Positive Technologies и TetraSoft раскрывают подробности целевой атаки на добычу углеводородного сырья

Зафиксирована и остановлена таргетированная кибератака на TetraSoft[1] — компанию, которая обеспечивает удаленный мониторинг добычи углеводородного сырья. Расследованием и реагированием на инцидент занимается команда экспертного центра безопасности Positive Technologies. Благодаря оперативным действиям TetraSoft и Positive Technologies удалось предотвратить влияние на добывающую отрасль России.

В ходе расследования выявлено, что первичное проникновение было совершено в июле 2024 года, первые активные действия злоумышленников в системах датируются концом сентября — началом октября 2024 года. Период тишины между проникновением и активными действиями и использованный инструментарий характерны для кибератак последних двух лет, имеющих геополитический контекст[2]. На данный момент понятно, что атака выполнялась с использованием набора утилит, включающего средства удаленного управления доступом и удаленного управления серверами.

Инцидент классифицирован как атака на цепочку поставок (supply chain), когда компания является звеном в таргетированной атаке на более значимую цель. В последние годы этот тип атак становится все более частым. Например, согласно аналитике Positive Technologies, в 2022 году, когда на Россию обрушился шквал кибератак, в 20% расследований, которые провели сотрудники экспертного центра безопасности (PT ESC), был выявлен сценарий supply chain.

«Это сложный сценарий, требующий от атакующих высокого уровня квалификации, в котором атака на ИТ-поставщика — один из способов добраться до целевого сектора и нанести ему максимальный ущерб. Именно на это и была нацелена атака на TetraSoft», — поясняет управляющий директор Positive Technologies Алексей Новиков.

«По уровню проработанности и таргетированности эту атаку можно считать первой за последние несколько лет, нацеленной именно на отечественный сектор добычи с прицелом на максимальный отраслевой урон. Ранее инцидентов такого масштаба мы не наблюдали», — комментирует исполнительный директор TetraSoft Денис Свечников.

Кроме того, в TetraSoft оперативно развернут центр противодействия киберугрозам (security operations center, SOC), основанный на полном стеке технологий Positive Technologies, включая межсетевой экран нового поколения PT NGFW. SOC покрывает всю инфраструктуру TetraSoft, и ориентирован на результативное выявление хакерской активности до того, как компании и ее клиентам будет нанесен непоправимый урон.

«Ситуация для нас пока еще остается напряженной. Но благодаря скоординированным усилиям и высокому профессионализму специалистов Positive Technologies и TetraSoft можно говорить об успешном противодействии атакующим, которые не смогли оказать влияния на наших клиентов», — подводит итог исполнительный директор TetraSoft Денис Свечников. Прямой ущерб от простоя в TetraSoft оценивают более чем в 65 млн руб., а затраты на восстановление внутренних сервисов уже превысили 25 млн руб. И эту цифру в компании считают не финальной.

Результатом совместной работы компаний, помимо оперативного устранения последствий инцидента, стало создание проекта отраслевого решения для кибербезопасного управления недрами, которое будет предотвращать наиболее актуальные сценарии атак хакеров и полностью защищать российскую добывающую отрасль.

Еще одно направление сотрудничества связано с совместной работой над национальными стандартами в области управления данными и безопасной разработки. Эти стандарты позволят установить общепринятые требования по безопасности для обеспечения надежности и защиты информационной среды.

[1] TetraSoft — специализированная ИТ-компания полного цикла по организации и предоставлению услуг удаленного мониторинга бурения. Предлагает программное обеспечение и оборудование, может установить их и настроить для передачи данных на буровой, настроить спутниковую связь и подключить видеокамеры, предоставить сервис по мониторингу качества связи.

[2] Так, в ходе расследования известной атаки на Rutube между проникновением нарушителей в инфраструктуру и активными действиями, направленными на ее обрушение, прошло около трех месяцев тишины: злоумышленники осваивались в системах, изучали их и закреплялись.

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Цифровой девелопмент

Подробнее
Спецпроект

Машиностроительные предприятия инвестируют в ПО

Подробнее


Подпишитесь
на нашу рассылку