По мировой статистике 82% инцидентов информационной безопасности в 2022 году произошло из-за действий сотрудников. Поэтому эксперты из команды безопасности «Полюса» постоянно развивают культуру ИБ внутри компании, в том числе обучают сотрудников распознавать атаки и правильно на них реагировать.

Чтобы снизить риски и повысить защищенность критической информационной инфраструктуры, «Полюс» пробовал внедрять разные решения — например, отправку имитированных атак сотрудникам. Но полученные результаты не устраивали департамент информационной безопасности — атаки приходилось отправлять вручную, шаблоны атак не до конца соответствовали специфике компании. Чтобы повысить эффективность обучения, нужно было сделать процесс более контролируемым, регулярным и автоматизированным.

Расскажем, как решили задачу с помощью системы Start AWR, реализовав проект при поддержке «Информзащиты», и добились кратного роста вовлеченности сотрудников в обеспечение защищенности компании.

«Полюс» — крупнейший производитель золота в России. Входит в пятерку ведущих мировых золотодобывающих компаний.

В «Полюсе» работают более 20 000 сотрудников — от них зависит защищенность критической информационной инфраструктуры компании. Поэтому крайне важно поддерживать и развивать культуру информационной безопасности в компании.

Задача: вовлечь сотрудников в обеспечение безопасности компании

Департамент информационной безопасности «Полюс» проводит регулярную оценку рисков и проактивно внедряет решения, которые помогают предотвратить возможные инциденты информационной безопасности.

С начала 2022 года одним из главных рисков для компании стали цифровые атаки, направленные против ее сотрудников, и их потенциально опасные действия, которые могли привести к инцидентам — открытие и запуск опасных вложений, компрометация корпоративных учетных записей на фишинговых ресурсах, пересылка конфиденциальной информации в ответ на мошеннический запрос.

При этом сами сотрудники могли не осознавать угрозу от подобных действий и не понимали, как они могут навредить организации.

Типичной реакцией был вопрос: «А что от меня зависит, у нас же есть команда безопасности? Пусть они и разбираются».

Сотрудников обучали правилам безопасности, но только во время онбординга — работники со стажем успевали забыть, что им рассказывали. Новички тоже были недостаточно осведомлены: курсы были короткими, и сотрудники не успевали получить все знания.

Для формирования навыков безопасной работы в «Полюсе» использовали отправку имитированных атак, но решение не полностью устраивало компанию. Сотрудникам департамента ИБ было ясно, что нужно сделать процесс обучения более регулярным, контролируемым и эффективным.

Для этого необходимо было найти автоматизированное решение класса Security Awareness, которое позволяло бы:

• интегрировать обучающие процессы с другими системами информационной безопасности;
• создать формат, который поможет сотрудникам не просто познакомиться с правилами, но сформировать навыки безопасной работы;
• кастомизировать и дорабатывать обучающий контент в соответствии со спецификой компании;
• выполнять имитированные атаки для оценки защищенности и тренировки навыков;
• оценивать и повышать вовлеченность сотрудников, в том числе топ-менеджеров в обеспечение безопасности.

Такие задачи могла решить только полноценная система обучения и тренировки навыков по информационной безопасности для всех сотрудников.
Для того чтобы определиться с подрядчиком, представители компании проанализировали рынок, составили шорт-лист из пяти вариантов, протестировали каждое решение, составили сводную матрицу по функциональности и приняли решение.

Решение: внедрить Start AWR в работу компании

Start AWR — это платформа для регулярного и непрерывного обучения и тренировки навыков сотрудников в области кибербезопасности. В платформу включены курсы и симулятор атак, а также методика и метрики для оценки защищенности компании от угроз человеческого фактора.

Сначала мы провели пилот — две недели несколько сотен пользователей обучались основам безопасной работы и отражали имитированные атаки злоумышленников.

Затем ПАО «Полюс» приобрели лицензию на год для 10 000 пользователей и совместно со специалистами интегратора информационной безопасности «Информзащита» начали внедрять платформу в эксплуатацию.

Развернули полную версию платформы в инфраструктуре заказчика

Интегрировались со службой каталогов Active Directory, почтовым сервером и клиентами MS Outlook, продуктами экосистемы R-Vision, SIEM-системой и другой инфраструктурой. Подтвердили соответствие системы корпоративным требованиям по безопасности и описали все в документации.

Доработали курсы и сценарии имитированных атак

На платформе Start AWR уже есть готовый набор курсов и тестов по информационной безопасности, а также регулярно обновляемые сценарии имитированных фишинговых атак, которые на практике позволяют выработать у сотрудников навыки безопасной работы.

Для эффективного процесса важно, чтобы курсы и сценарии атак были всегда актуальными и соответствовали реальным условиям работы в компании. Поэтому при разработке сценариев атак мы учли политики безопасности и принятые в компании регламенты.

Пример имитированной атаки, разработанной для сотрудников «Полюс»

Сотрудники департамента информационной безопасности «Полюса» активно принимали участие в согласовании и адаптации сценариев и курсов — такая опция входит в состав лицензии Start AWR. Например, по их просьбе мы оптимизировали курс «Безопасная работа с паролями», чтобы в нем учитывались все процессы, действующие в компании.

Слайд из курса «Безопасная работа с паролями»

Специально для «Полюса» мы разработали новый курс по безопасности критической информационной инфраструктуры. На промышленных предприятиях согласно ФЗ-187 все сотрудники должны понимать, как защищать системы компании от взлома. Из курса работники узнают, как атаки угрожают нормальной работе и что может сделать каждый, чтобы предотвратить вмешательства. Эти знания и навыки помогут сотрудникам осознанно участвовать в защите компании, как субъекта критической инфраструктуры.

Слайд из курса по безопасности КИИ

Использовали методологию Start AWR для вовлечения сотрудников в процесс обеспечения безопасности в компании

Мы помогли коллегам из «Полюса» вовлечь сотрудников в процесс защиты компании в соответствии с нашей методологией.

В итоге работники проходили курсы, на которых получали нужные знания, а затем отрабатывали практические навыки, отражая имитированные атаки через электронную почту и фишинговые сайты.

По результатам атак автоматически составлялся рейтинг сотрудников. Служба безопасности смогла регулярно следить за рейтингом, чтобы выявлять уязвимых сотрудников и вовремя давать им новые задания для отработки навыков кибербезопасности.

Рейтинг сотрудников по уровню риска

Для сотрудников, которые демонстрировали небезопасное поведение — открывали имитированные фишинговые письма, переходили по ссылкам или открывали вложения — платформа определяет уязвимые версии приложений, браузеров и операционных систем, через которые пользователи это сделали. Это помогает службе безопасности в рамках процесса патч-менеджмента оперативно устранять уязвимости на рабочих компьютерах сотрудников с наибольшим уровнем риска.

Обновляем материалы и помогаем с дальнейшим внедрением

Чтобы еще сильнее вовлечь сотрудников в процесс защиты компании от информационных атак, в компании разрабатывают специальную систему мотивации.

Мы обновляем курсы и сценарии атак каждый квартал — это помогает сотрудникам постоянно актуализировать знания о том, как действуют злоумышленники, и отрабатывать навыки на новых заданиях.

Результаты за 9 месяцев: 62% сотрудников активно участвуют в защите компании от цифровых атак

Через 9 месяцев после начала использования продукта сотрудники стали:

• на 50% чаще сообщать об атаках;
• на 16% меньше переходить по фишинговым ссылкам;
• на 16% реже вводить логины и пароли на фишинговых сайтах.
  
  

Почему это получилось:

• 62% сотрудников успешно прошли подготовленные для них курсы и получили нужные знания.
• Служба безопасности получила актуальный рейтинг защищенности и список уязвимых сотрудников для непрерывного контроля доступов и планирования процессов обучения.
• Служба безопасности выявила и устранила опасные уязвимости программного обеспечения на рабочих местах сотрудников.
• Использование автоматизированной системы упростило внедрение имитированных атак.

Комментарий Андрея Тихонина, начальника департамента ИБ «Полюса»:

Мы смогли добиться значимых результатов из-за совместных усилий. У нас было точное понимание того, что нам нужно для повышения уровня осведомленности сотрудников, а в Start AWR были для этого все необходимые возможности. Ваше решение — это полноценный инструмент, который помогает нам реализовать наше видение.

Обзор новостей информационной безопасности с 3 по 9 ноября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Инциденты

Пропалестинская хакерская группа «Воины Соломона» («Soldiers of Solomon») атаковала один из крупнейших израильских мукомольных заводов и вызвала серьёзное нарушение работы предприятия.

Хакерам удалось проникнуть в системы управления производством компании Flour Mills Ltd, занимающейся переработкой и сбытом муки, а также сопутствующих продуктов питания.

Видеоматериалы, опубликованные в телеграм-канале хакеров, демонстрируют скриншоты систем управления заводом. Действия киберпреступников могут иметь весомые последствия как для компании, так и для местного сообщества, поскольку завод является важным элементом продовольственной цепочки страны.

Также хактивисты сообщали, что получили полный контроль над более чем 50 серверами, камерами безопасности и системой управления «умным городом» в военном районе Неватим и похитили 25 ТБ данных с использованием вируса-вымогателя Crucio собственной разработки.

Сбербанк стал жертвой самой мощной DDoS—атаки в своей истории.

Атака мощностью 1 млн запросов в секунду была нацелена на вывод из строя сайта банка.

Глава банка Герман Греф сказал:

«Это была самая мощная атака в нашей истории. Она была примерно в три-четыре раза мощнее, чем самая мощная до этого».

Греф также отметил, что Сбербанк стабильно сталкивается с примерно десятью атаками в месяц, но ни разу не допустил проникновения хакеров даже в первый из трёх контуров защиты банка

По словам Грефа, атаку совершила новая хакерская группа чрезвычайно высокой квалификации, с которой ИБ-служба банка не сталкивалась, и есть ненулевая вероятность, что эта атака — часть системной кампании против крупнейших российских организаций.

Произошла утечка персональных данных 665 тыс. клиентов сингапурского курорта и казино Marina Bay Sands (MBS).

Преступники получили доступ к информации об участниках программы лояльности MBS.

В результате утечки была раскрыта следующая информация:

• имя;
• адрес электронной почты;
• номер мобильного телефона;
• номер телефона;
• страна проживания;
• номер и уровень участника программы.

Компания заявляет, что клиенты, чьи персональные данные попали в руки злоумышленников, будут проинформированы об инциденте и возможных последствиях.

В результате кибератаки компания Mr.Cooper, ипотечный гигант из Техаса потеряла возможность принимать платежи клиентов по кредитам через личный кабинет на сайте.

Сообщение о недоступности систем на временном сайте

1 ноября клиентам при попытке войти в свои аккаунты на сайте Mr.Cooper для проведения платежей по ипотеке отображалось сообщение о техническом сбое. Впоследствии выяснилось, что причиной стала целенаправленная кибератака, которая и вызвала сбой систем

Компания предоставила клиентам несколько различных способов совершения платежей — оплата по телефону, через почтовую службу, а также через Western Union и MoneyGram. Кроме того, предоставлена возможность одноразового онлайн-платежа, что является удобной опцией для многих пользователей.

В уведомлении на временном сайте сообщается, что все системы заблокированы
для обеспечения безопасности данных пользователей. Компания также подчеркнула, что клиенты не понесут никаких финансовых потерь в виде штрафов или пеней за просрочки платежей из-за текущей ситуации.

Хакерская группа Cyber Av3ngers заявила о взломе десяти водоочистительных станций в израильских городах Хедера, Палмахим, Сорек, Ашкелон, Хайфа, Хоразим, Кфар Харув, Таберия, Эйлат и Даниил.

В опубликованном хакерами видео присутствуют кадры с меню программного обеспечения, где виден логотип IDE Technologies, компании, которая управляет некоторыми из перечисленных объектов.

Как следует из видеоматериалов и заявлений группы, взлом привел к отключению промышленных систем, которые автоматически контролируют работу станций, датчиков и управления, позволяющего операторам вручную управлять системой. В одном из кадров видео, на экране с информацией об уровне кислотности системы, появляется запрос о желании «остановить очистку»

Также хакеры опубликовали видео, демонстрирующее процесс взлома через командную строку, включая IP-адреса атакованных систем. Некоторые из этих IP-адресов принадлежат частному сегменту и ассоциируются с компанией Siemens, которая управляет программным обеспечением на скриншоте.

В результате фишинговой атаки были похищены данные клиентов компании The Hilb Group Operating Company, LLC (Hilb).

Согласно уведомлению, инцидент кибербезопасности в компании Hilb произошел «в течение ограниченного периода времени» с 1 декабря 2022 года по 12 января 2023 года. Расследование, проведенное компанией совместно со сторонними ИБ-специалистами, показало, что личные данные определенных клиентов были украдены, включая имена и номера социального страхования (Social Security Number, SSN).

