Социальная инженерия как метод атаки на промышленные предприятия.

ОСНОВНЫЕ ФАКТЫ

Kaspersky Lab ICS CERT зафиксировал очередную волну рассылок фишинговых писем c вредоносными вложениями, нацеленных преимущественно на компании и организации, деятельность которых так или иначе связана с промышленным производством. Фишинговые письма замаскированы под легитимные коммерческие предложения и рассылаются преимущественно промышленным компаниям на территории РФ. Содержание писем соответствует деятельности атакуемой организации и учитывает специфику работы сотрудника – получателя письма.

Согласно собранным данным, эта серия атак началась в ноябре 2017 года и продолжается по настоящее время, при этом первые подобные атаки были зафиксированы ещё в 2015 году.

Вредоносная программа, используемая в данных атаках, устанавливает в систему легитимное ПО для удаленного администрирования – TeamViewer или Remote Manipulator System/Remote Utilities (RMS). Это позволяет злоумышленникам получать удаленный контроль над зараженными системами. Используются различные техники, позволяющие скрыть заражение системы и активность установленного ПО.

По имеющимся данным, основной целью атакующих является кража денежных средств со счетов организации. Когда злоумышленники подключаются к компьютеру жертвы, они находят и изучают документы о проводимых закупках, а также ПО для осуществления финансовых и бухгалтерских операций. Далее злоумышленники ищут всевозможные способы для совершения финансовых махинаций, в частности подменяют реквизиты, по которым производится оплата счетов.

В тех случаях, когда преступникам после заражения системы требуются дополнительные данные или возможности – например, повышение привилегий и получение прав локального администратора, кража аутентификационных данных пользователя к финансовому ПО и сервисам, а также аккаунты учетных записей Windows для продвижения внутри сети предприятия, – злоумышленники загружают на систему дополнительный набор вредоносное ПО, сформированный индивидуально с учетом особенности атаки на каждую жертву. Такой набор может содержать шпионские программы (Spyware), дополнительные утилиты удаленного администрирования, расширяющие контроль злоумышленников на зараженных системах, вредоносное ПО для эксплуатации уязвимостей в ОС и прикладном ПО, а также утилиту Mimikatz, позволяющую получить данные аккаунтов учетных записей Windows.

По всей видимости информацию, необходимую для осуществления преступных действий, злоумышленники получают в том числе при анализе содержимого переписки сотрудников атакованных предприятий. Обнаруженная в письмах информация может также использоваться злоумышленниками для подготовки следующих атак – на предприятия, входящие в список деловых партнеров жертвы.

Очевидно, что, помимо финансовых потерь, данные атаки приводят к утечке конфиденциальных данных организации.

МИШЕНИ АТАК

По данным KSN с октября 2017 года по июнь 2018 года около 800 компьютеров сотрудников промышленных компаний были атакованы с использованием вредоносного ПО.

По оценке Kaspersky Lab ICS CERT, мишенями данной атаки стали не менее 400 промышленных компаний в России, относящихся к следующим индустриям:

1. Производство

2. Нефть и газ

3. Металлургия

4. Инжиниринг

5. Энергетика

6. Строительство

7. Добыча полезных ископаемых

8. Логистика

Исходя из этого, можно сделать вывод, что злоумышленники не ставят целью атаковать компании какой-то конкретной индустрии или сектора экономики. Тем не менее в их действиях прослеживается четкое стремление скомпрометировать системы именно промышленных компаний. Такой выбор киберпреступников может объясняться тем, что осведомленность персонала об угрозах, а также культура кибербезопасности в промышленных компаниях ниже, чем в компаниях других сфер экономики (например, в банках или IT-компаниях). Вместе с тем, промышленные компании чаще других совершают операций по счетам на крупные суммы – что делает их еще более привлекательной целью для злоумышленников.

Источник: АО «Лаборатория Касперского». Достоверность сведений носит субъективный характер и не является рекламой.