SlideShare a Scribd company logo
Целевые атаки на
промышленные
компании 2020/2021
Мария Гарнаева
Старший исследователь
угроз ИБ
Kaspersky ICS CERT
Kaspersky Industrial Cybersecurity Conference 2021
2
Kaspersky ICS CERT
2016.
Kaspersky Lab ICS CERT Пентестеры
Исследователи уязвимостей
Аудиторы ИБ
Разработчики
Аналитики
вредоносного ПО и
исследователи атак
Инженеры с опытом
автоматизации
ics-cert.kaspersky.ru
ics-cert.kaspersky.com
3
Из этой презентации вы узнаете
Какие атакующие:
• Ставят наш антивирус и любят поэзию Шекспира
• Наряду с индустриальными шпионскими атаками зарабатывают себе финансовыми атаками на
хлеб (или на рис)
• Не могут совладать с великим и могучим, несмотря на популярность в стране российского кино
А также:
• Почему не только слушатели курсов SkillBrains предпочитают учить Python
• Как правильно искать «тот самый след» в атаках
• Кто является самыми большими киберцыганами и проводят больше всего индустриальных атак
• Какие послания оставляют вирусописатели исследователям вредоносов
4
SolarWinds
5
SolarWinds
Что произошло:
• В декабре 2020 была обнаружена крупнейшая атака на цепочку поставок с
использованием SolarWinds Orion IT
• Установка бэкдора SunBurst
• Возможное количество пользователей с бэкдором - 18 000
• Затронуто множество организаций различного профиля
Source: https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
6
SolarWinds
7
SolarWinds
Общий процент промышленных организаций с бэкдором SunBurst среди
всех организаций согласно анализу расшифрованных доменов - 32,4%
В нашей телеметрии: более 20 промышленных организаций
8
Sunburst: Жертвы != Цели
Source: https://www.netresec.com/?page=Blog&month=2021-01&post=Twenty-three-SUNBURST-Targets-Identified
9
SolarWinds: кто стоит за атакой?
10
SolarWinds: кто стоит за атакой?
Kazuar (Turla APT) SunBurst
Source: https://securelist.com/sunburst-backdoor-kazuar/99981/
11
Шифровальщик Cring
12
Cring
13
Cring
14
Cring
15
Cring
16
Obsidian
Gargoyle/PoetRAT
17
Obsidian Gargoyle: кто такие
• Новая группировка на мировой арене
• Атакуют различные организации Азербайджана с конца 2019, в том числе
государственные, нефтегазовые, энергетические, транспортные
• Проводят атаки с помощью веб и почтового фишинга
• Используют широко доступные утилиты с GitHub, а также свой кастомный бэкдор на
Питоне PoetRAT
• В последних атаках переключились на Lua скрипты
• Многообразие ПО с целью кражи информации
18
Obsidian Gargoyle
19
Obsidian Gargoyle: макрос в начале 2020
Сонет 116 в переводе Cамуила Маршака
…..
Любовь - над бурей поднятый маяк,
Не меркнущий во мраке и тумане.
Любовь - звезда, которою моряк
Определяет место в океане.
Любовь - не кукла жалкая в руках
У времени, стирающего розы
На пламенных устах и на щеках,
И не страшны ей времени угрозы.
А если я не прав и лжет мой стих,
То нет любви - и нет стихов моих!
20
Obsidian Gargoyle: макрос в сентября 2020
Главное, самому себе не лгите. Лгущий самому
себе и собственную ложь свою слушающий до
того доходит, что уж никакой правды ни в
себе, ни кругом не различает, а стало быть
входит в неуважение и к себе и к другим.
Соврать по-своему — ведь это почти лучше,
чем правда по одному по-чужому;
Ужасно то, что красота есть не только
страшная, но и таинственная вещь. Тут дьявол
с Богом борется, а поле битвы — сердца
людей.
21
Obsidian Gargoyle tester
22
Почему Python? Почему Lua?
23
Lazarus
24
Lazarus: кто такие
• Группа, которую связывают с правительством Северной Кореи
• Активна по крайней мере с 2009 года
