Ъ: «Энергокомпании попали под новую волну кибератак»

Специалисты по кибербезопасности обнаружили новую волну атак на российские банки и энергетические компании, написал «Коммерсант» 18 февраля. Туда приходят фишинговые письма, запускающие серию переходов на популярные интернет-ресурсы, в результате которой злоумышленники могут получить доступ к информации на компьютере. Энергетика всё больше интересует хакеров, особенно «политически мотивированные» группировки, отмечают эксперты. В самих энергокомпаниях пока не считают это проблемой.

«Ростелеком-Солар» (входит в группу «Ростелекома») зафиксировала волну атак на российские банки и энергетический бизнес, сообщили в компании. Сотрудники таких организаций получают электронные письма с офисными документами, при открытии которых компьютер перенаправляется на текстовый хостинг Pastebin, откуда запускается следующий участок вредоносного кода. Он скачивает картинки с сервиса для обмена изображениями Imgur, в которых спрятан вредоносный софт, позволяющий получить полную информацию о жертве, а затем загрузить на её компьютер вирусы для кражи документов, коммерческого кибершпионажа и вывода средств, рассказал глава центра расследования киберинцидентов JSOC CERT «Ростелеком-Солар» Игорь Залевский: «Так как цепочка состоит из четырех этапов, средства защиты, которые применяют компании, не могут её обнаружить, они рассчитаны на более короткую активность вредоносов».

Около 60% фишинговых писем получили сотрудники энергетических компаний, хотя 80% всех атак в итоге было направлено на банки, уточнили в «Ростелеком-Солар».

Большинство опрошенных изданием крупных энергетических компаний отказались от комментариев. В «Россетях» отметили, что в компании все обращения из пользовательского сегмента к Pastebin и Imgur блокируются техническими средствами защиты и за последний месяц таких обращений не было. В «Т Плюс» заверили, что всплеска кибератак не было. В «Интер РАО» сообщили, что застраховали киберриски.

Стилистика кода, задействованного в цепочке вредоносной активности, очень похожа на ту, что использует русскоговорящая хакерская группировка Silence, специализирующаяся на банках, отметил г-н Залевский. Таким образом, либо Silence осваивает новую отрасль, либо появилась новая группировка, которая удачно имитирует её код.

Наблюдаемые сейчас атаки на энергетику выглядят как предпринимаемые Silence, но утверждать это нельзя, согласен технический директор Trend Micro в России и СНГ Михаил Кондрашин. В Group-IB считают, что имеющихся фактов об атаке пока недостаточно, чтобы утверждать, что это новый инструмент группы Silence. В «Лаборатории Касперского» также не подтвердили связь атаки с этой группировкой.

В Group-IB сообщили, что фиксировали эту атаку в банковской сфере. Там прогнозируют, что в 2020 году компании из сферы энергетики, наряду с финансовым сектором и телекомом, останутся «главными мишенями для киберпреступных групп», при этом развитие атак на их сети пойдёт через управляющие компании.

Энергетический сектор – один из самых атакуемых в последнее время, подтверждает руководитель направления аналитики и спецпроектов группы InfoWatch Андрей Арсентьев, объясняя это тем, что компании из этой сферы обладают ценной информацией об объектах критической инфраструктуры, что «привлекает внимание политически мотивированных группировок, в том числе нацеленных на диверсии». Он отмечает, что атаки с использованием стеганографии, то есть вредоносного кода, зашифрованного в картинке, «довольно экзотичны» и широкомасштабного их применения, скорее всего, удастся избежать, так как хороших специалистов по стеганографии в мире немного.

Используя популярные внешние сервисы, злоумышленники надеются обойти некоторые традиционные средства защиты, опирающиеся на черные списки и репутацию интернет-ресурсов, объясняет руководитель Kaspersky ICS CERT Евгений Гончаров. Кроме того, использование публичных ресурсов не требует от злоумышленников затрат на создание сетевой инфраструктуры, необходимой для промежуточных этапов атаки, добавляет ведущий специалист группы исследования киберугроз PT Expert Security Center Positive Technologies Денис Кувшинов. Ключевым мотивом атакующих он считает промышленный шпионаж, а в некоторых случаях и воздействие на инфраструктуру, так как «энергетика обеспечивает жизнедеятельность городов».

Коммерсант