По данным исследования BI.ZONE Threat Intelligence, с начала года промышленный и инженерный секторы заняли второе место среди наиболее атакуемых отраслей в России. На их долю пришлось 12% от всех кибератак, что немногим уступает госорганизациям (13%) и опережает финансовую и логистическую отрасли (по 11%).
В настоящее время на российские промышленные предприятия нацелены как минимум 63 кибергруппировки. Основной мотивацией для 32 из них является шпионаж. Цель таких атакующих — обеспечить скрытное и длительное присутствие в инфраструктуре для незаметной кражи конфиденциальных данных.
Анатомия атаки от шпионской группы Arcane Werewolf
В качестве примера эксперты приводят недавнюю кампанию, зафиксированную в октябре–ноябре. Руководитель BI.ZONE Threat Intelligence Олег Скулкин описал сложную, многоэтапную схему атаки:
Социальная инженерия. Злоумышленники рассылали фишинговые письма под видом деловой переписки. В них содержалась ссылка на вредоносный сайт, замаскированный под корпоративный файлообменник организации из той же группы компаний, что и цель атаки. Сайт имитировал фирменный стиль и использовал похожий URL.
Доставка вредоноса. С поддельного сайта жертва скачивала ZIP-архив. Внутри находились безобидные файлы (фотографии оборудования) и вредоносный LNK-файл, замаскированный под служебный PDF-документ.
Заражение. Открытие LNK-файла запускало дроппер. Эта программа показывала пользователю легитимный документ-приманку (например, отчет о ревизии), а в фоновом режиме устанавливала загрузчик Loki.
Сбор данных и закрепление. Загрузчик Loki собирал базовую информацию о системе (имя хоста, IP-адрес, версию ОС) и отправлял ее на сервер атакующих. После этого он загружал основной имплант — троян удаленного доступа (RAT), который позволял хакерам скрытно выполнять команды на скомпрометированном устройстве.
Тактики и инструменты злоумышленников
Этот случай — не единственный. Ранее специалисты BI.ZONE фиксировали атаки на промышленность с использованием уязвимости в архиваторе WinRAR. Предположительно, эксплоит для нее был куплен на теневом форуме. Такие примеры показывают, что атакующие активно разрабатывают собственные инструменты, выстраивают сложные цепочки заражения и используют уязвимости в популярном ПО для достижения своих целей.
Рекомендации по защите
Для противодействия современным киберугрозам эксперты советуют:
- Использовать решения класса EDR (Endpoint Detection and Response). Они позволяют не только обнаруживать попытки проникновения, но и своевременно нейтрализовывать угрозу на конечных устройствах.
- Применять данные киберразведки (Threat Intelligence). Информация об актуальных тактиках, инструментах и уязвимостях позволяет выстраивать проактивную защиту и быстрее реагировать на инциденты.