Таргетированные атаки новое слово в мире угроз. Таргетированные (целевые) атаки Необходим комплексный подход

Как бороться с целенаправленными атаками? Очевидно, что нужно какое-то технологическое решение, в котором были бы объединены лучшие идеи по обнаружению неизвестных угроз. Но прежде чем говорить о нем, стоит определиться с тем, что считать целевой атакой, и разобрать, как они работают.

В новостях то и дело мелькает: «В результате таргетированной атаки преступникам удалось украсть два миллиарда долларов из 40 банков и финансовых организаций по всему миру…», «…Жертвами атаки, направленной на промышленные компании, стали более 500 энергетических, металлургических и строительных компаний более чем в 50 странах…», «…Эффективные и грамотно размещенные вредоносные программы, предназначенные для реализации атак на систему SWIFT, позволили киберпреступникам украсть миллионы…» и так далее, и так далее.

Таргетированные атаки (они же APT) - настоящий бич нашего времени, и на защите от них уже построен не один многомиллионный бизнес. Заглядываешь на любую выставку, посвященную ИБ, и видишь: для продающей стороны APT - это теперь важная часть предложения, а для покупающей - одна из насущных проблем. Причем актуальна она уже не только для крупного бизнеса, наученного горьким опытом, но и для среднего и даже малого. Если атакующий хочет добраться до корпорации, то мелкий подрядчик вполне может оказаться промежуточной целью.

Не просто слова

К сожалению, термины «таргетированная атака» и «целенаправленная атака» некорректны. Почему? Вспомним классическое определение компьютерной атаки: «Компьютерная атака - целенаправленное несанкционированное воздействие на…». Стоп, стоп, уже достаточно! Получается, что цель-то есть у любой атаки, а не только у «таргетированной».

Отличительная особенность целенаправленных атак заключается в том, что атакующий активно и интеллектуально подходит к выбору точки входа в конкретную инфраструктуру , достаточно долго анализирует циркулирующую в ее компонентах информацию и использует собранные данные для получения доступа к ценной информации.

Слышу возмущенные крики из зала: «Люди деньги теряют, а он к терминам цепляется!» Однако академическая точность описания проблемы чрезвычайно важна для создания той самой «серебряной пули», универсального решения, о котором писал Иван Новиков.

Исследователи обычно рассматривают отдельные аспекты атак и не проводят комплексный анализ проблемы. Поэтому несовершенны и методы выявления атак и борьбы с ними в уже скомпрометированной среде.

Например, многие методы и системы безопасности основаны на статических списках шаблонов, то есть на базах для эвристического анализа, «белых списках», базах сигнатур и так далее. Однако такие списки оказываются неэффективными для определения «нешаблонных» угроз, при которых злоумышленники стараются скрыть свое присутствие в скомпрометированной инфраструктуре.

Метод, который в соответствии с требованиями различных стандартов обеспечения ИБ гарантирует отсутствие в системе нарушителя, заключается в создании и поддержании замкнутых доверенных программно-аппаратных сред . Именно так «бумажная безопасность» исключает компрометацию на любом этапе.

Увы, с практической точки зрения этот метод неэффективен. Современные программно-аппаратные среды обычно построены на основе оборудования и софта разных производителей, которые используют разные подходы при разработке, разные методы обновления и поддержки. Исследовать все продукты, нет ли в них закладок, нереально, а без этого никаких доверенных сред не выйдет.

Другой метод защиты ценных ресурсов от целенаправленного несанкционированного доступа основан на физической изоляции защищаемых объектов . И он тоже неэффективен в реальных условиях. Даже если удастся закрыть все побочные каналы связи, которые могут быть использованы злоумышленниками для вывода данных, остается человеческий фактор. Нередко побочные каналы связи создают именно люди, взаимодействуя с системами, - непреднамеренно или же умышленно.

Проблема решения

Получается, что избежать риска компрометации фактически невозможно. Соответственно, нужны системы выявления неизвестных атак в уже скомпрометированной среде. Этот класс решений носит гордое название post-breach («после взлома») и чаще всего решает задачу response/mitigation, то есть реагирования и смягчения.

А вот методов и построенных на их основе решений для своевременного детекта угроз (post-breach detection) в действительности не так много. Например, один из них - это сети ловушек, которые широко известны как «ханипоты».

Правильно сделанная ловушка действительно может помочь обнаружить целенаправленную атаку на определенной стадии. Но при этом классический ханипот вряд ли чем-то поможет в выявлении других точек присутствия атакующего.

Известны способы адаптивного развертывания систем ловушек , а также поиска аномалий в функционировании компонентов системы. Гораздо сложнее найти рекомендации, как выбирать параметры развертывания ханипотов. Сколько нужно фейковых рабочих станций в сети? Какие фейковые аккаунты и на каких машинах создать? Еще сложнее проанализировать полученные таким способом данные. «Окей, Google, кто-то воспользовался фейковой учеткой на компьютере нашего бухгалтера. Что теперь делать?»

Неопознанное ≠ сверхъестественное

Чтобы не вносить терминологическую путаницу, будем использовать термин «неизвестная компьютерная атака». Она может включать в себя свойства целенаправленных атак, но не ограничиваться ими. Неизвестная компьютерная атака - это непрерывное целенаправленное несанкционированное воздействие при помощи программных или программно-аппаратных средств с такими параметрами функционирования, которые не позволяют защитным решениям его обнаружить в реальном времени.

Звучит сложно? На самом деле все сводится к трем ключевым особенностям: непрерывности, целенаправленности и нетривиальности.

Непрерывность - характеристика, определяющая временной интервал, в течение которого атакующий сохраняет несанкционированный доступ к ресурсу или воздействует на него. В частности, целенаправленные атаки отличаются продолжительным контролем точек присутствия в целевой информационной системе.

Целенаправленность - характеристика, которая определяет степень ручной работы со стороны атакующего для реализации несанкционированного доступа или воздействия и учитывает индивидуальные особенности целевой инфраструктуры.

Нетривиальность для систем обнаружения атак - это характеристика, определяющая сложность обнаружения этого класса атак защитными системами атакуемого объекта. Связана с целенаправленностью. Это ключевая характеристика для оценки эффективности методов и систем защиты.

Жизненный цикл атаки

Любую кибератаку можно поделить на стадии, названия которых пришли к нам из военной науки. Каждая стадия подразумевает набор стратегий и методов для их реализации. И для каждой из стадий существуют превентивные меры и стратегии ответных действий.

Давай на примерах разберем каждую стадию жизненного цикла атаки и проиллюстрируем стратегии реализации этапов. Назовем атакующего Василием.

Имей в виду, что эти сценарии лишь частный случай из многообразия тактик и средств, которые может использовать атакующий.

Разведка, подготовка

Во время разведки Василий пытается обнаружить точки входа в целевую инфраструктуру. Для этого он внимательно изучает отчет своего сканера веб-уязвимостей, который просканировал публичное веб-приложение, принадлежащее жертве.

Кроме того, Вася, анализируя выдачу поисковых систем, ищет эксплуатабельные ресурсы, IP которых входят в диапазон адресов целевой организации.

Василий нашел профили нескольких сотрудников организации в социальных сетях и их корпоративные email-адреса. На основе полученных данных Василий подготовил следующий план действий.

1. Попытаться скомпрометировать рабочие станции обнаруженных сотрудников.
2. Если это не удастся, Василий попробует использовать публичные эксплоиты, чтобы атаковать серверы организации, доступные из интернета, а также роутеры Wi-Fi в офисах компании.
3. Параллельно с первыми двумя шагами Василий будет искать уязвимости в публичном веб-приложении в надежде, что скомпрометированное приложение предоставит ему доступ к внутренней инфраструктуре.

