Эксперты подвели предварительные итоги по расследованию атак на украинские энергокомпании

0
561

Специалисты установили основные моменты атаки и дали рекомендации по предотвращению подобных инцидентов.

Состоявшиеся в конце 2015 года атаки на объекты энергетической инфраструктуры Украины привлекли внимание ИБ-экспертов со всего мира. Данные инциденты могут свидетельствовать о повышении интереса хакеров к объектам критической инфраструктуры и вынуждают специалистов принимать все более суровые меры по недопущению повторения подобных атак в будущем.

По мнению издания Global Security Press, организациям стоит уделить внимание вопросам фильтрации электронной корреспонденции, а также периодически проводить тренинги для сотрудников. Персонал компаний должен уметь выявлять и противодействовать фишинг-атакам, осуществляемым злоумышленниками.

С украинской стороны в расследовании инцидента приняли участие команды быстрого реагирования Intel Security и CERT-UA, а также специалисты группы компаний БАКОТЕК.

На данный момент специалистам достоверно известно следующее:

  • Атакующих групп было несколько. Каждая группировка использовала разные инструменты для осуществления атаки. Единственным общим элементом был канал доставки и метод внедрения – фишинговые письма с базовыми элементами социальной инженерии;

  • Ущерб от осуществленных атак мог быть значительно выше;
  • Кампании по рассылке в первую очередь нацелены на государственные учреждения;
  • Под «дымовой завесой» BlackEnergy была осуществлена еще как минимум одна кампания;
  • Успешность кибератак подчеркивает необходимость использования динамического и статического анализа документов для обеспечения приемлемого уровня защиты.

Технический директор группы компаний БАКОТЕК Владислав Радецкий сформулировал ряд рекомендаций по предотвращению повторных кибератак, а также защите от целевых атак и APT-кампаний:

  • IT- и ИБ-департаментам необходимо немедленно начать проводить профилактические беседы и семинары с сотрудниками на тему фишинга и социальной инженерии. Комбинация данных методик позволила успешно осуществить атаки на предприятия критической инфраструктуры;

  • Организациям следует усилить фильтрацию электронной почты и блокировать все письма с вредоносными вложениями – любыми скриптами, макросами и выполняемыми файлами. Подобные меры являются временными – со временем злоумышленники изменят форму приманки;
  • На уровне рабочих станций запретить создание и запуск скриптов и выполняемых файлов из директорий %temp% и AppData;
  • Внедрить активную фильтрацию web-трафика и исходящих соединений. Даже если сотрудник откроет фишинговое письмо и запустит вложение, дроппер не сможет соединиться с C&C-сервером;
  • Включенные в сегменты технологических сетей АРМ должны использовать механизм «белых списков» для недопущения запуска сторонних, нерегламентированных приложений;
  • На системах, коррелирующих с известными маркерами компрометации, немедленно сменить пароли от локальных и внешних сервисов, используемых сотрудниками в течение 5-10 месяцев до момента атаки;
  • Провести аудит безопасности и усилить защиту внутренних серверов организации;
  • Для обеспечения приемлемого уровня защиты от целевых атак необходимо использовать песочницы. Если результат запуска файла будет подвергаться предварительной проверке, количество успешных целевых атак пойдет на убыль;
  • Компаниям стоит задуматься о внедрении механизмов активного реагирования, т.е. модулей, позволивших бы оперативно проверять наличие маркеров компрометации и выполнять автоматизированные действия по устранению последствий пребывания киберугроз в системе;
  • Как минимум раз в год проводить тесты на проникновения с обязательной проверкой социального канала;
  • По результатам тестов проводить разъяснительные беседы с каждым сотрудником;
  • Своевременно доносить до персонала основные тренды угроз.

Источник: securitylab.ru