Специалисты установили основные моменты атаки и дали рекомендации по предотвращению подобных инцидентов.
Состоявшиеся в конце 2015 года атаки на объекты энергетической инфраструктуры Украины привлекли внимание ИБ-экспертов со всего мира. Данные инциденты могут свидетельствовать о повышении интереса хакеров к объектам критической инфраструктуры и вынуждают специалистов принимать все более суровые меры по недопущению повторения подобных атак в будущем.
По мнению издания Global Security Press, организациям стоит уделить внимание вопросам фильтрации электронной корреспонденции, а также периодически проводить тренинги для сотрудников. Персонал компаний должен уметь выявлять и противодействовать фишинг-атакам, осуществляемым злоумышленниками.
С украинской стороны в расследовании инцидента приняли участие команды быстрого реагирования Intel Security и CERT-UA, а также специалисты группы компаний БАКОТЕК.
На данный момент специалистам достоверно известно следующее:
-
Атакующих групп было несколько. Каждая группировка использовала разные инструменты для осуществления атаки. Единственным общим элементом был канал доставки и метод внедрения – фишинговые письма с базовыми элементами социальной инженерии;
- Ущерб от осуществленных атак мог быть значительно выше;
- Кампании по рассылке в первую очередь нацелены на государственные учреждения;
- Под «дымовой завесой» BlackEnergy была осуществлена еще как минимум одна кампания;
-
Успешность кибератак подчеркивает необходимость использования динамического и статического анализа документов для обеспечения приемлемого уровня защиты.
Технический директор группы компаний БАКОТЕК Владислав Радецкий сформулировал ряд рекомендаций по предотвращению повторных кибератак, а также защите от целевых атак и APT-кампаний:
-
IT- и ИБ-департаментам необходимо немедленно начать проводить профилактические беседы и семинары с сотрудниками на тему фишинга и социальной инженерии. Комбинация данных методик позволила успешно осуществить атаки на предприятия критической инфраструктуры;
- Организациям следует усилить фильтрацию электронной почты и блокировать все письма с вредоносными вложениями – любыми скриптами, макросами и выполняемыми файлами. Подобные меры являются временными – со временем злоумышленники изменят форму приманки;
- На уровне рабочих станций запретить создание и запуск скриптов и выполняемых файлов из директорий %temp% и AppData;
- Внедрить активную фильтрацию web-трафика и исходящих соединений. Даже если сотрудник откроет фишинговое письмо и запустит вложение, дроппер не сможет соединиться с C&C-сервером;
- Включенные в сегменты технологических сетей АРМ должны использовать механизм «белых списков» для недопущения запуска сторонних, нерегламентированных приложений;
- На системах, коррелирующих с известными маркерами компрометации, немедленно сменить пароли от локальных и внешних сервисов, используемых сотрудниками в течение 5-10 месяцев до момента атаки;
- Провести аудит безопасности и усилить защиту внутренних серверов организации;
- Для обеспечения приемлемого уровня защиты от целевых атак необходимо использовать песочницы. Если результат запуска файла будет подвергаться предварительной проверке, количество успешных целевых атак пойдет на убыль;
- Компаниям стоит задуматься о внедрении механизмов активного реагирования, т.е. модулей, позволивших бы оперативно проверять наличие маркеров компрометации и выполнять автоматизированные действия по устранению последствий пребывания киберугроз в системе;
- Как минимум раз в год проводить тесты на проникновения с обязательной проверкой социального канала;
- По результатам тестов проводить разъяснительные беседы с каждым сотрудником;
-
Своевременно доносить до персонала основные тренды угроз.
Источник: securitylab.ru