Чтобы реализовать все это, Василий готовит текст письма с вредоносным вложением сотрудникам, кастомизирует найденные эксплоиты, а также запускает перебор пароля для админки обнаруженного веб-ресурса.

Доставка, эксплуатация, закрепление

Как ты думаешь, какой из пунктов имеет больший шанс на успех? Быть может, ты видел отчеты консалтинговых компаний и скажешь, что это веб-приложение. Или вспомнишь про человеческий фактор и некомпетентность персонала в вопросах ИБ и предположишь, что победит фишинговое письмо с вложением. Но Васе все равно, что ты думаешь, потому что он уже сидит с ноутбуком в офисе компании и ждет подключений мобильных устройств ее сотрудников.

Так или иначе, итог этой стадии: отстук загруженного вредоносного кода на управляющий сервер Василия.

Действие

Вот тут начинается все самое интересное. На практике часто оказывается так, что злоумышленник вынужден проводить целую спецоперацию и создавать новые точки присутствия для того, чтобы обеспечить себе постоянный контроль (persistent). Ему придется проводить разведку внутри скомпрометированной инфраструктуры и перемещаться к ценным ресурсам. Это называется lateral movement: вряд ли полученный доступ к компьютеру бухгалтера удовлетворит заказчиков Василия - их скорее интересует интеллектуальная собственность компании. Ну и в конечном счете Васе нужно будет провести незаметный вывод данных (exfiltration).

Противодействие

Конечно, этап противодействия должен начинаться раньше, а не после всех описанных стадий. Но иногда бывает так, что Василия начинают искать уже после того, как он скрылся с ценными данными. И зачастую это происходит не только из-за некомпетентности защищающейся стороны. Просто Василий имел достаточно времени, чтобы изучить жертву, прежде чем начал какие-то активные действия, и хорошо знал обо всех защитных системах. Да и василиев зачастую много, а некоторые из них прячутся и среди внутренних сотрудников.

Именно по описанным выше причинам мы постараемся узнать о Васе и его намерениях еще до того, как он реализует все стадии своей атаки. Для этого нужно научиться вовремя определять его появление в нашей инфраструктуре. Тому, как это делать, я посвящу следующие выпуски моей колонки.

Основной тенденцией последних лет называют смещение акцента с массовых атак на таргетированные, или целевые, направленные против конкретной компании, организации или государственного органа. И противостоять им оказывается не слишком просто, хотя и возможно.

Традиционные массовые вирусные эпидемии - акты банального вандализма, которые, вообще говоря, не приносят никаких материальных дивидендов. Только получение сомнительной известности, которая, к тому же, длится не слишком долго и которая, скорее всего, завершается арестом и длительным тюремным сроком. Целевые атаки – дело совсем другое. Тут средства кибернападения используются или для прямой кражи денежных средств, или информации, которую легко монетизировать, например, реквизиты платежных карт или персональные данные, черный рынок которых весьма развит.

Также за таргетированными атаками могут стоять конкуренты. Их целью могут быть всевозможные ноу-хау, информация о готовящихся проектах и новых продуктах, другая информация, критичная для бизнеса. Впрочем, такого рода информацию можно похитить и другими способами, например, с помощью нелояльных сотрудников. Однако использование целевых атак часто менее хлопотно с организационной точки зрения и занимает меньше времени, да и материальные затраты могут быть ниже.

Проявляют большой практический интерес к такого рода инструментам и спецслужбы. Эта категория наиболее коварна и опасна, поскольку за их действиями, скорее всего, нет прямого материального мотива, но при этом они обладают значительными ресурсами и квалифицированными кадрами, как собственными, так и наемными. К слову, за наиболее громкими акциями последнего времени, в частности, нашумевшей атаки на компанию Sony Pictures, стояли как раз наемные хакеры. Прибегали к услугам кибернаемников и репортеры скандально известного британского таблоида News of the World, которые попались на слежке.

Также целью хактивистов и кибершпионов может быть не только информация, но и разного рода диспетчерские системы и управляющие комплексы, атака на которые может привести к огромному ущербу. Так что данные объекты могут стать мишенью и для террористических атак.

В результате, по данным глобального опроса, проводимого консалтинговой и аудиторской компанией PricewaterhouseCoopers (PwC), риски, связанные с кибератаками, с 2012 года устойчиво входят в первую пятерку. Также подобного рода угрозы называются в качестве одного из основных препятствий для роста бизнеса, так как службы безопасности часто препятствуют внедрению новых критичных ИТ систем вследствие опасений за их возможную уязвимость перед кибератаками. Также опрос PwC констатировал существенный рост кибератак, который составил 60% в годовом исчислении. Средний ущерб от кибератаки в расчете на компанию, по данным исследования «2014 Cost of Cyber Crime Study», проведенного Ponemone Institute, результаты которого были подведены осенью 2014 года, составил 2,3 миллиона долларов.

Основную опасность кибератаки представляют для крупных компаний. Они обладают значительными объемами денежных средств или ликвидной информации, которую легко монетизировать. Да и сам факт взлома может быть предметом шантажа, так как велики регуляторные и репутационные риски, ущерб от которых может быть выше, иногда многократно, чем издержки, связанные с кражей как таковой. Также большой ущерб может нанести публичная демонстрация всяческого рода грязного белья, как это было с Sony Pictures или жертвами слежки репортеров News of the World. Малые предприятия могут просто не принимать те же карточные платежи и они не оперируют большими объемами персональных данных.

Наиболее подвержены атакам предприятия таких отраслей как ТЭК, телекоммуникации, высокие технологии, ВПК. Именно для них проще что-то украсть у конкурента, чем создать аналог успешного продукта «с нуля».

Целевая атака. Как это делается

Все сводится к тому, что перехватывается контроль над каким либо устройством внутри сети атакуемой компании, оттуда получается доступ к бизнес-приложениям и/или файл-серверам. Далее необходимая злоумышленникам информация собирается и передается по назначению, обычно не напрямую.

Как правило, для таких целей используются средства удаленного управления ПК или серверами. Самое сложное – определить то, где именно в корпоративной сети можно найти требуемую информацию. Так что требуется проведение предварительной разведки или наличие сообщника внутри. Например, нужно знать, на какой платформе построена КИС атакуемой компании. А процедура получения нужной информации в системах на базе 1С, SAP, Oracle, Microsoft существенно отличается.

Также чрезвычайно распространена кража очень многих категорий информации в полностью автоматическом режиме. Такие инструменты пользуются наибольшим спросом, так как проблема нехватки кадров для злоумышленников тоже стоит весьма остро. Центры управления многими бот-сетями позволяют настраивать отдельные узлы не только на рассылку спама или проведение DDoS атак, но и на поиск и передачу в условленное место различных категорий данных: в том числе реквизиты банковских карт или аутентификационные данные для систем дистанционного банковского обслуживания (ДБО). Тем более, что клиентов бот-сети можно и доработать под свои нужды за отдельную, вполне умеренную плату. Например, автор одного из «популярных» банковских троянцев брал за доработку своей программы около 2000 долл.

Технология внедрения вредоносного ПО также очень проста, хотя и меняется со временем. Сейчас пользователи намного реже открывают исполняемые файлы, и корпоративные почтовые серверы такие вложения могут блокировать. Однако есть и другие методы. Например, заманить на зараженную страничку. Подготовка ее занимает считанные минуты. В последнее время более популярно использовать в качестве контейнера для зловредов документы в форматах Microsoft Office или Adobe PDF. В российских условиях этому способствует сложившиеся традиции работы с электронной почтой. К тому же сами бот-сети в автоматическом режиме массово заражают ПК, в том числе и корпоративные. Для этого используются всяческого рода уязвимости в ПО. Как показало исследование, проведенное в 2014 году HP, 70% корпоративного ПО содержит уязвимости. Очень часто зловреды проникают через публичные незащищенные Wi-Fi сети, к которым многие подключают служебные ноутбуки.

