«Kaspersky»: зиянкестер АБЖ желілерінен есептік жазбаларды ұрлау үшін жаңа тактиканы қолданады

2021 жылы Kaspersky ICS CERT мамандары бүкіл әлем бойынша АБЖ компьютерлеріне шпиондық БҚ қолдану арқылы шабуылдардың көбеюін анықтады. Зиянкестер кеңінен таралған шпиондық БҚ-ны пайдаланады, бірақ шабуылдардың өзі мақсаттардың шектеулі санымен және әрбір зиянды үлгінің өте қысқа өмірлік циклімен ерекшеленеді.

Шабуылдардың ұзақтығы, әдетте, 25 күннен аспайды. Бұл әдетте мұндай науқандар жалғасатын уақыттан әлдеқайда аз. Зиянды БҚ-ның әрбір данасы бірнеше ондаған компьютерлерде анықталады, олардың 40-45%-да АБЖ-ға қатысы бар, ал қалғандары сол ұйымдардың IT-инфрақұрылымының бір бөлігі болып табылады.

Мұндай шабуылдар кеңінен таралды. АБЖ компьютерлерінде 2021 жылдың бірінші жартыжылдығында бұғатталған барлық тыңшылық БҚ үлгілерінің бестен бір бөлігі (21%) осы түрге жатады. Сонымен бірге, шпиондық БҚ-ға шабуыл жасаған барлық АБЖ компьютерлерінің алтыдан біріне дейін осы тактиканы қолдана отырып шабуыл жасалды.

Көбінесе зиянды заттар сапалы фишингтік хаттар арқылы таратылады. Зиянкестер бұзылған пошта жәшіктерінен ұрланған байланыс тізімдері бойынша фишингтік хаттарды жіберу үшін шабуыл жасалған компаниялардың корпоративтік пошта жүйелерін пайдаланады. Осылайша, шабуыл ұйымның жергілікті желісінде және бір компаниядан екіншісіне — іскери хат алмасу түрінде таралады. Көптеген жағдайларда бұзылған корпоративтік пошта жәшіктерін зиянкестер кейінгі шабуылдарда ұрланған деректерді жинау сервері ретінде де пайдаланады.

Бүкіл әлемдегі 2000-нан астам өнеркәсіптік кәсіпорындардың SMTP-сервистерін зиянкестер ұрланған деректерді жинау және зиянды БҚ тарату инфрақұрылымы ретінде пайдаланған. Сонымен қатар, корпоративтік пошта шоттары бұзылды және көп ұрланды — сараптамалық бағалау бойынша, шамамен 7000.

«Kaspersky» сарапшылары зиянкестер логиндер мен парольдерді сататын, соның ішінде осы шабуылдар кезінде ұрланған 25 сауда алаңын анықтады. Зиянкестердің ұсыныстарын талдағаннан кейін, олар күтілгендей, кәсіпорындардың ішкі жүйелеріне, мысалы, RDP бойынша қол жеткізуді қамтамасыз ететін есептік жазбалар ең құнды «тауар» екенін анықтады. Зерттеу кезінде сатылған барлық RDP-аккаунттарының  4% - ы өнеркәсіптік кәсіпорындарға тиесілі болды, олар 2000-ға жуық аккаунтты құрады.

«2021 жыл бойы біз өнеркәсіптік кәсіпорындар үшін қауіп-қатер ландшафтында жылдам өсіп келе жатқан үрдісті байқадық. Зиянкестер шабуылдың ауқымын және әр үлгіні пайдалану уақытын қысқартады, оны әр келесі шабуылда тез ауыстырады. Тағы бір тактика — фишингтік хаттарды тарату және ұрланған деректерді зиянды немесе сенімсіз инфрақұрылымды пайдаланбай жинау. Бұл үшін де, басқасы үшін де зиянкестердің жаңа құрбандарының іскерлік серіктестері — бұрын жария етілген ұйымдардың пошта жүйесі пайдаланылады. Қауіп өте маңызды және ерекше назар аударуға тұрарлық», — дейді Kaspersky ICS CERT командасының сарапшысы Кирилл Круглов.

Өнеркәсіптік кәсіпорынды, серіктестік желіні және жалпы бизнесті тиісті қорғауды қамтамасыз ету үшін «Kaspersky» компанияларға:

• зиянкестер компанияның ішкі инфрақұрылымына, аса маңызды деректер мен жүйелерге қол жеткізу үшін пайдалануы мүмкін корпоративтік электрондық поштаға және Интернеттен (RDP, VPN-SSL шлюздерін және т. б. қоса алғанда) қолжетімді басқа сервистерге қол жеткізу үшін екі факторлы аутентификацияны енгізуді;
• кеңсе және технологиялық желілердегі барлық құрылғылар дұрыс конфигурацияланған және үнемі жаңартылып отыратын соңғы құрылғылардың қауіпсіздігін қамтамасыз ету үшін заманауи шешіммен қорғалғанына көз жеткізуді;
• қызметкерлерді кіріс электрондық поштамен қалай қауіпсіз жұмыс істеуге және тіркемелерде болуы мүмкін зиянды бағдарламалардан қорғауға үйретуді;
• спам папкаларын жай ғана тазалап қоймай, үнемі тексеріп отыруды;
• сіздің ұйымыңыздың корпоративтік шоттары көлеңкелі жерлерде сатылмайтындығын қадағалауды;
• кіріс электрондық пошталардағы тіркемелерді автоматты түрде тексеру үшін құмсалғыш технологияларын (sandbox) қолдануды және оларды сенімді көздерден, соның ішінде серіктес компаниялар мен контактілер тізіміндегі ұйымдардан хабарламаларды тексерістен шығармайтындай етіп орнатуды;
• электрондық поштаның шығыс хабарламаларындағы тіркемелерді тексеруді ұсынады: бұл қызметкерлердің есептік жазбаларының бұзылғанын анықтауға көмектеседі.