Кроме того, были раскрыты финансовые данные — номера счетов или карт в сочетании с кодом безопасности, паролем онлайн-банка или ПИН-кодом. В общей сложности от утечки пострадало более 81 539 человек. Компания предложила пострадавшим лицам услуги мониторинга финансовых операций по счёту на срок 12 месяцев. На данный момент сайты компании недоступны.

Хакеры Anonymous Sudan проводят массированные DDoS-атаки на ChatGPT.

Изначально корпорация не раскрывала причину сбоев, однако позже представители OpenAI заявили, что системы подверглись DDoS.

Заставшие сбой пользователи наблюдали сообщение «Что-то пошло не так». При этом ChatGPT также не мог сгенерировать ответ на запросы пользователей.

Хакеры сообщили, что причина атаки — позиция компании OpenAI в израильско-палестинском конфликте.

Обзор новостей информационной безопасности с 27 октября по 2 ноября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания хакерской группировки Higaisa против китайских пользователей.

Схема кампании

1. Хакеры создали фишинговый сайт, очень похожий на легитимный VPN-сервис OpenVPN и разместили на нём вредоносный файл-установщик OpenVPN, а также вредоносные инсталляторы Google Meet и Zoom.

2. Инсталляторы представляют собой модифицированные дистрибутивы легальных программ OpenVPN, в которые добавлена программа-бэкдор.

3. Файлы инсталлляторов имеют цифровую подпись китайской организации «Zhiya Yunke (Chengdu) Finance and Tax Service Co»

Бэкдор, добавленный к инсталлятору

4. После завершения установки инсталлятор запускает бэкдор, который устанавливает зашифрованное соединение с удалённым сервером управления хакеров, предоставляя им полный контроль над заражённым устройством.

Инциденты

Хакеры из группировки LockBit заявили о взломе американской корпорации Boeing и краже «огромного количества конфиденциальных данных».

Таймер на сайте группировки отсчитывал время до 2 ноября, после этого хакеры собирались начать публикацию украденной информации.

Участники LockBit заявляют, что один из партнеров группировки взломал Boeing при помощи неназванной 0-day уязвимости. Хакеры отказались сообщить, как долго у них был доступ к системам компании, и какой объем данных они украли.

К 30 октября объявление об утечке исчезло с сайта. Хакеры сообщили, что начались переговоры о выкупе.

Boeing пока не выпустила официального пресс-релиза и не предоставила отчет об инциденте в Комиссию по ценным бумагам и биржам США.

Компания Advarra, оказывающая услуги для медицинских исследований и клинических испытаний, была атакована вымогателями ALPHV/BlackCat.

Злоумышленники произвели несанкционированную замену сим-карты SIM-своппинг (SIM Swapping) одного из топ-менеджеров компании и получили доступ к рабочим и личным аккаунтам жертвы.

Сообщение о взломе на сайте хакеров

Злоумышленники похитили более 120 ГБ данных, включая личную информацию клиентов, пациентов и сотрудников компании, как текущих, так и прошлых. В качестве доказательства успешной атаки они опубликовали личные данные несовершеннолетнего и скан паспорта одного из руководителей Advarra.

Несмотря на угрозы вымогателей компания заявила, что ситуация находится под контролем и что никакие системы, с которыми работают клиенты и партнеры, не были скомпрометированы.

Представитель Advarra подтвердил, что сотрудник действительно стал жертвой атаки, но заверил, что компания приняла меры по предотвращению дальнейшего доступа и ведет расследование с привлечением экспертов по кибербезопасности и федеральных правоохранительных органов.

Инцидент стал поводом для дискуссий о безопасности аутентификации через СМС и голосовые вызовы, которые могут быть уязвимы для подобных атак.

Серия вымогательских атак парализовала местные госсервисы в нескольких городах и районах Западной Германии.

Утром 30 октября группа неизвестных хакеров зашифровала серверы муниципального сервисного провайдера Südwestfalen-IT. Для предотвращения распространения вредоносного ПО компания ограничила доступ к своей инфраструктуре более чем для 70 муниципалитетов, преимущественно находящихся в районе Северный Рейн-Вестфалия.

В результате атаки услуги местного самоуправления оказались «сильно ограниченными», а основной сайт пока остаётся недоступным после инцидента.

После атаки администрация немецкого города Зиген отменила все запланированные встречи с гражданами, поскольку большая часть городских IT-систем была выведена из строя. По состоянию на среду 1 ноября большинство онлайн-сервисов администрации оставались недоступными.

Пострадавшие администрации заявили, что услуги населению предоставляются в оффлайн-формате. Однако их внутренняя и внешняя связь, включая электронную почту и телефонные сервисы, не работают.

Крупнейшая в Канаде система публичных библиотек сообщила о кибератаке, в результате которой были заблокированы ее сайт, страницы обслуживания пользователей и ограничен доступ к цифровым коллекциям.

Публичная библиотека Торонто предоставляет более 12 млн. единиц хранения в 100 филиалах для более чем 1,2 млн. пользователей. В субботу днем библиотека сообщила, что испытывает технические трудности с онлайн-сервисами, WiFi в филиалах и печатью.

Для устранения проблемы были привлечены специалисты по кибербезопасности, однако официальные лица предупреждают, что «может пройти несколько дней, прежде чем все системы будут полностью восстановлены для нормальной работы».

Ни одна из хакерских группировок не взяла на себя ответственность за атаку, и организация не ответила на вопросы о том, был ли это инцидент с программой-вымогателем и будет ли выплачен выкуп.

Вечером 30 октября 2023 года сайт Национальной системы платежных карт (НСПК, оператор платежной системы «Мир») подвергся кибератаке и дефейсу.

Сайт НСПК после дефейса

Как сообщила пресс-служба НСПК,

«Сайт НСПК разработан и обслуживается сторонним подрядчиком. Он является только визитной карточкой с информацией о деятельности компании и не содержит никаких конфиденциальных данных, а также не имеет отношения к платежной инфраструктуре. Получить с сайта доступ к каким-либо системам компании невозможно. Сервера и ЦОДы компании не имеют доступа в интернет. Обработка всех платежей по банковским картам и операций через СБП осуществляется НСПК в штатном режимею»

Эксперты подтверждают, что компрометация сайта не повлияла на работу Системы быстрых платежей (СБП) НСПК и работу платежной системы. По их словам, атакующие не получили доступ к чувствительной информации, и сделать это было невозможно «чисто физически» из-за нескольких контуров защиты.

Представители Роскомнадзора уже сообщили СМИ, что не получали уведомлений о возможной утечке данных с сайта Национальной системы платежных карт.

Группировка Clop получила доступ к адресам электронной почты 632 тыс. сотрудников министерств обороны и юстиции США.

Для кибератаки хакеры использовали уязвимости в MOVEit — популярном инструменте для передачи файлов. В результате им удалось получить доступ к адресам электронной почты правительства, ссылкам на опросы среди сотрудников, проводимые OPM, и внутренним кодам отслеживания OPM. Среди пострадавших сотрудники министерства юстиции и различных подразделений министерства обороны: ВВС, армии, инженерных войск армии США, офиса министра обороны, комитета начальников штабов и агентств обороны, а также полевых служб.

Эксперты заявляют, что атака не имеет особого значения, скомпрометированные данные были «низкого уровня важности» и не являлись секретными.

Американская компания Ace Hardware была вынуждена остаовить работу из-за киберинцидента.

В Ace Hardware заявили, что работа многих из ключевых операционных систем, в том числе ACENET (каталог для поставщиков компании), системы управления складом, портал для выставления счетов и телефон центра обслуживания клиентов, была прервана или приостановлена.

В уведомлении для поставщиков Ace подтвердила, что поставок в магазины 30 и 31 октября не будет. Компания добавила, что о влиянии инцидента на POS-системы розничных продавцов и обработку кредитных карт неизвестно.

Сайт Acehardware.com продолжает работать, позволяя клиентам искать и просматривать продукты, однако заказать ничего не получится.

В результате кибератаки на системы школьного округа Кларк Каунти (Clark County School District, CCSD), Невада, хакеры получили доступ к данным учеников.

Ответственность за инцидент взяла на себя группировка SingularityMD. Хакеры утверждают, что взломали системы округа и имеют доступ к большому количеству конфиденциальной информации. В качестве доказательства киберпреступники разослали родителям учеников электронные письма с PDF-вложением, якобы включающие личные данные учеников, такие как имена, адреса, номера ученических билетов, фотографии и другую чувствительную информацию.

Школьный округ предпринял шаги по усилению безопасности, включая отключение доступа к Google Workspace из внешних аккаунтов и сброс паролей учеников. Однако хакеры утверждают, что их действия продолжаются, и предлагают округу заплатить выкуп за остановку утечки и удаление украденных данных.