В Positive Technologies раскрыли детали кибератаки на TetraSoft

Зафиксирована и остановлена таргетированная кибератака на TetraSoft — компанию, которая обеспечивает удаленный мониторинг добычи углеводородного сырья. Расследованием инцидента занимается команда экспертного центра безопасности Positive Technologies.

Оперативные действия TetraSoft и Positive Technologies позволили предотвратить воздействие на добывающую отрасль России. В ходе расследования выявлено, что первичное проникновение было совершено в июле 2024 года, первые активные действия злоумышленников в системах датируются концом сентября - началом октября. Период тишины между проникновением и активными действиями и использованный инструментарий характерны для кибератак последних двух лет, имеющих геополитический контекст. Сейчас уже понятно, что атака выполнялась с использованием набора утилит, включающего средства удаленного управления доступом и удаленного управления серверами.

Инцидент классифицирован как атака на цепочку поставок (supply chain), когда компания является звеном в таргетированной атаке на более значимую цель. В последние годы этот тип атак становится все более частым. Например, согласно аналитике Positive Technologies, в 2022 году, когда на Россию обрушился шквал кибератак, в 20% расследований, которые провели сотрудники экспертного центра безопасности (PT ESC), был выявлен сценарий supply chain.

«Это сложный сценарий, требующий от атакующих высокого уровня квалификации, в котором атака на ИТ-поставщика — один из способов добраться до целевого сектора и нанести ему максимальный ущерб. Именно на это и была нацелена атака на TetraSoft», — поясняет управляющий директор Positive Technologies Алексей Новиков.

«По уровню проработанности и таргетированности эту атаку можно считать первой за последние несколько лет, нацеленной именно на отечественный сектор добычи с прицелом на максимальный отраслевой урон. Ранее инцидентов такого масштаба мы не наблюдали», — отмечает исполнительный директор TetraSoft Денис Свечников.

Целью киберпреступников была добывающая отрасль. В случае успеха атака потенциально могла быть чревата перебоями поставок углеводородного сырья по внутренним и международным контрактам. Однако совместными усилиями специалисты Positive Technologies и TetraSoft отреагировали на угрозу, купировав возможные недопустимые для клиентов TetraSoft последствия. Команды incident response Positive Technologies и центра информационной безопасности TetraSoft выполняют весь необходимый комплекс действий по реагированию на инцидент: выявлен первоначальный вектор атаки, ведутся оперативные действия по закрытию дополнительных векторов атаки, которые могли бы использовать злоумышленники.

Кроме того, в TetraSoft оперативно развернут центр противодействия киберугрозам (security operations center, SOC), основанный на полном стеке технологий Positive Technologies, включая межсетевой экран нового поколения PT NGFW. SOC покрывает всю инфраструктуру TetraSoft, и ориентирован на результативное выявление хакерской активности до того, как компании и ее клиентам будет нанесен непоправимый урон.

«Ситуация для нас пока еще остается напряженной. Но благодаря скоординированным усилиям и высокому профессионализму специалистов Positive Technologies и TetraSoft можно говорить об успешном противодействии атакующим, которые не смогли оказать влияния на наших клиентов», — подводит итог исполнительный директор TetraSoft Денис Свечников. Прямой ущерб от простоя в TetraSoft оценивают более чем в 65 миллионов рублей, а затраты на восстановление внутренних сервисов уже превысили 25 миллионов. И эту цифру в компании считают не финальной.

Результатом совместной работы компаний, помимо оперативного устранения последствий инцидента, стало создание проекта отраслевого решения для кибербезопасного управления недрами, которое будет предотвращать наиболее актуальные сценарии атак хакеров и полностью защищать российскую добывающую отрасль.

Еще одно направление сотрудничества связано с совместной работой над национальными стандартами в области управления данными и безопасной разработки. Эти стандарты позволят установить общепринятые требования по безопасности для обеспечения надежности и защиты информационной среды.