Расследования киберинцидентов в российских компаниях, о которых стало известно после начала военной операции на Украине 24 февраля, показали, что подготовку инфраструктуры для атак злоумышленники начали еще в четвертом квартале 2021 года, рассказали «Ъ» в Positive Technologies на SOC-Forum сегодня, 15 ноября. Атакующие использовали известное вредоносное программное обеспечение (ВПО) «Кобальт» и уникальное, новое — «Фасоль». Для первого управляющие домены регистрировались еще в ноябре 2021 года, для второго — в феврале 2022-го, выяснили Positive Technologies в ходе расследования. Дата первого зафиксированного взлома — 1 января 2022 года.
В числе жертв были отечественные промышленные и энергетические предприятия, телекоммуникационные, медиакомпании и предприятия кредитно-финансовой отрасли, уточнил директор экспертного центра безопасности Positive Technologies Алексей Новиков: «В случае любых геополитических потрясений, равно как и общественно значимых событий, необходимо искать следы более раннего взлома организации. Большинство компаний, ставших жертвами кибератак в этом году, были взломаны за три-четыре месяца до того, как факт взлома стал публичным».
При этом по итогам третьего квартала 2022 года число кибератак по сравнению с аналогичным периодом 2021-го увеличилось на треть, подсчитали в Positive Technologies. «Это обусловлено продолжающимся противостоянием в киберпространстве, деятельностью хактивистов и появлением новых шифровальщиков»,— объясняют в компании. По ее данным, на долю целенаправленных, сложных атак хакеров приходится не менее 67% инцидентов ежеквартально.
Как писал «Ъ», с февраля 2022 года стало известно о взломах компаний СДЭК, «Яндекс.Еда», медиаплатформы Rutube, кабельных сетей «Ростелекома» и «НТВ плюс», а также платежной системы «Мир» и других крупных российских организаций.
Для группировок, проводящих целевые атаки, длительная подготовка является стандартной практикой, отмечает консультант ПИР-центра Олег Шакиров: «В отличие от хактивистов или низкоквалифицированных преступников они заинтересованы не в быстром эффекте (публичном или денежном), а в получении всеобъемлющего представления о своей жертве, доступа к самым ценным данным и ключевым системам»,— говорит он. Целевые атаки могут проводить и продвинутые киберпреступники, но иногда за такими атаками стоят группировки, связанные с тем или иным государством, добавляет Олег Шакиров. Для реализации сложной и продолжительной атаки нужны существенные ресурсы, в то время как непосредственная коммерческая выгода может быть не столь очевидной, объясняет эксперт. Собеседник «Ъ» на рынке информационной безопасности считает, что события февраля совпали с действиями злоумышленников, просто до этого в их планах была постепенная продажа данных из систем жертвы, но «политические мотивы изменили приоритеты».