Найти в Дзене
365 подписчиков

Изощрённость атак в глаза авторов рекомендаций - Часть 1


Отмечался высокий уровень сложности атак, что отражает глубокое понимание киберландшафта и способность адаптироваться в условиях меняющихся мер безопасности. Эта изощрённость очевидна не только в технических возможностях, но и в их стратегическом подходе к кибершпионажу, который включает в себя тщательный выбор целей, планирование и использование передовых тактик, методов и процедур (TTP).
Техническое мастерство и инновации
Кибероперации характеризуются использованием специального вредоносного ПО и уязвимостей нулевого дня. Эксплуатация этих уязвимостей позволяет эффективно проникать, например chain-атака SolarWinds, в результате которой был нарушен процесс разработки ПО путём внедрения вредоноснго кода в обновление ПО, что затронуло клиентов, включая правительственные учреждения и компании из списка Fortune 500.
OpSec и скрытность
OpSec является отличительной чертой операций, и атакующие делают все возможное, чтобы замести следы и сохранить скрытность в скомпрометированных сетях. Это включает в себя использование зашифрованных каналов для кражи данных, тщательное управление серверами управления и контроля во избежание обнаружения, а также использование легитимных инструментов и услуг (LOTL), чтобы гармонировать с обычной сетевой деятельностью. Способность вести себя сдержанно в целевых сетях часто позволяет им проводить долгосрочные шпионские операции без обнаружения.
Тактика психологической и социальной инженерии
Помимо технических возможностей, он продемонстрировал искусность в тактике психологической и социальной инженерии. Эти методы предназначены для манипулирования людьми с целью разглашения конфиденциальной информации или выполнения действий, ставящих под угрозу безопасность. Фишинговые кампании, целевой фишинг и другие формы социнженерии часто используются для получения первоначального доступа к целевым сетям или для повышения привилегий внутри них.
Выбор цели и сбор разведданных
Процесс выбора цели носит стратегический характер и соответствует национальным интересам России. Цели тщательно выбираются на основе их потенциала предоставления ценной разведывательной информации, будь то политическая, экономическая, технологическая или военная. Как только цель скомпрометирована, участники сосредотачиваются на долгосрочном доступе и сборе разведданных, отдавая предпочтение скрытности и закреплению вместо немедленной выгоды.
Адаптируемость к ландшафту кибербезопасности
Одним из наиболее определяющих аспектов является его адаптивность. Переход в сторону облачных сервисов и использования сервисных и неактивных учётных записей является свидетельством такой адаптивности.
Базовые механизмы защиты
Контроль доступа: обеспечение того, чтобы только авторизованные пользователи имели доступ к информационным системам и данными чтобы они могли выполнять только те действия, которые необходимы для их роли.
📌Шифрование данных: защита данных при хранении и передаче посредством шифрования, что делает их нечитаемыми для неавторизованных пользователей.
📌Управление исправлениями: регулярное обновление программного обеспечения и систем для устранения уязвимостей и снижения риска эксплуатации.
📌Брандмауэры и системы обнаружения вторжений (IDS): внедрение брандмауэров для блокировки несанкционированного доступа и IDS для мониторинга сетевого трафика на предмет подозрительной активности.
📌Многофакторная аутентификация (MFA): требование от пользователей предоставления двух или более факторов проверки для получения доступа к системам, что значительно повышает безопасность.
📌Обучение по вопросам безопасности: обучение сотрудников рискам кибербезопасности и передовым методам предотвращения атак социальной инженерии и других угроз.
📌Планирование реагирования на инциденты: подготовка к потенциальным инцидентам безопасности с помощью чётко определённого плана реагирования и восстановления.
3 минуты