Иногда оба подхода комбинируют. Когда злоумышленники понимают, что их бот попал в сеть, например, банка или розничной сети, на зараженные компьютеры внедряется система удаленного управления, с которого и проводится то, что не позволяет сделать бот.

Есть способы проникнуть в сеть, используя другие устройства, например, принтеры, МФУ, некоторые виды сетевого оборудования. В их прошивках тоже есть уязвимости, часто серьезные, и при этом эти самые прошивки обновляют существенно реже, чем операционные системы на рабочих станциях и серверах, и как раз этим пользуются злоумышленники. А до должной настройки сетевого оборудования у ИТ персонала и вовсе часто, что называется, руки не доходят. Так что можно очень часто встретить коммутатор, маршрутизатор или точку беспроводного доступа, где не успели сменить заводской пароль, которые хорошо известны. Если используются пароли, то и это часто не проблема для злоумышленников.Так, взлом протокола WEP занимает считанные минуты даже на смартфоне. А как раз такой используют многие в том числе и российские торговые сети для защиты своих беспроводных сетей. Появились методы взлома и более защищенного протокола WPA, но данный процесс уже может занимать часы.

Уязвимое оборудование можно найти с помощью вардрайвинга. Этот метод может занять довольно много времени, но при этом дешев и прост в исполнении. Именно так были проведены нашумевшие взломы американских розничных сетей Target и TJX, в ходе которых было скомпрометировано несколько десятков миллионов кредитных карт, а ущерб измерялся миллиардами долларов. Но, опять же, нужно хорошо знать, где находится требуемая информация.

Также, по оценке PwC, растет опережающими темпами количество инцидентов, связанное с деятельностью внешних компаний. Впрочем, обычно это связано с тем, что уровень защиты у внешних подрядчиков существенно ниже, чем злоумышленники часто пользуются. Бывает и так, что определенного рода изменения в информационные системы вносят разработчики, как штатные, так и внешние. Как правило, речь идет о регулярном перечислении денежных сумм (совсем небольших) на счета злоумышленников. Но такого рода случаи отмечаются не слишком часто.

Как выявлять атаки и противостоять им

Как уже было сказано выше, традиционные средства защиты, прежде всего, антивирусы и межсетевые экраны, малоэффективны против вредоносного ПО, которое используется в ходе целевых атак. Так что очень многие практики в области информационной безопасности рекомендуют считать, что атака уже идет.

Как правило, сам факт атаки обнаруживается вследствие обнаружение нетипичной сетевой активности. Например, когда объем сетевого трафика вдруг по неясной причине вырос, что привело к заметному увеличению счетов от оператора связи. Или обнаружилось, что потоки данных идут в страну, в которой точно нет никаких поставщиков, покупателей, заказчиков, партнеров.

Естественно, не стоит уповать на то, что кто-то из персонала обнаружит такой факт и пресечет злонамеренную активность. Зато такие классы средств защиты, как системы обнаружения и предотвращения атак (IDS/IPS) или мониторинга и корреляции событий (SIEM) позволяют их выявлять. Как показало исследование «2014 Cost of Cyber Crime Study» те, кто их внедрил, в среднем сэкономили в расчете на компанию 5,3 млн. долл. за счет более высокой эффективности.

Важно отметить, что имеются как IDS/IPD, так и SIEM системы с открытым кодом, лицензирование которых не стоит ничего. Необходимо лишь выделить серверную мощность, причем данные средства отлично работают и в виртуальной среде. Также стоит напомнить, в комплект поставки большинства представленных на рынке программно-аппаратных средств межсетевого экранирования входят и IDS/IPS системы, возможностей которых вполне может быть достаточно.

В результате входной порог не так уж и велик. Однако обратной стороной является необходимость тщательной настройки, которую, к тому же, необходимо время от времени актуализировать. При этом необходимо еще и хорошее знание собственной инфраструктуры. Это, однако, в полной мере относится и к коммерческим системам. Год назад на портале Habrahabr было проведено сравнительное тестирование ведущих IDS/IPS систем «из коробки». Результат был обескураживающим: системы пропускали в лучшем случае половину атак, причем речь шла о хорошо известных сценариях (http://habrahabr.ru/company/it/blog/209714/).

Для SIEM системы также важно обеспечить сохранность журналов событий в течение довольно длительного времени, с чем часто также возникают проблемы. Они достигают больших объемов (до десятков гигабайт за рабочий день), а емкостей хранения всегда не хватает. Плюс, опять же, необходимость тщательной настройки квалифицированным специалистом.

Появляются и специализированные средства, направленные исключительно на борьбу с таргетированными атаками, которые появляются в арсенале целого ряда вендоров, включая BlueCoat, CheckPoint, InfoWatch. Однако это довольно молодой класс ПО с большим количеством «детских болезней», и использовать его стоит с известной осторожностью.

Также необходимо регулярно проводить тесты на проникновение, причем в условиях, что называется, максимально приближенных к боевым. Только таким образом можно выявлять потенциальные «дыры» в защите, которыми могут воспользоваться злоумышленники.

Важнейшим условием является повышение осведомленности персонала. Надо регулярно доводить то, какими методами могут пользоваться злоумышленники, как действовать в условиях тех или иных инцидентов и тому подобное. Чем меньше тех, кто потенциально может пойти на поводу у злоумышленников, тем лучше.

Таргетированные атаки впервые стали предметом активных дискуссий мирового сообщества еще в 2009 году. Тогда стало известно об атаке Stuxnet. Пожалуй, можно сказать, что с нее и началась новейшая история целенаправленных кибератак. Что представляет собой подобный вид киберпреступлений и чем могут обернуться подобные нападения, подробнее в нашем материале.
1. Что такое таргетированные атаки?
Таргетированные (или целенаправленные) атаки – это заранее спланированные действия против конкретной государственной или негосударственной структуры либо организации. Как правило, киберпреступники, занимающиеся таргетированными атаками, – это профессионалы, их можно сравнить с традиционными злоумышленниками, которые угоняют машины по заказу: у них есть определенная мишень, они изучают средства защиты автомобиля, чтобы потом успешно их обойти.
Сегодня деятельность хакеров приобретает все больше черт традиционного бизнеса. На российском рынке существует своеобразный «черный рынок» – теневые схемы и места реализации программных средств, необходимых для атаки на ИТ-инфраструктуру той или иной компании. Есть фиксированные расценки, которые с легкостью можно обнаружить в интернете.
Можно отыскать даже уже сформированные продуктовые линейки: «компании» злоумышленников расширяют воронку продаж, готовят отдельные модификации решений с учетом различных целевых сегментов. Есть расценки на ботнеты, активно анонсируются новые версии троянов. Можно даже приобрести услугу целенаправленной атаки как сервис. Киберзлоумышленники создают собственные планы развития, которые также активно анонсируются.
- Анонсы, как правило, даются в закрытых источниках, – рассказывает Андрей Арефьев, менеджер по развитию продуктов компании InfoWatch. – Но, тем не менее, можно говорить, что современная индустрия ботнетов обладает всеми признаками полноценных коммерческих продуктов. По данным независимых исследований, количество утилит, которые применяются для построения ботнетов, возросло за последние годы в десятки раз.
Кроме того, за последние годы значительным образом изменился характер атак: они весьма усложнились. Сегодняшние атаки стали более разветвленными: атакующая сторона пытается адаптироваться под собственную инфраструктуру компании и сделать атаку максимально незаметной. Атака должна быть либо обнаружена как можно позже, либо не обнаружена вообще. Поэтому подобные атаки, как правило, протяженны во времени и становятся заметны только тогда, когда приходит время активно проявить себя.
Целенаправленные атаки на ИТ-инфраструктуру обладают следующими характеристиками:
џ Они изучают ту систему защиты, которая имеется у компании, и обходят ее.
џ Характер атак стал более многоступенчатым: они могут начинаться на компьютере секретаря, а конечной целью при этом будет компьютер бухгалтера – например, задачей злоумышленников может быть установка там вредоносного ПО.
- В качестве промежуточного итога можно отметить, что если вы не наблюдаете видимых признаков атаки на ИТ-инфраструктуру компании, это еще не означает, что ее не атакуют, – резюмирует Андрей Арефьев.
2. Примеры целенаправленных атак.
Как утверждает ряд открытых источников, для внедрения троянской вирусной программы «точкой входа» часто становится инсайдерская деятельность нелояльных сотрудников компании. Подобный пример не так давно можно было наблюдать в Иране.
Основной целью данной атаки было сдерживание иранской ядерной программы. Насколько известно, суверенное государство контролировало обогатительные ядерные центрифуги, и ряд объектов при этом был переведен во внештатный режим. Центрифуги быстро выходили из строя, их ремонт требовал времени и денег, поэтому обогащение урана откладывалось. Как удалось выяснить, данная атака была спланирована заранее, осуществлялась и проводилась в течение длительного времени.
Целью атаки была не кража оборудования, а контроль над промышленными объектами. Страшно себе представить, что может произойти, если кто-нибудь начнет контролировать ядерную электростанцию: переведение её во внештатный режим грозит как минимум, вторым Чернобылем...
Однако мишенью злоумышленников становятся не только стратегически важные объекты и крупные правительственные организации. Недавно одному владельцу бизнес-организации довелось в этом убедиться лично. Сервер компании попытались заразить при помощи контактных уязвимостей – повезло владельцу фирмы только в том, что атаке подвергся всего лишь компьютер бухгалтера.
Вредоносное ПО представляет собой программу, которая позволяет получить несанкционированный доступ к конфиденциальной информации при помощи уязвимостей. Применяются подобные программы обычно для получения первичного доступа к сети предприятия. Как правило, внедрение системы обозначает допуск к данным при перезагрузке системы. «Пропиской» исполняемого модуля при этом каждый раз является его перезапуск.
Вредоносное ПО может попасть на компьютер сотрудника компании не только по злому умыслу последнего, но и вследствие применяемой хакерами социальной инженерии (например, киберпреступник может попросить жертву перейти по той или иной ссылке или посетить сторонний ресурс).
В результате жертва становится доступна для атаки, и злоумышленники получают доступ к операционной системе рабочего компьютера сотрудника. Теперь можно запустить вредоносные файлы, чтобы в последующем получить контроль над компьютерами организации. Перечисленные выше действия носят название "атаки нулевого дня".
3. Какие данные чаще всего похищают?
Во многом это зависит от профиля деятельности компании. Целью хакеров могут быть промышленные секреты и стратегические разработки закрытого плана, платежные и персональные данные. Любопытно, что, согласно проведенным исследованиям, 63% опрошенных понимают, что таргетированная атака на их компанию – всего лишь вопрос времени.
Методики выявления таргетированных атак:
1. Сигнатурный анализ.
Проведение сигнатурного анализа подразумевает, что у аналитиков есть какой-либо файл, пораженный вирусом. Изучение такой вредоносной программы позволяет снять с нее сигнатуру (цифровой отпечаток). После того, как сигнатура занесена в базу, можно проверять файл на предмет заражения этим вирусом, просто сравнивая сигнатуры. Преимущество сигнатурного анализа в том, что он позволяет точно диагностировать атаку. Если имеется файл с совпадающей сигнатурой, то можно смело говорить о том, что компьютер поражен.
Сигнатурный анализ обладает рядом преимуществ:
џ Он может быть использован не только для сканирования вирусов, но и для фильтрации системного трафика.
џ Вы можете "сесть" на шлюзе и контролировать наличие тех или иных непроверенных сигнатур.
џ Он позволяет с большой точностью осуществлять диагностические комплексы противостояния атакам.
Существенным недостатком сигнатурного анализа является необходимость обновления сигнатурной базы. Большинство компаний вынуждено обновлять сигнатурную базу каждые 15 минут. При этом каждые полчаса в мире появляется новый вирус. Далее идет длительный процесс его регистрации и изучения, и только после этого сигнатура заносится в базу. Все время до этого момента компания беззащитна перед новым вирусом.
Другой метод изучения уже выявленного ранее вредоносного ПО – это эвристический анализ.
Функция эвристического анализа заключается в том, чтобы проверять исполняемый код на наличие подозрительной активности, характерной для деятельности вирусов. Подобная методика хороша тем, что не зависит от актуальности каких-либо баз. Однако и у эвристического анализа есть свои минусы.
Ввиду того, что все основные антивирусы известны и доступны для использования всем желающим, хакеры могут производить тестирование написанного ПО и видоизменять его до тех пор, пока он не будет обходить все известные средства антивирусной защиты. Тем самым эффективность основных эвристических алгоритмов сводится на нет.
Другой метод обнаружения целенаправленных атак подразумевает использование так называемых фаерволлов нового поколения, которые в дополнение к традиционным возможностям также позволяют фильтровать трафик. Основным недостатком фаерволлов является чрезмерная «подозрительность», они генерируют большое количество ложноположительных срабатываний. Кроме того, фаерволлы используют технологии, которые можно обмануть (песочница, эвристический анализ и сигнатурный анализ).
Существует также иной метод защиты, применяемый для запуска приложений. Идея его весьма проста: станция может запустить только отдельные приложения (это носит название WhiteListening). Минус в том, что такой «белый список» должен содержать все без исключения приложения, которые могут понадобиться пользователю. На практике такой способ, конечно, довольно надежен, но очень неудобен, так как тормозит рабочие процессы.
Наконец, есть недавно разработанная технология динамического обнаружения атак, которая используется в продукте InfoWatch Targeted Attack Detector, - рассказывает Андрей Арефьев. – Данная технология базируется на том, что действия злоумышленников неизбежно приводят к модификации ИТ-систем предприятия. Поэтому решение InfoWatch периодически сканирует ИТ-систему организации, собирая информацию о состоянии критических объектов. Полученные данные сравниваются с результатами прошлых сканирований, затем осуществляется интеллектуальный анализ произошедших изменений на предмет наличия аномалий. При обнаружении неизвестного вредоносного ПО к анализу его действий и возможного вреда для инфраструктуры предприятия привлекается аналитик компании.
- На каком этапе удается классифицировать атаку в качестве целенаправленной?
- Фактически выявление аномалий является первичным признаком того, что в вашей системе возникают неполадки, это косвенный признак того, что компанию атакуют. При этом в атаке не обязательно должен быть задействован вирус уровня «Красного Октября». Достаточно, как показывает практика, небольшого трояна, периодически пересылаемого дальше. В принципе, этого достаточны для того, чтобы приносить деньги конкретным киберзлоумышленникам.
В целом же, хотелось бы отметить, что таргетированные атаки представляют собой мощный инструмент для влияния на корпоративную политику крупных правительственных и коммерческих организаций. Именно поэтому противостоять подобным типам киберпреступлений необходимо планомерно и тщательно.
Гринёв Сергей Олегович, для портала "Технологии безопасности" (РБ)

Особенность целенаправленных атак (APT) заключается в том, что злоумышленников интересует конкретная компания или государственная организация. Это отличает данную угрозу от массовых хакерских атак – когда одновременно атакуется большое число целей и наименее защищенные пользователи становятся жертвой. Целенаправленные атаки обычно хорошо спланированы и включают несколько этапов - от разведки и внедрения до уничтожения следов присутствия. Как правило, в результате целенаправленной атаки злоумышленники закрепляются в инфраструктуре жертвы и остаются незамеченными в течение месяцев или даже лет – на протяжении всего этого времени они имеют доступ ко всей корпоративной информации.

Сложности классификации

Таргетированные или целевые атаки – атаки, направленные в отношении конкретных коммерческих организаций или государственных ведомств. Как правило, такие атаки не носят массовый характер и готовятся достаточно длительный период. Злоумышленники изучают информационные системы атакуемого объекта, узнают, какое программное обеспечение используется в тех или иных целях. Объектами атаки являются весьма ограниченные какими-либо рамками или целями конкретные информационные системы и/или люди. Вредоносное ПО специально разрабатывается для атаки, чтобы штатные антивирусы и средства защиты, используемые объектом и достаточно хорошо изученные злоумышленниками, не смогли обнаружить угрозу. Чаще всего это уязвимости нулевого дня и особые алгоритмы связи с исполнителями/заказчиками атаки.

Юрий Черкас , руководитель направления инфраструктурных ИБ-решений Центра информационной безопасности компании «Инфосистемы Джет» cчитает, что практически постоянная полемика вокруг определения термина «таргетированная атака» затрудняет классификацию этого термина. Он отмечает, что целевая атака использует те же механизмы взлома, что и любая другая (спам , фишинг , заражение часто посещаемых сайтов и т.д.). «На мой взгляд, одним из основных признаков таргетированной атаки является ее явная направленность на конкретную организацию. Например, вирус, написанный для конкретного ПО собственной разработки конкретной организации. Но так бывает далеко не всегда. Хакер может использовать имеющиеся у него наборы эксплойтов и другие инструменты для атаки на компанию-жертву. В этом случае определить, относится ли атака к таргетированной, достаточно сложно, так как для проведения атаки использовались уязвимости распространенных ОС и прикладного ПО», говорит Юрий Черкас .

Сложности при квалификации целевых атак - один из факторов, который не позволяет рассчитать даже их приблизительное количество.

КДУ (Комплексные Долговременные Угрозы)

Большинство специалистов сходится во мнении относительно следующих особенностей целевых так :

• Это атаки, направленные в отношении конкретных коммерческих организаций, отраслей производства или государственных ведомств.
• Объектами атаки являются весьма ограниченные какими-либо рамками или целями конкретные информационные системы.
• Эти атаки не носят массовый характер и готовятся достаточно длительный период.
• Вредоносное ПО, если оно используется при реализации атаки, специально разрабатывается для конкретной атаки, чтобы штатные средства защиты, достаточно хорошо изученные злоумышленниками, не смогли обнаружить ее реализацию.
• Для реализации атаки могут использоваться уязвимости нулевого дня.
• Как правило, целевые атаки используются для кражи информации, которую легко монетизировать, либо для нарушения доступности к критически важной информации.
• При осуществлении целевой атаки используются те же механизмы взлома, что и при массовых атаках, в частности фишинг. Отличие составляет подготовка атаки с целью предотвращения возможности ее детектирования средствами защиты. Именно применительно к целевым атакам фишинг становится очень актуальной угрозой, поскольку атака в этом случае осуществляется не на абстрактные, а на конкретные физические лица, что может быть учтено методами социальной инженерии.
• После обнаружения и идентификации целевой атаки, уже по итогам ее осуществления, об угрозе этой атаки становится известно, она переходит в категорию «массовых» - может массово использоваться злоумышленниками. При этом, как идентифицированная, угроза этой атаки уже может детектироваться средствами защиты, одной из задач которых является обеспечение минимальной продолжительности перехода угрозы атаки из категории целевых в массовые.

Фазы целевой атаки

Цели атак

По данным A.T. Kearney:

• Офис правления компании . Часто аппаратура ненадлежащим образом защищена от физического повреждения (например, со стороны персонала по уборке или техническому обслуживанию помещений).
• НИОКР . Обычно это отдел, требующий самого высокого уровня защиты, но зачастую он защищен не лучше, чем другие отделы.
• Центры обработки данных представляют собой надежную среду для размещения частного облака. Проблемой является обеспечение безопасного функционирования многочисленных серверов, а также приложений, работающих на этих серверах.
• Сеть поставщиков . Из-за расширяющегося применения сетевых решений при работе с поставщиками возникают риски, связанные с тем, что относительно небольшие компании-поставщики, как правило, хуже защищены.
• Облачные вычисления .В основе своей использование внешнего облака безопасно. Проблемы связаны с тем, что уровень защиты данных зависит от законодательства и что возможен доступ со стороны спецслужб.
• Производство . Множество старых специализированных систем все чаще объединяется в сети, и их работу трудно отслеживать и контролировать. Атаки злоумышленников в этом случае могут привести к производственным потерям или даже к краху компании.
• Базы данных обеспечивают безопасное хранение важной информации. Главная слабость – то, что в качестве «инструментов» для проникновения в базы данных взломщики могут использовать администраторов.
• Конечная продукция , активируемая с помощью информационных технологий. Растущий уровень использования сетевых решений для обеспечения функционирования конечной продукции облегчает проведение кибератак . Дистанционно контролируя устройства пользователей с целью провоцирования поломок, хакеры имеют возможность незаконно получать через эти устройства конфиденциальную информацию. В связи с этим компании может грозить потеря репутации и получение исков от пользователей, ставших жертвами мошенничества
• Офисные сети . Растущий уровень сетевого взаимодействия, предусматривающего объединение почти всех систем, предоставляет хакеру богатые возможности, если он сумеет проникнуть в сеть
• Продажи . Утечка маркетинговых планов, информации о ценах и клиентах подрывает репутацию компании и лишает ее конкурентных преимуществ.
• Мобильные устройства . Покупая смартфоны , доступные на коммерческом рынке, пользователи часто вводят в их память конфиденциальные данные, которые, как правило, без труда могут быть похищены хакерами. Самые испытанные и надежные концепции обеспечения безопасности могут оказаться бесполезными, если сотрудники компании используют собственные мобильные устройства для решения рабочих задач.
• Интернет-магазины . Для незаконного доступа под видом реально существующих покупателей и совершения мошеннических действий хакеры используют реквизиты кредитных карт и личные данные клиентов.
• Телефонные звонки . Эксплуатируя готовность людей помогать друг другу, злоумышленники могут использовать телефонные звонки как способ легкого получения нужной информации.

Таргетированные атаки в финансовой сфере

В обзоре о несанкционированных переводах денежных средств в 2014 году, опубликованном ЦБ РФ накануне, отмечается, что 23 кредитные организации сообщили об инцидентах, имеющих признаки целевых атак. Эксперты подсчитали, что инциденты были направлены на списание средств на сумму 213,4 млн рублей.

Все инциденты связаны с вешним воздействием на ИТ-инфраструктуру в том числе и с внедрением вредоносного кода, благодаря которому высокотехнологичные преступники намеревались выводить средства.

Попытки взлома имеют типовые особенности: атака была целевой и учитывала особенности процессов отправки и обработки сообщений в определенной платежной системе; вредоносный код в ряде случаев стандартными средствами антивирусной защиты не выявлялся, несмотря на актуальные антивирусные базы; зафиксированы также факты проникновения хакеров в локальные сети банков, чтобы, в том числе, с помощью попыток внедрения вредоносного кода через электронные сообщения.

Представители банков констатируют: если раньше мошенники предпочитали грабить клиентов, то теперь переключились на более крупную добычу, а именно – на сами финансово-кредитные учреждения.

«Это более сложная процедура, но с точки зрения выгоды хакерам удобнее взламывать банки, где деньги лежат в одном месте. Основной тенденцией становятся так называемые таргетированные атаки. Они готовятся месяцами и в отношении конкретных банков и финансовых организаций. Это реальная угроза, от которой очень сложно защитится даже продвинутым в плане информационной безопасности банкам. Злоумышленники достаточно хорошо изучили банковское ПО, АБС, средства защиты и так далее», - отмечает Юрий Лысенко , начальник управления информационной безопасности банка Хоум Кредит .

С ним соглашается и Станислав Павлунин , вице-президент по безопасности Тинькофф Банка : «Целевые атаки идут бок р бок с социальной инженерией. DDoS-атаки никуда не исчезли, однако работать с ними гораздо проще, чем с вирусами, которые злоумышленники пишут для целенаправленных действий. Стандартные антивирусы не обнаруживают зловредных объектов, которые написаны для объекта атаки. Системы, которые позволяют фиксировать такие целевые атаки на конкретную финансовую организацию и выявлять риски на лету – это другой класс безопасности», - погалает Станислав Павлунин.

В то же время Юрий Лысенко прогнозирует увеличение числа целевых атак на конкретные банки и финансовые организации, системы дистанционного банковского обслуживания и т.д.

Методики целевой атаки

Публично доступная информация о средствах проведения таргетированных атак и расследовании инцидентов (которые имеют признаки целевых атак) позволяют говорить о разнообразии методов. Например, могут использоваться полностью автоматизированные методы, так и телефонные звонки.

Злоумышленники в ходе атаки исследуют различные возможности, чтобы получить доступ к необходимой информации. Может осуществляться прямой физический доступ или атаковаться сотрудники компании, их устройства и учетные записи в интернет-сервисах.

«Существенной проблемой становится безопасность смежных информационных систем – компаний-поставщиков (особенно разработчиков ПО, осуществляющих поддержку своего продукта) и клиентов. Доверенные отношения с ними могут быть использованы для обхода граничных средств защиты. Это значительно расширяет и без того сложный периметр защиты», - говорит Алексей Качалин , заместитель генерального директора компании «Перспективный мониторинг» .

Уйти от попыток таргетированных атак жертве вряд ли удастся. Например, злоумышленник хочет получить доступ к внутренним ресурсам интересующей его компании. Для этой цели злоумышленник может инициировать множество целевых атак, на протяжении нескольких месяцев или лет. Все элементы атаки (сетевые атаки, вредоносное ПО) могут быть предварительно проверены на «заметность» для распространенных методов обнаружения. В случае неэффективности такие элементы модифицируются. Аналогично обновлению антивирусных баз могут обновляться и средства вторжения, в том числе и те, что уже функционируют в захваченной системе.

Дополнительная сложность – продолжительность и интенсивность таргетированной атаки. Подготовка может занимать месяцы, а активная фаза – минуты. «Существует вероятность, что рано или поздно атака удастся. В конце концов проблема 0-day уязвимостей актуальна всегда. Если у вас есть информация, которая стоит 100 млн, то будьте готовы к тому, что найдется кто-то готовый потратить 50 млн на то чтобы ее украсть. Поэтому единственное что можно сделать – это быть готовым к компрометации и иметь инструменты для быстрого обнаружения атаки, ее пресечения и минимизации ущерба», - считает Александр Гостев , главный антивирусный эксперт «Лаборатории Касперского» .

Установление организаторов

Большинство из таргетированных атак обнаруживается постфактум. Самой большой проблемой остается атрибуция – установление организаторов и исполнителей таких атак.

Установление виновника – это чрезвычайно сложная задача, уверены эксперты. В этом процессе необходимо собрать максимальное число факторов, которые бы указывали на причастность хакерской группы определенной национальности или организации к совершению преступления. Для этого необходимо взаимодействие между компаниями, работающими в сфере информационной безопасности , жертвами, правоохранительными органами разных стран и т.д. Но и в этом случае устанавливаются только единицы виновников, чаще всего из-за грубых ошибок атакующих.

«Для определения источника атаки необходимо учитывать множество факторов. Прежде всего, это анализ кода – в нем могут содержаться слова, косвенно указывающие на языковую или национальную принадлежность авторов. Например, русские слова, написанные латиницей, или ошибки, которые обычно свойственны именно русским авторам и т.д. Однако киберпреступники могут намеренно оставлять такие ложные следы, запутывая тем самым следствие», - говорил Александр Гостев .

Более 100 группировок целенаправленно атакуют коммерческие и госорганизации

Эксперты из глобального центра исследований и анализа угроз «Лаборатории Касперского » сообщили летом 2016 года, что в мире активно более 100 групп, организующих кампании кибершпионажа и атаки класса АРТ, и под их прицел попадают коммерческие и государственные организации в 85 странах мира.

По мнению представителей компании, столь динамичное развитие этой угрозы говорит о том, что целевые атаки перестали быть уделом избранных: злоумышленники оптимизируют свои техники и инструменты, и это удешевляет и упрощает организацию вредоносной кампании, что, в свою очередь, способствует появлению новых игроков.

Основная цель атаки класса АРТ - кража конфиденциальной информации, которую впоследствии можно использовать для получения геополитического преимущества или продажи заинтересованным лицам. По наблюдениям «Лаборатории Касперского», наибольшему риску стать жертвой целевой атаки подвергаются правительственные и дипломатические организации, финансовые компании, предприятия, работающие в энергетической и космической отраслях, учреждения в сфере здравоохранения и образования, телекоммуникационные и ИТ-компании, поставщики для вооруженных сил, а также общественные и политические активисты.

«Мы изучаем сложные целевые атаки более шести лет и с уверенностью можем сказать, что в последнее время они все чаще применяются не только для шпионажа, но и для кражи денег. Целевые атаки затрагивают самые разные организации, их жертвой могут стать отнюдь не только государственные учреждения. Не меньший интерес для злоумышленников представляют крупные компании, обладающие ценной интеллектуальной собственностью или имеющие доступ к большим финансовым активам, - рассказал Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского». - В такой ситуации раннее выявление целевой атаки критически важно для любой организации, желающей сохранить свои конфиденциальные данные. Однако с помощью традиционных защитных решений сделать это очень сложно, поскольку злоумышленники часто используют нетривиальные методы и тщательно скрывают свою активность. Так что компаниям могут помочь либо аналитические сервисы, либо специальные решения для выявления целевых атак».

Методы защиты и предотвращения атак

Основными средствами защиты от целевых атак сегодня являются средства детектирования всевозможных аномалий (кода, команд, поведения и т.д.). При этом:

• Детектирование аномалий в рамках отдельно взятого компьютера, либо корпоративной ИС в целом, осуществляется с целью обнаружения реализуемых, а также частично, либо полностью реализованных атак.
• Обеспечивается возможность нейтрализации известных атак на ранних стадиях их осуществления – решается задача защиты информации , что обеспечивается возможностью однозначной идентификации выявленной аномалии как события реализации атаки, как следствие, осуществления автоматической реакции на зафиксированное аномальное событие.
• В отношении неизвестных угроз атак, к которым относятся угрозы целевых атак, детектирование аномалий неизбежно связано с ошибками первого (при поверхностном анализе событий) и второго (при глубоком анализе) рода. В данном случае, особенно при глубоком анализе, а иначе какого-либо смысла детектирование аномалий не имеет, технологически невозможна однозначная идентификация выявленной аномалии как события реализации атаки, в результате чего невозможна и автоматическая реакция на зарегистрированное событие, которое лишь с некоторой вероятностью может являться атакой. Задача детектирования аномалий в данном случае сводится не к защите информации, а к проведению соответствующего дальнейшего исследования по зарегистрированному факту реализации атаки, с целью максимально оперативной однозначной идентификации атаки.
• После однозначной идентификации аномалии, как атаки (атака становится известной, а ее угроза уже не угроза целевой, а угроза массовой атаки), в отношении этой атаки детектором аномалий уже реализуется защита информации.