• В самом начале появления была сосредоточена в основном на атаках на
организации в Южной Корее, в настоящее время география обширна
• Наиболее известна по взлому Sony Pictures и шифровальщику WannaCry, от которого
пострадали более 150 стран
• Имеют в своем арсенале вредоносные программы почти для всех платформ:
Windows, MacOS, Linux и Android
• Проводят атаки с целью кибершпионажа, а также атаки с финансовой выгодой
преимущественно на финансовые учреждения, криптобиржи и пр.
• Уникальная группа на «самообеспечении»
25
Lazarus: кампания против оборонных предприятий с использованием ThreatNeedle
26
Lazarus: кампания против оборонных предприятий с использованием ThreatNeedle
27
Lazarus: кампания против оборонных предприятий с использованием ThreatNeedle
28
Andariel
• Подгруппа Lazarus
• Финансовые атаки, в том числе и ранние на банкоматы
• В апреле 2021 проводила атаки, в том числе на промышленные организации в
Южной Корее, с использованием кастомного шифровальщика
Source: https://securelist.com/andariel-evolves-to-target-south-korea-with-ransomware/102811/
29
APT10
30
APT10
• Китайскоязычная группа
• Активна с 2009 года
• В начале обнаружения атаковала оборонные предприятия США и госучреждения
• Позже значительно расширила географию и профиль организаций
(промышленные, энергетические, автомобильные, MSP, ISPs, медицинские и тд.)
• В настоящее время география атак остается обширна, но основной фокус –
японские организации и их дочерние предприятия по всему миру
• Цель атак – стратегическая разведка
• В арсенале группы множество open source инструментов, вредоносов других
китайскоязычных групп (PoisonIVY, PlugX) и собственных
31
APT10: кампания A41APT
• Кампания на японские промышленные компании с октября 2019 по декабрь 2020
• Атакующие использовали имя хоста DESKTOP-A41UVJV для взлома сессии и
проникновения во внутреннею сеть через уязвимости Pulse Secure SSL-VPN
• JPCERT также сообщал о похожих атаках на SSL-VPN
• В некоторых случаях атакующие использовали уже раннее украденные креды
Source: https://blogs.jpcert.or.jp/en/2020/04/attacks-exploiting-vulnerabilities-in-pulse-connect-secure.html
32
APT10: кампания A41APT
33
APT10 и Obsidian Gargoyle
Source: https://blog.talosintelligence.com/2020/10/poetrat-update.html
APT10
Obsidian
Gargoyle
34
О чем это все
35
Мотивация и триггеры для APT акторов
Политическая напряженность (Obsidian Gargoyle, APT10, SolarWinds?)
-> кибершпионаж
-> подрыв деятельности
“Операционная деятельность”
-> кибершпионаж (APT10, Lazarus)
-> финансовый профит (Andariel, Cring ransomware)
-> подрыв деятельности? (ransomware)
36
От кого вы хотите защищаться?
WannaCry
MS17-010
1. Reconnaissance
• OSINT
• Public available
sources
2. Weaponization
• Spear-phishing
emails
• Waterhole sites
• Credentials theft
• …..
3. Installation/Lateral
movement
• Various malicious
or even legal tools
• Phishing emails
from inside
4. Command and
Control
• Communication
with the actor’s
server
5. Action
• Stealing docs
• Making changes
In the configuration
• Uploading a
Program to the
controller
38
Заключение
• ICS Threat Landscape разнообразный с разной мотивацией
• Грани между APT и Crimeware смываются
• Ransomware-as-an-APT наносят главный удар
• Есть намного больше инцидентов, чем мы знаем и думаем
• Почти все известные APT «умеют» работать на индустриальных объектах
• Большинство APT акторов умеют «перепрыгивать» через air gap
• Самую большую картину всей атаки дает IR
Спасибо!
Мария Гарнаева Старший вирусный аналитик Maria.Garnaeva@Kaspersky.com

More Related Content

What's hot

Годовой отчет Cisco по безопасности за 2016 год - данные по региону
Годовой отчет Cisco по безопасности за 2016 год - данные по регионуГодовой отчет Cisco по безопасности за 2016 год - данные по региону
Годовой отчет Cisco по безопасности за 2016 год - данные по региону
Cisco Russia
 
Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015
Cisco Russia
 
Охват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеОхват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и после
Cisco Russia
 
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиПолугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Cisco Russia
 
Доктор Веб: Цели хакеров
Доктор Веб: Цели хакеровДоктор Веб: Цели хакеров
Доктор Веб: Цели хакеров
Expolink
 
Trend Micro. Денис Перелыгин. "Ransomware: платить нельзя защититься"
Trend Micro. Денис Перелыгин. "Ransomware: платить нельзя защититься"Trend Micro. Денис Перелыгин. "Ransomware: платить нельзя защититься"
Trend Micro. Денис Перелыгин. "Ransomware: платить нельзя защититься"
Expolink
 
Ежегодный отчет по безопасности. Защитники и их тактика
Ежегодный отчет по безопасности. Защитники и их тактикаЕжегодный отчет по безопасности. Защитники и их тактика
Ежегодный отчет по безопасности. Защитники и их тактика
Cisco Russia
 
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Cisco Russia
 
Решения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почтыРешения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почты
Cisco Russia
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
 
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...
Expolink
 
Ksb 2013 ru
Ksb 2013 ruKsb 2013 ru
Лаборатория Касперского. Виталий Федоров "Kaspersky Anti Targeted Attack Стра...
Лаборатория Касперского. Виталий Федоров "Kaspersky Anti Targeted Attack Стра...Лаборатория Касперского. Виталий Федоров "Kaspersky Anti Targeted Attack Стра...
Лаборатория Касперского. Виталий Федоров "Kaspersky Anti Targeted Attack Стра...
Expolink
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Expolink
 
Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных ...
Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных ...Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных ...
Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных ...
Expolink
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
 
Годовой отчет Cisco по информационной безопасности за 2016 год
Годовой отчет Cisco по информационной безопасности за 2016 годГодовой отчет Cisco по информационной безопасности за 2016 год
Годовой отчет Cisco по информационной безопасности за 2016 год
Cisco Russia
 
Ksb statistics 2017
Ksb statistics 2017Ksb statistics 2017
Ksb statistics 2017
malvvv
 
Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"
Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"
Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"
Expolink
 
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Cisco Russia
 

What's hot (20)

Годовой отчет Cisco по безопасности за 2016 год - данные по региону
Годовой отчет Cisco по безопасности за 2016 год - данные по регионуГодовой отчет Cisco по безопасности за 2016 год - данные по региону
Годовой отчет Cisco по безопасности за 2016 год - данные по региону
 
Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015
 
Охват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеОхват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и после
 
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиПолугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
 
Доктор Веб: Цели хакеров
Доктор Веб: Цели хакеровДоктор Веб: Цели хакеров
Доктор Веб: Цели хакеров
 
Trend Micro. Денис Перелыгин. "Ransomware: платить нельзя защититься"
Trend Micro. Денис Перелыгин. "Ransomware: платить нельзя защититься"Trend Micro. Денис Перелыгин. "Ransomware: платить нельзя защититься"
Trend Micro. Денис Перелыгин. "Ransomware: платить нельзя защититься"
 
Ежегодный отчет по безопасности. Защитники и их тактика
Ежегодный отчет по безопасности. Защитники и их тактикаЕжегодный отчет по безопасности. Защитники и их тактика
Ежегодный отчет по безопасности. Защитники и их тактика
 
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
 
Решения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почтыРешения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почты
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...
 
Ksb 2013 ru
Ksb 2013 ruKsb 2013 ru
Ksb 2013 ru
 
Лаборатория Касперского. Виталий Федоров "Kaspersky Anti Targeted Attack Стра...
Лаборатория Касперского. Виталий Федоров "Kaspersky Anti Targeted Attack Стра...Лаборатория Касперского. Виталий Федоров "Kaspersky Anti Targeted Attack Стра...
Лаборатория Касперского. Виталий Федоров "Kaspersky Anti Targeted Attack Стра...
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
 
Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных ...
Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных ...Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных ...
Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных ...
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Годовой отчет Cisco по информационной безопасности за 2016 год
Годовой отчет Cisco по информационной безопасности за 2016 годГодовой отчет Cisco по информационной безопасности за 2016 год
Годовой отчет Cisco по информационной безопасности за 2016 год
 
Ksb statistics 2017
Ksb statistics 2017Ksb statistics 2017
Ksb statistics 2017
 
Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"
Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"
Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"
 
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
 

Similar to Мария Гарнаева. Целевые атаки на промышленные компании в 2020/2021

Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
Aleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
Denis Bezkorovayny
 
Стратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиСтратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасности
Cisco Russia
 
EVRAAS - Common Cyberwar: Battles that never happend (in russian)
EVRAAS - Common Cyberwar: Battles that never happend (in russian)EVRAAS - Common Cyberwar: Battles that never happend (in russian)
EVRAAS - Common Cyberwar: Battles that never happend (in russian)
Alexey Kachalin
 
2 kaspersky security_bulletin_2016_review_rus
2 kaspersky security_bulletin_2016_review_rus2 kaspersky security_bulletin_2016_review_rus
2 kaspersky security_bulletin_2016_review_rus
Andrey Apuhtin
 
Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye  201FireEye - система защиты от целенаправленных атак5Fireeye  201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5
DialogueScience
 
Сетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медалиСетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медали
КРОК
 
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Expolink
 
03
0303
03
malvvv
 
Cила вирусного маркетинга
Cила вирусного маркетинга  Cила вирусного маркетинга
Cила вирусного маркетинга
Dimaslennikov
 
Целевые атаки – минимизация рисков ИБ
Целевые атаки – минимизация рисков ИБЦелевые атаки – минимизация рисков ИБ
Целевые атаки – минимизация рисков ИБ
Infor-media
 
Group-IB. Угрозы информационной безопасности в банковской сфере.
Group-IB. Угрозы информационной безопасности в банковской сфере.Group-IB. Угрозы информационной безопасности в банковской сфере.
Group-IB. Угрозы информационной безопасности в банковской сфере.
Expolink
 
Принципы построения защищенной сети
Принципы построения защищенной сети Принципы построения защищенной сети
Принципы построения защищенной сети
Cisco Russia
 
Ирония безопасности. Дайджест. 2024-04 / Irony Security. Monthly Digest. 2024...
Ирония безопасности. Дайджест. 2024-04 / Irony Security. Monthly Digest. 2024...Ирония безопасности. Дайджест. 2024-04 / Irony Security. Monthly Digest. 2024...
Ирония безопасности. Дайджест. 2024-04 / Irony Security. Monthly Digest. 2024...
Ирония безопасности
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условия
Alexey Kachalin
 
пр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной ибпр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной иб
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Denis Bezkorovayny
 
Целенаправленные атаки
Целенаправленные атакиЦеленаправленные атаки
Целенаправленные атаки
InfoWatch
 

Similar to Мария Гарнаева. Целевые атаки на промышленные компании в 2020/2021 (20)

Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
Стратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиСтратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасности
 
EVRAAS - Common Cyberwar: Battles that never happend (in russian)
EVRAAS - Common Cyberwar: Battles that never happend (in russian)EVRAAS - Common Cyberwar: Battles that never happend (in russian)
EVRAAS - Common Cyberwar: Battles that never happend (in russian)
 
2 kaspersky security_bulletin_2016_review_rus
2 kaspersky security_bulletin_2016_review_rus2 kaspersky security_bulletin_2016_review_rus
2 kaspersky security_bulletin_2016_review_rus
 
Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye  201FireEye - система защиты от целенаправленных атак5Fireeye  201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5
 
Сетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медалиСетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медали
 
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
 
03
0303
03
 
Cила вирусного маркетинга
Cила вирусного маркетинга  Cила вирусного маркетинга
Cила вирусного маркетинга
 
Целевые атаки – минимизация рисков ИБ
Целевые атаки – минимизация рисков ИБЦелевые атаки – минимизация рисков ИБ
Целевые атаки – минимизация рисков ИБ
 
Group-IB. Угрозы информационной безопасности в банковской сфере.
Group-IB. Угрозы информационной безопасности в банковской сфере.Group-IB. Угрозы информационной безопасности в банковской сфере.
Group-IB. Угрозы информационной безопасности в банковской сфере.
 
Принципы построения защищенной сети
Принципы построения защищенной сети Принципы построения защищенной сети
Принципы построения защищенной сети
 
Ирония безопасности. Дайджест. 2024-04 / Irony Security. Monthly Digest. 2024...
Ирония безопасности. Дайджест. 2024-04 / Irony Security. Monthly Digest. 2024...Ирония безопасности. Дайджест. 2024-04 / Irony Security. Monthly Digest. 2024...
Ирония безопасности. Дайджест. 2024-04 / Irony Security. Monthly Digest. 2024...
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условия
 
пр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной ибпр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной иб
 
O shelestova apt_new
O shelestova apt_newO shelestova apt_new
O shelestova apt_new
 
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
 
Целенаправленные атаки
Целенаправленные атакиЦеленаправленные атаки
Целенаправленные атаки
 

More from Kaspersky

A look at current cyberattacks in Ukraine
A look at current cyberattacks in UkraineA look at current cyberattacks in Ukraine
A look at current cyberattacks in Ukraine
Kaspersky
 
The Log4Shell Vulnerability – explained: how to stay secure
The Log4Shell Vulnerability – explained: how to stay secureThe Log4Shell Vulnerability – explained: how to stay secure
The Log4Shell Vulnerability – explained: how to stay secure
Kaspersky
 
The Log4Shell Vulnerability – explained: how to stay secure
The Log4Shell Vulnerability – explained: how to stay secureThe Log4Shell Vulnerability – explained: how to stay secure
The Log4Shell Vulnerability – explained: how to stay secure
Kaspersky
 
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Kaspersky
 
Максим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктуры
Максим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктурыМаксим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктуры
Максим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктуры
Kaspersky
 
Кирилл Набойщиков. Системный подход к защите КИИ
Кирилл Набойщиков. Системный подход к защите КИИКирилл Набойщиков. Системный подход к защите КИИ
Кирилл Набойщиков. Системный подход к защите КИИ
Kaspersky
 
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Kaspersky
 
Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...
Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...
Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...
Kaspersky
 
Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...
Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...
Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...
Kaspersky
 
Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...
Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...
Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...
Kaspersky
 
Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...
Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...
Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...
Kaspersky
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Kaspersky
 
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
Kaspersky
 
Марина Сорокина. Криптография для промышленных систем
Марина Сорокина. Криптография для промышленных системМарина Сорокина. Криптография для промышленных систем
Марина Сорокина. Криптография для промышленных систем
Kaspersky
 
Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...
Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...
Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...
Kaspersky
 
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
Kaspersky
 
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Kaspersky
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Kaspersky
 
Олег Шакиров. Дипломатия и защита критической инфраструктуры от киберугроз
Олег Шакиров. Дипломатия и защита критической инфраструктуры от киберугрозОлег Шакиров. Дипломатия и защита критической инфраструктуры от киберугроз
Олег Шакиров. Дипломатия и защита критической инфраструктуры от киберугроз
Kaspersky
 
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Kaspersky
 

More from Kaspersky (20)

A look at current cyberattacks in Ukraine
A look at current cyberattacks in UkraineA look at current cyberattacks in Ukraine
A look at current cyberattacks in Ukraine
 
The Log4Shell Vulnerability – explained: how to stay secure
The Log4Shell Vulnerability – explained: how to stay secureThe Log4Shell Vulnerability – explained: how to stay secure
The Log4Shell Vulnerability – explained: how to stay secure
 
The Log4Shell Vulnerability – explained: how to stay secure
The Log4Shell Vulnerability – explained: how to stay secureThe Log4Shell Vulnerability – explained: how to stay secure
The Log4Shell Vulnerability – explained: how to stay secure
 
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
 
Максим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктуры
Максим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктурыМаксим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктуры
Максим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктуры
 
Кирилл Набойщиков. Системный подход к защите КИИ
Кирилл Набойщиков. Системный подход к защите КИИКирилл Набойщиков. Системный подход к защите КИИ
Кирилл Набойщиков. Системный подход к защите КИИ
 
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
 
Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...
Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...
Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...
 
Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...
Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...
Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...
 
Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...
Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...
Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...
 
Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...
Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...
Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
 
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
 
Марина Сорокина. Криптография для промышленных систем
Марина Сорокина. Криптография для промышленных системМарина Сорокина. Криптография для промышленных систем
Марина Сорокина. Криптография для промышленных систем
 
Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...
Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...
Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...
 
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
 
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
 
Олег Шакиров. Дипломатия и защита критической инфраструктуры от киберугроз
Олег Шакиров. Дипломатия и защита критической инфраструктуры от киберугрозОлег Шакиров. Дипломатия и защита критической инфраструктуры от киберугроз
Олег Шакиров. Дипломатия и защита критической инфраструктуры от киберугроз
 
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
 

Мария Гарнаева. Целевые атаки на промышленные компании в 2020/2021

  • 1. Целевые атаки на промышленные компании 2020/2021 Мария Гарнаева Старший исследователь угроз ИБ Kaspersky ICS CERT Kaspersky Industrial Cybersecurity Conference 2021
  • 2. 2 Kaspersky ICS CERT 2016. Kaspersky Lab ICS CERT Пентестеры Исследователи уязвимостей Аудиторы ИБ Разработчики Аналитики вредоносного ПО и исследователи атак Инженеры с опытом автоматизации ics-cert.kaspersky.ru ics-cert.kaspersky.com
  • 3. 3 Из этой презентации вы узнаете Какие атакующие: • Ставят наш антивирус и любят поэзию Шекспира • Наряду с индустриальными шпионскими атаками зарабатывают себе финансовыми атаками на хлеб (или на рис) • Не могут совладать с великим и могучим, несмотря на популярность в стране российского кино А также: • Почему не только слушатели курсов SkillBrains предпочитают учить Python • Как правильно искать «тот самый след» в атаках • Кто является самыми большими киберцыганами и проводят больше всего индустриальных атак • Какие послания оставляют вирусописатели исследователям вредоносов
  • 5. 5 SolarWinds Что произошло: • В декабре 2020 была обнаружена крупнейшая атака на цепочку поставок с использованием SolarWinds Orion IT • Установка бэкдора SunBurst • Возможное количество пользователей с бэкдором - 18 000 • Затронуто множество организаций различного профиля Source: https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
  • 7. 7 SolarWinds Общий процент промышленных организаций с бэкдором SunBurst среди всех организаций согласно анализу расшифрованных доменов - 32,4% В нашей телеметрии: более 20 промышленных организаций
  • 8. 8 Sunburst: Жертвы != Цели Source: https://www.netresec.com/?page=Blog&month=2021-01&post=Twenty-three-SUNBURST-Targets-Identified
  • 9. 9 SolarWinds: кто стоит за атакой?
  • 10. 10 SolarWinds: кто стоит за атакой? Kazuar (Turla APT) SunBurst Source: https://securelist.com/sunburst-backdoor-kazuar/99981/
  • 17. 17 Obsidian Gargoyle: кто такие • Новая группировка на мировой арене • Атакуют различные организации Азербайджана с конца 2019, в том числе государственные, нефтегазовые, энергетические, транспортные • Проводят атаки с помощью веб и почтового фишинга • Используют широко доступные утилиты с GitHub, а также свой кастомный бэкдор на Питоне PoetRAT • В последних атаках переключились на Lua скрипты • Многообразие ПО с целью кражи информации
  • 19. 19 Obsidian Gargoyle: макрос в начале 2020 Сонет 116 в переводе Cамуила Маршака ….. Любовь - над бурей поднятый маяк, Не меркнущий во мраке и тумане. Любовь - звезда, которою моряк Определяет место в океане. Любовь - не кукла жалкая в руках У времени, стирающего розы На пламенных устах и на щеках, И не страшны ей времени угрозы. А если я не прав и лжет мой стих, То нет любви - и нет стихов моих!
