Скрытые хакеры проникают в инфраструктуру
и собирают чувствительные данные
Скрытые хакеры проникли в каждую пятую российскую компанию. Это данные аналитиков BI.ZONE. Такие злоумышленники присутствуют во внутренних системах незаметно и собирают чувствительные данные: переписки, пароли и внутренние документы. При этом операционные процессы не нарушаются, и компания даже не знает о взломе. По словам специалистов, хакеры попадают в инфраструктуру через фишинговые письма или аккаунт одного из сотрудников. После этого они получают доступ к серверам, системам управления и резервным копиям и могут даже полностью взять их под контроль.
Фото: Ирина Бужор, Коммерсантъ
Фото: Ирина Бужор, Коммерсантъ
Отследить таких хакеров можно по вторичным признакам, говорит консультант по интернет-безопасности компании Positive Technologies Алексей Лукацкий:
«Такие случаи бывают, но в последние годы большинство атак на российские организации носит явный геополитический характер. Цель злоумышленников не шпионаж, а нанесение максимального ущерба в кратчайшие сроки. Если хакеры проникают в инфраструктуру, их задача — не вымогать выкуп, потому что получить его от российских компаний сегодня сложно; большинство группировок ориентированы на уничтожение взломанной инфраструктуры. При этом закрепляться внутри они могут достаточно долго — иногда до года-полутора.
Есть ли способы вычислить скрытых хакеров? Да, с помощью средств мониторинга аномальной активности. Они отслеживают косвенные признаки: незакрытые учетные записи, работу в ночное время, подключения из необычных географических локаций, удаленные подключения сотрудников, которые обычно находятся в офисе. Такие аномалии фиксируются специализированными инструментами центра мониторинга безопасности — внутри компании или на аутсорсинге. Это сложная задача, и большинство компаний даже свой периметр полностью защитить не могут».
Согласно исследованию Threat Zone, почти 40% всех атак на бизнес совершают именно с целью шпионажа. Однако чаще всего это происходит при участии сотрудников самой компании, отмечает независимый специалист по криптовалютным расследованиям Григорий Осипов:
«В каждой компании злоумышленник, который собирает информацию, — это, конечно, преувеличение. Есть несколько уровней: сотрудники могут собирать приватные данные для удобства работы, кто-то совмещает работу с собственной коммерческой деятельностью, используя ресурсы компании, а есть более радикальные случаи — слив информации конкурентам или шантаж. В моей практике был случай, когда сотрудник, уволенный с конфликтом, имел доступ к базам данных и впоследствии шантажировал компанию, отправив вирус-шифровальщик.
Какие возможны превентивные меры? Необходим комплекс мер, применяемых для предотвращения утечек: аудит безопасности, пентесты, контроль систем доступа, а также отслеживание психологического климата в коллективе».
Впрочем, центр Solar в ноябре оценивал долю присутствия профессиональных хакерских группировок в системах российского бизнеса — в 35%.