СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Блоги
Softline
9 июня
#Статьи #ИБ#Облака

Эксперты Softline предупредили о росте гибридных атак APT-группировок на цепочки поставок ПО

Эксперты Softline предупредили о росте гибридных атак APT-группировок на цепочки поставок ПО

Изображение: grok

APT-атаки (Advanced Persistent Threat) – это длительные и тщательно спланированные кибероперации, за которыми стоят профессиональные группировки: одни работают в интересах государств, другие совмещают шпионаж с финансовым криминалом. Их классическая цель – незаметно закрепиться в инфраструктуре жертвы и месяцами собирать данные. Однако эксперты ГК Softline фиксируют опасную эволюцию этих угроз: от классического шпионажа злоумышленники все чаще переходят к гибридным схемам и целенаправленным ударам по цепочкам поставок программного обеспечения. Эта тенденция создает критические риски для финансового сектора, энергетики и объектов критической информационной инфраструктуры (КИИ) России, где компрометация одного вендора может парализовать работу тысяч компаний-клиентов. Чтобы минимизировать потенциальный ущерб, бизнесу необходимо пересматривать подходы к верификации стороннего кода и мониторингу облачных сред.

Эволюция угроз: почему тема стала актуальной

Рынок киберугроз перестал быть предсказуемым. Специалисты Softline наблюдают стирание границ между геополитикой и криминалом. Яркий пример – группировка Lazarus Group, которая, по данным ООН, с 2017 года похитила более 3 млрд долларов, атакуя криптобиржи и DeFi-протоколы.

На российском рынке киберугроз ситуация обострилась: хактивистские формирования существенно нарастили атаки на инфраструктуру. К классическим западным APT-группам добавились волны DDoS-атак на банки и компрометации через иностранных подрядчиков и облачные сервисы с ограниченным доступом. Злоумышленники понимают, что напрямую атаковать хорошо защищенный периметр крупной корпорации сложно, поэтому бьют по слабым звеньям экосистемы.

Ключевые риски и ошибки: взгляд экспертов Softline

Анализ последних инцидентов выявляет несколько устойчивых и опасных паттернов поведения злоумышленников, которые компании часто упускают из виду:

  • Атаки на цепочку поставок (Supply Chain). Злоумышленники внедряют вредоносный код в легитимное ПО. В инциденте с компанией 3GX хакеры впервые внедрили код в легальное приложение для видеоконференций, чтобы атаковать клиентов ниже по цепочке.
  • Социальная инженерия нового уровня. Группировка FIN7 имитирует структуру реальной ИТ-компании с HR-отделом, QA-командой и менеджерами. Их фишинговые письма персонализированы и основаны на глубоком анализе публичных профилей жертв (OSINT), что делает их крайне правдоподобными для рекрутеров и соискателей.
  • Использование легитимных инструментов (Living off the Land). APT41 умеет встраиваться в легитимные процессы ОС на срок до нескольких месяцев, используя PowerShell и системные утилиты (LolBins), что позволяет обходить традиционные сигнатурные антивирусы.
  • Эксплуатация облачных сред. Группировки активно компрометируют облачные инфраструктуры (например, Azure) с помощью украденных ключей доступа, используя такие инструменты, как ShadowPad и Cobalt Strike.

Бизнес-последствия: чем опасно игнорирование проблемы

Игнорирование этих векторов атак приводит к катастрофическим результатам. История с центральным банком Бангладеш (Bangladesh Bank Heist) показала, что злоумышленники могут изучать процессы жертвы более года. Через уязвимости в верификации SWIFT-сообщений они инициировали переводы на 985 млн долларов, успешно выведя 81 млн через казино на Филиппинах.

Другой показательный кейс – атака на SolarWinds. Внедрение вредоносного кода в легитимные обновления платформы Orion поразило около 18 тысяч организаций, включая FireEye. Для обхода песочниц (sandbox) использовалась техника генерации доменных имен (DGA). Этот инцидент наглядно показал: конвейер сборки и процесс обновления ПО стали частью поверхности атаки.

«Инциденты вроде атаки на SolarWinds или кражи средств из Bangladesh Bank доказали: периметр безопасности безвозвратно расширился. Сегодня одной электронной подписи кода уже недостаточно, чтобы гарантировать его чистоту, а стандартные HR-процессы, например, обмен тестовыми заданиями, хакеры успешно используют как точку входа для вредоносного кода. Российскому бизнесу, особенно в критических отраслях, необходимо сместить фокус с защиты классического периметра на непрерывный контроль целостности цепочек поставок и проактивный поиск аномалий. Только такой подход позволяет нивелировать риски, которые несут современные гибридные APT-группировки», – отмечает Александр Двоеложков, эксперт отдела анализа и оценки цифровых угроз ГК Softline (Infosecurity, входит в «Софтлайн Решения»).

Практические рекомендации: что делать компаниям

Чтобы снизить риски, эксперты Softline рекомендуют бизнесу внедрить следующие меры:

  1. Аудит цепочки поставок ПО. Внедрить SBOM (Software Bill of Materials) — реестр всех компонентов программного обеспечения, используемого в компании. Это позволяет отслеживать происхождение каждого модуля, быстро выявлять уязвимые библиотеки и контролировать целостность цепочки поставок, а не полагаться исключительно на электронную подпись кода.
  2. Усиление контроля HR-процессов. Провести целевое обучение сотрудников отделов кадров и рекрутинга распознаванию фишинга, включая проверку тестовых заданий и вложений от «соискателей».
  3. Мониторинг облачных сред. Внедрить строгий контроль доступа к облачным консолям, регулярно ротировать ключи и отслеживать аномальную активность с использованием легитимных утилит.
  4. Внедрение проактивного поиска угроз (Threat Hunting). Перейти от реактивной защиты к поиску скрытых индикаторов компрометации.
  5. Сегментация сети. Ограничить латеральное перемещение злоумышленников внутри инфраструктуры, чтобы в случае компрометации одной системы атака не распространилась на критически важные активы.

Вывод

Атаки на цепочки поставок, компрометация облачных сервисов и фишинг через HR-процессы показали: киберугрозы больше не ограничиваются техническим периметром. Они бьют по бизнес-процессам, репутации и финансовой устойчивости компании. Поэтому сегодня информационная безопасность – это не просто зона технической ответственности ИТ-отдела, а основа, на которой строится стратегическая устойчивость всего бизнеса.

Защищая только внутренние системы и игнорируя уязвимости поставщиков, облачных сервисов или сотрудников, компании оставляют критические бреши в своей обороне. Партнерство с экспертами Softline позволяет бизнесу совершить необходимый переход: от реактивного устранения последствий инцидентов к системному управлению киберрисками на опережение.

Softline
Автор: Softline
Группа компаний Softline (ПАО «Софтлайн») — инвестиционно-технологический холдинг, лидирующий в ряде сегментов рынка технологий, c более чем 30-летним опытом и широким региональным присутствием в России, Казахстане, Узбекистане, Вьетнаме, Индонезии и ОАЭ.
Комментарии: