Пять лет под присмотром кибершпионов: какие APT-группировки атакуют компании в России и СНГ

Экспертный центр безопасности Positive Technologies подвел итоги расследований киберинцидентов в 2021–2023 годах.

Согласно отчету компании, за последние два года количество проектов по расследованию киберинцидентов, выполненных командой реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC), значительно увеличилось. Только за 2022 год прирост расследований составил 50%. За три квартала 2023 года, в сравнении с показателями за весь 2022 год, количество проектов выросло на 76%. В компании предполагают, что такой скачок спровоцирован увеличением количества инцидентов ИБ вследствие последних геополитических и экономических событий.

В результате анализа проектов по расследованию инцидентов и работ по ретроспективному анализу инфраструктур компаний было установлено, что 40% инцидентов связаны с деятельностью публично известных APT-группировок. Чаще всего атакам APT-группировок подвергались государственные учреждения (34%) и промышленный сектор (30%). Третье место разделили финансовые организации (4%), СМИ (5%) и IT-компании (5%).

В 25% проектов по ретроспективному анализу обнаружены следы деятельности APT-группировок, причём среднее время с момента компрометации инфраструктуры злоумышленниками и до их остановки (или локализации) составило 45 дней, самое долгое их активное пребывание в сети составило пять лет.

В результате всех выявленных инцидентов пострадавшие компании чаще всего сталкивались с нарушениями внутренних бизнес-процессов (32%), с кибершпионажем — достаточно длительным пребыванием злоумышленников в инфраструктуре жертвы, как правило, с конечной целью непрерывной выгрузки конфиденциальной информации (32%), а также с непосредственно выгрузкой конфиденциальной информации (29%). Тренд с выгрузкой конфиденциальных сведений компании-жертвы перед запуском ВПО эксперты фиксируют с 2020 года. Такой шаг позволяет преступникам запрашивать выкуп как за восстановление доступа к инфраструктуре, так и за неразглашение украденных сведений.

В качестве исходного вектора проникновения злоумышленники чаще всего (63%) эксплуатировали уязвимости в используемых жертвой и публично доступных веб-приложениях. В частности, среди таких веб-приложений стоит выделить почтовый сервер Microsoft Exchange (50% среди всех атак, в которых в качестве исходного вектора проникновения были уязвимые веб-приложения), веб-сервер Bitrix (13%) и продукты компании Atlassian (7%), например Confluence и Jira. На втором месте по частоте успешного использования — фишинговые письма.

В ходе проведенного исследования аналитики зафиксировали интересную тенденцию: злоумышленники не так часто изобретают новые способы атак, но тем не менее число инцидентов с применением уже известных уязвимостей продолжает расти. Это говорит о том, что компании как минимум не обновляют используемое ПО до последних версий и не производят аудит периметра инфраструктуры.