Кибератака далеко не всегда стремительна. В очень многих случаях злоумышленник может находиться в инфраструктуре годами и, например, заниматься шпионажем, как это произошло с несколькими российскими научно-исследовательскими институтами (НИИ).
В начале апреля компания «Доктор Веб» выпустила отчет о проведенном ими расследовании: к ИБ-экспертам обратились сотрудники НИИ, заметившие ряд технических проблем, которые оказались результатом наличия вредоносного ПО в локальной сети. В ходе расследования вирусные аналитики установили, что на компании были осуществлены целевые атаки с использованием специализированных бэкдоров и троянов: BackDoor.Farfli.130, Trojan.Mirage.12, BackDoor.Siggen2.3268, BackDoor.Skeye.1, BackDoor.DNSep.1, BackDoor.PlugX, BackDoor.RemShell.24.
Сущность бэкдора как такового заключается в том, чтобы давать злоумышленнику несанкционированный доступ к системе или данным в требуемый ему момент. И таким образом осуществлять кражу данных или иметь возможность для загрузки полезной нагрузки: троянов, крипто-майнеров, шифровальщиков и др.
Главная опасность бэкдора в его «тихом» нахождении в системе – сложное обнаружение и возможность многократного использования. А в данном случае бэкдоры были специально подготовлены для компаний и, вероятно, сокращены в широком распространении – что может привести к длительному отсутствию сигнатур и других индикаторов компрометации для них. Эксперты Dr Web даже не безосновательно полагают, что эти следы оставила не одна APT-группировка, и атаки методично происходили на протяжении нескольких лет (с 2017 г.). Кстати, сами бэкдоры в данном случае имели подробный журнал своих действий.
Влияние на бизнес и процветание компании скрытого шпионажа трудно недооценивать, тем более если она обладает техническими или научными ноу-хау.
Каким образом компания может обезопасить себя от возникновения подобных рисков:
-
Качественным анализом событий и расследованием инцидентов ИБ, в том числе выявленных аномалий в поведении ПО и СО. Зачастую у ИБ-экспертов компании не хватает времени и опыта для выстраивания этого процесса. Группа компаний Angara предлагает комплексный подход к решению этой проблемы: проектирование и создание центра мониторинга событий на базе лучших мировых решений On-Premise, а также подключение к Центру киберустойчивости Angara Cyber Resilience Center (ACRC) на базе платформы собственной разработки Angara Cyber Resilience Platform.
-
Анализ как исходящего, так и внутреннего трафика на аномалии. Вредоносное ПО имеет сетевую активность – это основной метод управления им, его горизонтального распространения и канал утечки данных. Как правило, сетевые домены или IP, с которыми соединяются хакерские инструменты, уже отмечаются в подозрительной активности.
-
Использование на конечных узлах средств обнаружения аномальной активности и реагирования на нее – Endpoint Detection and Response. Находясь в системе, кроме подозрительной сетевой активности, вредоносное ПО осуществляет нехарактерные запросы в системе, например, листинг каталогов и перечисление файлов в папках, или запросы информации о дисках, запросы в реестр (о прокси серверах итд), попытки горизонтального перемещения в инфраструктуре, и др. Эксперты группы компаний Angara рекомендуют следующие решения класса EDR:
-
Trend Micro Endpoint Sensor,
-
Kaspersky Endpoint Detection and Response.
По всем вопросам вы можете обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.
