МОСКВА, 14 ноя — ПРАЙМ. Хакеры для атаки на инфраструктурные объекты компаний топливно-энергетической сферы проникают в их системы за несколько лет до самой атаки, при этом ожидая подходящего момента, похищают важные сведения, говорится в отчете компании Positive Technologies.
"APT-группировки (профессиональные хакеры, проводящие целевые атаки — ред.) проводят деструктивные атаки не сразу после проникновения. Они могут годами контролировать все системы предприятия, не предпринимая никаких разрушительных действий, а лишь похищая важные сведения и ожидая подходящего момента, чтобы приступить к атаке", — сказано в исследовании.
Поэтому, подчеркивают эксперты, основная цель таких группировок — длительное скрытое присутствие в инфраструктуре. Так, в ходе расследования одного из инцидентов эксперты компании выяснили, что группировка TaskMasters, занимавшаяся хищение конфиденциальных документов и шпионажем, находилась в инфраструктуре компании-жертвы как минимум 8 лет.
По словам директора экспертного центра безопасности Positive Technologies Алексея Новикова, выявить APT-атаку в момент проникновения хакеров в системы достаточно сложно, более эффективным подходом к обнаружению APT является выявление активности злоумышленников уже после проникновения в инфраструктуру.
"Выявить APT-атаку в момент проникновения нарушителя в компанию — крайне сложная задача, но если цель злоумышленника — надежно закрепиться в инфраструктуре и контролировать ключевые системы максимально длительное время, то обнаружить его можно и на более поздних этапах атаки, например, при его перемещении между серверами уже во внутренней сети. Такие перемещения непременно оставляют артефакты в сетевом трафике и на самих узлах, это позволяет обнаружить произошедшее ранее проникновение ретроспективно и устранить угрозу до того, как злоумышленник перейдет к активным деструктивным действиям или украдет важную информацию", — говорит он.