Практически все вендоры имеют в своей линейке продукт, который позиционируется как средство защиты от таргетированных атак. К их числу можно отнести FireEye , CheckPoint , McAfee и т.д. Эффективность защиты от таргетированных атак не может всецело определяться только применяемыми техническими средствами.

«Если говорить о технических средствах, то их эффективность будет рассматриваться сквозь призму поставленных компанией целей и задач, что лучше оценивать в рамках проведения пилотных проектов в конкретной среде. Подобно любым решениям продукты по защите от таргетированных атак имеют как свои сильные стороны, так и слабые», - считает Алина Сагидуллина , консультант по информационной безопасности компании «ЛАНИТ-Интеграция» .

Возможность оперативно реагировать на таргетированные атаки имеют центры мониторинга информационной безопасности. Такие центры могут комплексно анализировать состояние атакуемой системы через системы защиты информации; с помощью экспертов, сконцентрированных на анализе информационной безопасности в наблюдаемой системе; при мониторинге фактов компрометации и утечки информации; совокупном анализе крупных информационных систем. «Это позволяет увидеть схожие признаки аномалий в различных сегментах информационной системы», - рассказывает Алексей Качалин .

Технологии защиты от таргетированных атак были и раньше, но сейчас они выходят на новый уровень. В первую очередь речь идет о различных инструментах для выявления аномалий – как на локальных компьютерах, так и на уровне сетевой активности. Задачей таких систем является поиск всего необычного, что происходит, а не поиск вредоносного года. Это объясняется тем, что во многих случаях атакующие могут вообще не использовать вредоносные программы.

«К этим системам добавляется активно развивающийся класс SIEM – «Security information and event management», позволяющий агрегировать вместе поступающие системные события от разных систем защиты (антивирусов , файрволов , эмуляторов, роутеров и т.д.) и видеть в реальном времени все происходящие изменения», - говорит Александр Гостев.

Почему недостаточно традиционных систем защиты

Из-за специфики целенаправленных атак и подготовки к ним, таких как:

• детальное изучение используемых средств защиты с целью их обхода;
• написание уникального ПО и закрепление его в инфраструктуре цели;
• использование в атаках доверенных, но скомпрометированных объектов, не создающих негативный фон;
• применение мультивекторного подхода к проникновению;
• скрытность и пр.

Из-за присущих традиционным средствам защиты технологических ограничений:

• обнаружение направлено только на распространённые (несложные) угрозы, уже известные уязвимости и методы;
• нет встроенного сопоставления и корреляции детектов в единую цепочку событий;
• нет технологий выявления отклонений в нормальных активностях и анализа работы легитимного ПО.

Необходим комплексный подход

Deception-ловушки

Новые средства появились и продолжают появляться. Однако их эффективность напрямую зависит от качества их настройки. По словам Юрия Черкаса , основными технологическими направлениями средств защиты являются:

• песочницы, которые имитируют рабочие станции организации. В песочницах файлы, получаемые из интернета, запускаются и анализируются. Если запускаемый файл влечет за собой деструктивное воздействие, то такой файл определяется как зараженный;
• анализ аномальной сетевой активности (например, на базе NetFlow), который осуществляется путем сравнения текущей сетевой активности с построенной эталонной моделью сетевого поведения. Например, компьютер или сервер, который всегда коммуницирует с некоторым набором определенных сетевых ресурсов по определенным протоколам, вдруг неожиданно начинает пробовать обращаться напрямую к базам данным;
• поведенческий анализ рабочих станций, также основанный на сравнении активности рабочих станций с эталонной моделью. Разница в том, что этот анализ осуществляется не на уровне сети, а на уровне самой рабочей станции с помощью агентов. Не так давно появилась интересная технология, которая отслеживает процессы Windows. В случае отклонения от эталонной модели процесс Windows блокируется, тем самым не давая эксплойту выполнить деструктивное воздействие.

«Нюанс в том, что все эти технологии предполагают анализ поведения. В этом случае ошибки 1-го (false positives) и 2-го рода (false negatives) неизбежны, поэтому эффективность сильно зависит от квалификации сотрудников, настраивающих и эксплуатирующих эти решения», - отмечает Юрий Черкас.

Deception - сеть замаскированных сетевых ловушек и приманок, которые разбросаны по всей ИТ-инфраструктуре

Что обеспечит Deception

• Обнаружение в режиме реального времени целенаправленных атак и атак нулевого дня
• Защиту реальных ИТ-активов за счет переключения активности атакующих на «ловушки»
• Защиту ценных данных от «шифровальщиков»
• Сбор форензики о действиях злоумышленников
• Отсутствие ложных срабатываний
• Не использует агентов и не оказывает влияния на работу пользователей и ИТ-сервисов

Результаты

• Профиль злоумышленника
• Детализированные методы и инструменты, используемые во время атаки
• Углубленный анализ (какие цели преследуют хакеры, какую информацию они ищут)
• История и хронология взлома
• Источники происхождения злоумышленников на основе их IP-адресов и данных DNS

Ущерб от атак – большая загадка даже для жертв

Подсчитать реальный ущерб от таргетированных атак не представляется реальным: по данным ESET‬ , 66% инцидентов системы безопасности остаются незамеченными многие месяцы. Именно под это и «заточено» сложное вредоносное ПО ‬ для целевых атак: кража данных происходит незаметно, в «фоновом» режиме.

Большое количество атак остается незамеченными. При обнаружении многие компании стараются скрыть факт инцидента и не предавать его огласке. В «Лаборатории Касперского» считают, что каждую неделю в мире становится известно как минимум об одной громкой целевой атаке. В реальности таких громких атак в неделю может происходить более ста.

Эксперты Positive Technologies зафиксировали снижение доли атак с применением майнеров криптовалюты - до 3% в случае организаций и до 2% в кампаниях, нацеленных на частных лиц. Этот факт может быть связан с постепенным переходом злоумышленников на ВПО , которое способно выполнять сразу несколько функций. Например, троян Clipsa умеет скрытно «майнить» криптовалюту , воровать пароли, подменять адреса криптокошельков, а также запускать брутфорс-атаки против сайтов на базе WordPress .

Растет доля заражений вредоносным ПО. Три четверти атак на юридические лица и 62% атак на частных лиц сопровождались заражениями различного рода зловредами . Если заражение инфраструктуры компании начинается, как правило, с фишингового письма, то частные лица чаще становятся жертвами в результате посещения скомпрометированных веб-ресурсов (в 35% атак против частных лиц).

Также эксперты Positive Technologies обнаружили, что в конце лета после нескольких месяцев затишья возобновил активность один из крупнейших ботнетов в мире под названием Emotet. Операторы ботнета работают по схеме malware as a service (MaaS) и предоставляют киберпреступникам доступ к компьютерам , зараженным Emotet, для их дальнейшего инфицирования другими вредоносами, например Trickbot или Ryuk.

По оценкам исследователей, информация о большинстве кибератак на организации не предается огласке из-за репутационных рисков.

Positive Technologies: Анализ особенностей APT-атак в промышленности и ТЭК

Positive Technologies: Техники APT-группировок при атаках на кредитно-финансовые организации

В тройке самых приоритетных задач ИТ-менеджеров по сравнению с предыдущим годом произошли кардинальные изменения. 41% опрошенных назвало защиту данных от таргетированных атак главным приоритетом. Год назад этот пункт не входил в список приоритетов ИТ-менеджеров. Прежде всего защиту от целевых атак назвали своим приоритетом представители среднего бизнеса (43%) и крупных предприятий (38%). Малый бизнес вопрос таргетированных атак интересует в меньшей степени (32%).

