Positive Technologies расследует целевую атаку на российский нефтегазовый сектор

TetraSoft, разрабатывающую программно-аппаратные системы для контроля и оптимизации процессов строительства нефтяных и газовых скважин, атаковали злоумышленники, рассказали Forbes в Positive Technologies, помогающей компании справиться с последствиями и расследовать этот инцидент. Исполнительный директор TetraSoft, в число клиентов которой входят крупнейшие российские компании нефтегазовой отрасли, включая «Новатэк» и структуры «Газпрома», Денис Свечников подтвердил эту информацию.

Хакеры проникли в инфраструктуру TetraSoft в июле 2024 года, но первые активные действия злоумышленников в системах датируются лишь концом сентября — началом октября 2024 года, говорят в Positive Technologies. «Период тишины между проникновением и активными действиями и использованный инструментарий характерны для кибератак последних двух лет, имеющих геополитический контекст», — рассуждают там. К примеру, в ходе расследования известной атаки на Rutube между проникновением в инфраструктуру и активными действиями, направленными на ее обрушение, прошло около трех месяцев тишины, когда злоумышленники осваивались, изучали и закреплялись в инфраструктуре, обращают внимание в Positive Technologies.

Специалисты определили тип нападения как supply chain, когда компания является звеном в таргетированной атаке на более значимую цель. В последние годы атаки через цепочку поставок становится все более частыми. Например, согласно аналитике Positive Technologies, в 2022 году, когда на Россию обрушился шквал кибератак, в 20% расследований, которые провели сотрудники экспертного центра безопасности (PT ESC) применялся сценарий supply chain. «Это сложный сценарий, требующий от злоумышленников высокого уровня квалификации, в котором атака на IT-поставщика — один из способов добраться до целевого сектора и нанести ему максимальный ущерб. Именно на это и была нацелена атака на TetraSoft», — поясняет управляющий директор Positive Technologies Алексей Новиков.

«Атака на разработчика ПО может быть приравнена к попытке атаки на сектор добычи, так как вендор управляет софтом на местах в режиме реального времени и инфраструктурно связан с добывающими компаниями», — указывают в Positive Technologies. Хакеры использовали набор утилит, включающий средства удаленного управления доступом и удаленного управления серверами. «Ситуация для нас пока еще остается напряженной, — признает Денис Свечников. — В случае успеха хакеры могли бы дотянуться и до наших заказчиков». Это было бы чревато перебоями по контрактам поставок углеводородного сырья.

Свой прямой ущерб от простоя в TetraSoft оценивают более чем в 65 млн рублей, а затраты на восстановление внутренних сервисов уже превысили 25 млн рублей, и эту цифру в компании не считают финальной. «Ряд мероприятий возможно было проводить только на изолированной структуре, нам пришлось совместно с заказчиками сегментировано выводить системы в офлайн («простой»). Это привело к нашим финансовым потерям, но предотвратило негативные последствия для клиентов», — поясняет Свечников.

По данным Positive Technologies, за январь-сентябрь 2024 года общее число кибератак на отечественный промышленный сектор за год увеличилось более чем в два раза по сравнению с аналогичным периодом 2023 года. При этом на долю именно добывающих компаний приходится не менее четверти всех расследований кибератак, которые выполнили специалисты экспертного центра кибербезопасности Positive Technologies с февраля 2022 года.

Атаки через цепочку поставок (supply chain attack) остаются одним из основных рисков для корпораций, финансовых и IT-компаний, считают в F.A.C.C.T. Так, по данным «ГК «Солар», в 2023 году 60% российских компаний финансового сектора сталкивались с атаками на цепочки поставок. Средний ущерб от такого инцидента, без учета репутационных потерь и штрафных санкций, составил 3,6 млн рублей. «Компрометация учетных записей на уровне поставщика услуг открывает возможность для нескольких векторов атак, включая делегирование административных привилегий (DAP), — рассказывали Forbes в F.A.C.C.T ранее. — Хакеры могут использовать этот доступ для проведения последующих атак через доверенные каналы, такие как внешние VPN или уникальные решения для провайдеров и заказчиков, обеспечивающие доступ к сети. В одном из кейсов атакующие обращались к четырем различным поставщикам для достижения успеха».