности.

  • Использование на конечных узлах средств обнаружения аномальной активности и реагирования на нее – Endpoint Detection and Response. Находясь в системе, кроме подозрительной сетевой активности, вредоносное ПО осуществляет нехарактерные запросы в системе, например, листинг каталогов и перечисление файлов в папках, или запросы информации о дисках, запросы в реестр (о прокси серверах итд), попытки горизонтального перемещения в инфраструктуре, и др. Эксперты группы компаний Angara рекомендуют следующие решения класса EDR:

    • Trend Micro Endpoint Sensor,

    • Kaspersky Endpoint Detection and Response.


По всем вопросам вы можете обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах