Решение Group-IB уже позволило остановить и локализовать целевую атаку на госкомпанию со стороны, предположительно, иностранного государства. Ранее Group-IB сообщала, что в первой половине 2021 года, в России было зафиксировано почти в 3 раза больше атак на объекты критической инфраструктуры, чем за весь 2019 год.
«Росгеология» является крупнейшим государственным геологическим холдингом России, предприятиями которого открыто и изучено более тысячи месторождений полезных ископаемых на территории России и десятки — в странах Азии, Африки и Латинской Америки. «Росгеология» обладает разветвленной вычислительной инфраструктурой, выполняющей обработку и интерпретацию данных, полученных при выполнении геофизических и буровых работ на суше и на море.
Цифровизация недропользования — один из основных приоритетов «Росгеологии». Холдинг активно внедряет цифровые технологии, уделяет особое внимание кибербезопасности и защите своей интеллектуальной собственности, связанной с IT-разработками «Росгеологии» и достижениями машиностроения в сфере наземной сейсморазведки и глубоководных геологоразведочных работ. В качестве превентивной меры, позволяющей защитить инфраструктуру от целевых атак, обеспечить непрерывность производственных процессов и защиту оборудования от выхода из строя в результате киберинцидентов, в конце 2020 года госкомпания в «пилотном» режиме установила систему Threat Hunting Framework от Group-IB для проактивной охоты на угрозы (Threat Hunting) как внутри периметра организации, так и за его пределами.
Защищая крупные промышленные объекты, THF позволяет исключить затраты, связанные с простоем предприятия вследствие кибератаки, а также оптимизировать расходы, частично автоматизируя задачи по реагированию и исследованию инцидентов. За счет корреляции разрозненных оповещений в телеметрии из разных частей инфраструктуры, их автоматического объединения в инциденты, приоритезации, предоставления возможностей оперативного реагирования из единого интерфейса, THF значительно повышает эффективность работы команды ИБ.
Кибервраг не пройдет
В марте 2021 года системой THF был зафиксирован подозрительный вход в защищаемый периметр «Росгеологии», данные были переданы в Центр круглосуточного реагирования на инциденты информационной безопасности CERT-GIB. Специалистами Group-IB было установлено, что киберпреступники проникли на почтовый сервер и пытаются запустить вредоносную программу. Получив необходимую информацию об атаке, служба безопасности «Росгеологии» оперативно локализовала и ликвидировала угрозу.
Напомним, что весной 2021 года около 100 000 компаний и организаций по всему миру стали жертвой атаки с использованием уязвимости «нулевого дня» в почтовых серверах Microsoft Exchange Server. Пройдя аутентификацию на сервере, атакующие могли получить права администратора, установить вредоносную программу, и похитить данные. Сначала подобные атаки совершала иностранная APT-группа Hafnium, позже этот способ атаки начали использовать другие хакерские группы, например, LuckyMouse, Tick и IronTiger.
Департамент информационной безопасности «Росгеологии»
Руководитель департамента сетевой безопасности Group-IB
Система Group-IB Threat Hunting Framework была выведена на российский рынок осенью прошлого года. Она автоматизировано коррелирует и группирует все сетевые события в инциденты для сокращения времени их обработки службами безопасности, инженерами и ИТ-специалистами. THF анализирует критичность события в сети, помогая выстроить этапы реагирования на инцидент. Технологии, лежащие в основе THF, имеют ряд российских и международных патентов. THF сокращает издержки на закупку, внедрение, интеграцию и сопровождение разрозненных систем безопасности, закрывающих отдельные узкие направления защиты, а также предотвращает многомиллионный ущерб от простоев производства.