  • 20. 20 Obsidian Gargoyle: макрос в сентября 2020 Главное, самому себе не лгите. Лгущий самому себе и собственную ложь свою слушающий до того доходит, что уж никакой правды ни в себе, ни кругом не различает, а стало быть входит в неуважение и к себе и к другим. Соврать по-своему — ведь это почти лучше, чем правда по одному по-чужому; Ужасно то, что красота есть не только страшная, но и таинственная вещь. Тут дьявол с Богом борется, а поле битвы — сердца людей.
  • 24. 24 Lazarus: кто такие • Группа, которую связывают с правительством Северной Кореи • Активна по крайней мере с 2009 года • В самом начале появления была сосредоточена в основном на атаках на организации в Южной Корее, в настоящее время география обширна • Наиболее известна по взлому Sony Pictures и шифровальщику WannaCry, от которого пострадали более 150 стран • Имеют в своем арсенале вредоносные программы почти для всех платформ: Windows, MacOS, Linux и Android • Проводят атаки с целью кибершпионажа, а также атаки с финансовой выгодой преимущественно на финансовые учреждения, криптобиржи и пр. • Уникальная группа на «самообеспечении»
  • 25. 25 Lazarus: кампания против оборонных предприятий с использованием ThreatNeedle
  • 26. 26 Lazarus: кампания против оборонных предприятий с использованием ThreatNeedle
  • 27. 27 Lazarus: кампания против оборонных предприятий с использованием ThreatNeedle
  • 28. 28 Andariel • Подгруппа Lazarus • Финансовые атаки, в том числе и ранние на банкоматы • В апреле 2021 проводила атаки, в том числе на промышленные организации в Южной Корее, с использованием кастомного шифровальщика Source: https://securelist.com/andariel-evolves-to-target-south-korea-with-ransomware/102811/
  • 30. 30 APT10 • Китайскоязычная группа • Активна с 2009 года • В начале обнаружения атаковала оборонные предприятия США и госучреждения • Позже значительно расширила географию и профиль организаций (промышленные, энергетические, автомобильные, MSP, ISPs, медицинские и тд.) • В настоящее время география атак остается обширна, но основной фокус – японские организации и их дочерние предприятия по всему миру • Цель атак – стратегическая разведка • В арсенале группы множество open source инструментов, вредоносов других китайскоязычных групп (PoisonIVY, PlugX) и собственных
  • 31. 31 APT10: кампания A41APT • Кампания на японские промышленные компании с октября 2019 по декабрь 2020 • Атакующие использовали имя хоста DESKTOP-A41UVJV для взлома сессии и проникновения во внутреннею сеть через уязвимости Pulse Secure SSL-VPN • JPCERT также сообщал о похожих атаках на SSL-VPN • В некоторых случаях атакующие использовали уже раннее украденные креды Source: https://blogs.jpcert.or.jp/en/2020/04/attacks-exploiting-vulnerabilities-in-pulse-connect-secure.html
  • 33. 33 APT10 и Obsidian Gargoyle Source: https://blog.talosintelligence.com/2020/10/poetrat-update.html APT10 Obsidian Gargoyle
  • 35. 35 Мотивация и триггеры для APT акторов Политическая напряженность (Obsidian Gargoyle, APT10, SolarWinds?) -> кибершпионаж -> подрыв деятельности “Операционная деятельность” -> кибершпионаж (APT10, Lazarus) -> финансовый профит (Andariel, Cring ransomware) -> подрыв деятельности? (ransomware)
  • 36. 36 От кого вы хотите защищаться?
  • 37. WannaCry MS17-010 1. Reconnaissance • OSINT • Public available sources 2. Weaponization • Spear-phishing emails • Waterhole sites • Credentials theft • ….. 3. Installation/Lateral movement • Various malicious or even legal tools • Phishing emails from inside 4. Command and Control • Communication with the actor’s server 5. Action • Stealing docs • Making changes In the configuration • Uploading a Program to the controller
  • 38. 38 Заключение • ICS Threat Landscape разнообразный с разной мотивацией • Грани между APT и Crimeware смываются • Ransomware-as-an-APT наносят главный удар • Есть намного больше инцидентов, чем мы знаем и думаем • Почти все известные APT «умеют» работать на индустриальных объектах • Большинство APT акторов умеют «перепрыгивать» через air gap • Самую большую картину всей атаки дает IR
  • 39. Спасибо! Мария Гарнаева Старший вирусный аналитик Maria.Garnaeva@Kaspersky.com