По данным исследования, среди атакуемых оказалось множество крупнейших компаний России — лидеров различных отраслей, при этом на государственные организации нацелены 68% всех рассмотренных APT-группировок. В ходе опроса 57% респондентов, работающих в государственных организациях, констатировали, что риск успешной кибератаки является критическим. При этом 45% признались, что их организация не готова противостоять целенаправленным атакам. Три четверти участников опроса, представляющих госучреждения, считают, что кража информации может стать мотивом для APT-атаки.
К информации, которая может заинтересовать киберпреступников, эксперты отнесли персональные данные сотрудников, сведения в области внешней политики и экономики, научно-исследовательские работы и финансовую отчетность.
Как следует из ответов, в государственных организациях преимущественно используются базовые средства защиты, которые не способны обнаружить и вовремя остановить сложные атаки. Так, 95% участников опроса ответили, что в госучреждении используется антивирус, и только 8% респондентов сообщили, что в организации применяются специализированные средства защиты от APT-атак.
При таком раскладе, если организация стала мишенью APT-группировки, рано или поздно злоумышленникам удастся осуществить атаку. Базовые средства защиты, которые используются в большинстве госучреждений, не спасут от целенаправленной атаки. Стремясь обойти механизмы защиты и противодействия APT-атакам, преступники кодируют и шифруют вредоносный код, используют «бесфайловый» вредоносный код, проверяют систему на наличие «песочницы» и подписывают вредоносные файлы цифровой подписью.
В исследовании также отмечается, что большинство APT-группировок начинают атаки на государственные учреждения с целенаправленного фишинга. При этом на первоначальном этапе обнаружить злоумышленников практически невозможно, так как они прекрасно знают какие средства защиты используются в организации и как их можно обойти. Почти единственным методом является обнаружение злоумышленников на этапе горизонтального перемещения и закрепления при наличии в инфраструктуре средств глубокого анализа трафика, мониторинга событий ИБ и возможности ретроспективного поиска индикаторов компрометации.
