Каких кибератак опасается Федеральная сетевая компания?

Вчера Telegram-канал «Сайберсекьюрити и Ко» опубликовал письмо Федеральной сетевой компании Единой Энергетической Системы, адресованное своим филиалам, с предупреждением о возможности возникновения новой волны кибератак. Сотрудников филиалов попросили не открывать неизвестные ссылки и вложения в письмах на электронной почте. «ФСК ЕЭС» подтвердила достоверность письма «Ведомостям».

Компания обратилась к директорам филиалов и попросила ограничить доступ пользователей корпоративной сети к интернету на 10 дней — с 4 по 14 августа. Также «ФСК ЕЭС» напомнила, что в указанный период не стоит открывать вложения и ссылки от неизвестных отправителей, присланные по электронной почте. Каким же образом можно атаковать электросетевую компанию через рассылку писем по электронной почте?

Совсем недавно компания Talos Intelligence опубликовала отчёт, в котором указала на «атаку, основанную на рассылке писем по электронной почте, которая по-новому реализует фишинг с использованием классических документов Word». В отчёте Talos утверждается, что целью данной атаки являются объекты энергетической инфраструктуры.

Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей.

Обычно, при реализации фишинговой атаки сами документы Word содержат скрипты или макросы, которые исполняют зловредный код. Отличительной чертой же нового способа атаки является отсутствие зловредного кода в самом вложении. Вместо этого прикрепленный файл, при открытии, предпринимает попытку загрузки файла шаблона по SMB-соединению (сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам) для последующего сбора конфиденциальных данных. Кроме этого, данный файл шаблона может также быть потенциально использован для загрузки другого зловредного ПО на компьютер жертвы.

Старая атака по-новому: файлы Word не содержат зловредных макрос или скриптов — вместо этого предпринимается попытка загрузки зловредного файла шаблона извне [Источник: Talos Intelligence].

Присылаемые документы Word часто представляют собой либо резюме, либо информационные материалы, что способствует возникновению желания открыть эти файлы. Можно представить, что если же эти вложения будут еще и на русском языке — доверие к ним возрастет еще больше.

Пример прикрепленного файла-резюме, использованного в ходе одной из атак [Источник: Talos Intelligence]

По результатам анализа атак, совершенных по вышеобозначенному сценарию, Talos Intelligence отмечает важность контроля внутрисетевого трафика, не допуская возникновения исходящего трафика по протоколу SMB, а также ряд других мер, таких как определение правил обработки входящей электронной почты, блокирующих внедрение шаблонов извне в будущем.