Используются для вредоносного воздействия на инфраструктуру компаний и государственных структур. Перед атакой киберпреступники тщательно изучают средства защиты атакуемой организации. Нападению могут быть подвергнуты не только привычные информационные системы компании, но и автоматизированные средства управления технологическими процессами (АСУ ТП) . Антивирусные продукты не в силах предотвратить целевую атаку, так как вредоносные программы в таких случаях разрабатываются специально под конкретную инфраструктуру - в том числе с учетом используемого защитного ПО.

В последнее время наблюдается смещение акцента с написания вредоносных программ на проведение целенаправленных атак. Объектом нападения становится конкретная организация, и подготовка занимает много времени. Преступники тщательно изучают используемые потенциальной жертвой средства защиты и находят нужные уязвимости, которые и используются в комплексе вредоносных операций.

Классификация таргетированных атак

Целевые атаки могут быть направлены на государственные и коммерческие структуры. При взломе применяются стандартные механизмы (спам, фишинг, заражение сайтов) и наборы эксплойтов. В основном злоумышленники преследуют следующие цели:

• Похищение средств с банковских счетов и из электронных кошельков, воровство конфиденциальных данных.
• Нечестная конкуренция: манипулирование процессами, подделка документов, ослабление конкурентов, вымогательство и шантаж.
• Похищение образцов интеллектуальной собственности.
• Нарушение нормальной деятельности объектов военной, промышленной и гражданской инфраструктуры, систем жизнеобеспечения.
• Использование возможностей телекоммуникационных систем для осуществления информационных воздействий и манипулирования общественным мнением.

Этапы таргетированных атак

На подготовительном этапе изучается атакуемый объект, собирается информация, проводятся разведывательные мероприятия, определяются слабые места. Для мониторинга используются рассылки, официальные сайты и аккаунты в социальных сетях, профильные форумы. С помощью программ-анализаторов производится изучение сетевой инфраструктуры и программного обеспечения. Для получения данных могут применяться автоматизированные методы или индивидуальные формы воздействия, такие как телефонные звонки.

После завершения подготовки вырабатывается стратегия, подбираются инструменты атаки. Вредоносные программы пишутся под конкретную атаку и жертву; это необходимо для преодоления штатных средств защиты.

Объект воздействия таргетированных атак

Таргетированные атаки могут преследовать экономические, политические или другие цели.

Известны случаи, когда злоумышленники внедрялись в системы управления отдельными технологическими процессами и деятельностью предприятий. Для получения нужной информации преступники могут настроить прямой доступ, взламывать принадлежащие сотрудникам гаджеты.

Избежать попыток проникновения практически невозможно. Если злоумышленникам нужен доступ к определенным ресурсам, они будут регулярно проводить комбинированные атаки. Всегда существует вероятность, что одна из многочисленных проведенных атак обеспечит нужный результат.

По наблюдениям специалистов ведущих антивирусных лабораторий, наибольшему риску подвержены правительственные ведомства, финансовый сектор, энергетическая и космическая отрасли, телекоммуникационные и ИТ-компании, предприятия военно-промышленного комплекса, образовательные и научные учреждения, видные общественные и политические деятели.

Список систем, на которые чаще всего направлены таргетированные атаки:

• Отделы научно-исследовательских и опытно-конструкторских работ (НИОКР). Такие поздразделения должны иметь высокий уровень защиты, но чаще всего это не так.
• Управляющие офисы компаний. Большинство предприятий уязвимо к действиям инсайдеров, находящихся в сговоре со злоумышленниками и имеющих физический доступ к компьютерам.
• ЦОД. В данных системах работают сервера, на которых запущено множество приложений. Для них нужно обеспечить безопасное функционирование, что и является основной проблемой.
• При росте компании расширяется сеть поставщиков, у которых низок уровень защиты компьютерных систем. Таргетированная атака может быть проведена через них.
• Атаки на производство. Не все производства оснащены современным оборудованием, на многих из них используются старые специализированные системы, объединенные в сети. Их безопасность сложно контролировать, чем стараются пользоваться киберпреступники.
• Компьютерные сети офисов. Для повышения эффективности работы сотрудников все устройства объединяются в общую сеть, и это предоставляет широкое поле для деятельности хакеров.
• Маркетинговые планы. Целью подобных атак является получение списка клиентов и планов продаж, нанесение удара по репутации компании.
• Смартфоны и планшеты. Это - безусловная «головная боль» отделов информационной безопасности любой компании. Обойтись без гаджетов невозможно, при этом в памяти устройств может храниться много ценной и конфиденциальной информации, паролей доступа, которые становятся целью преступников.
• Атаки на базы данных проводятся с целью получения важной информации, для достижения такого результата могут быть использованы реквизиты учетной записи администратора.

Источники таргетированных атак

Для достижения своих целей преступники используют все доступные средства. Можно выделить несколько основных векторов таргетированных атак:

• Несанкционированный доступ к офисной технике и другому оборудованию, в которое можно проникнуть или внедрить вредоносный код.
• Хотя центры обработки данных в основном обеспечивают приемлемый уровень безопасности, их уязвимые места связаны с функционированием серверного оборудования и установленного на нем программного обеспечения.
• Разветвленные локальные сети благодаря развитию технологий позволяют злоумышленникам в случае подключения к одному из устройств (это может быть компьютер, факс, принтер или МФУ) спокойно перемещаться внутри корпоративной сети.
• Использование смартфонов и прочей персональной электроники в рабочих целях и внутри корпоративной сети может стать слабым звеном в защите и отправной точкой в развитии атаки.

Анализ риска таргетированных атак

Маловероятно, что целевая атака будет применена против рядовых пользователей ПК, если они не являются сотрудниками компаний. Целью атаки может стать любая информация, представляющая ценность. Чаще всего такие нападения совершаются для получения промышленных секретов, персональных и платежных данных. Многие крупные бизнесмены и руководители предприятий предполагают, что однажды подобная атака может быть проведена и против их организации.

Сегодня известно о более чем ста хакерских группировках, проводящих целевые атаки. От их действий страдают государственные и коммерческие структуры в 85 странах. Такое широкое распространение объясняется оптимизацией средств взлома, что приводит к упрощению и удешевлению вредоносных операций.

Производители средств информационной безопасности постоянно совершенствуют средства для противодействия таргетированным атакам. Разрабатываются специализированные продукты, направленные не на поиск неизвестных образцов вредоносного кода, а на выявление подозрительной активности. Это объясняется тем, что при атаках не всегда используются вредоносные программы: злоумышленники могут применять вполне легальные средства. Отдельные модули анализируют загружаемые из интернета файлы, сетевую активность и поведение пользователей на рабочих станциях. Наиболее эффективными являются комплексные решения, отдельные компоненты которых предоставляют злоумышленникам ложные наборы данных и целей.

Полностью обезопасить себя от таргетированных атак невозможно. Так, если преступник планирует получить доступ к данным компании, то он может вести атаки в течение многих месяцев или даже лет, иногда развивая параллельно несколько вредоносных операций. Не имея ограничений по времени, он тщательно проверяет возможность обнаружения вредоносных программ со стороны антивируса, при необходимости модифицирует их. На подготовительный этап атаки приходятся основные затраты времени, а вот само нападение занимает считаные минуты. В таких условиях вероятность его успешности очень велика.

Обнаружение таргетированной атаки - очень сложная и комплексная задача. Факт проникновения в систему может оставаться незамеченным долгое время. В связи с этим очень сложно оценить общее число атак, проводимых по всему миру.