Елена Харламова

Елена ХарламоваТаргетированные атаки: новое слово в мире угроз

1. Что такое таргетированные атаки?

Таргетированные (или целенаправленные) атаки – это заранее спланированные действия против конкретной государственной или негосударственной структуры либо организации. Как правило, киберпреступники, занимающиеся таргетированными атаками, – это профессионалы, их можно сравнить с традиционными злоумышленниками, которые угоняют машины по заказу: у них есть определенная мишень, они изучают средства защиты автомобиля, чтобы потом успешно их обойти.

Сегодня деятельность хакеров приобретает все больше черт традиционного бизнеса. На российском рынке существует своеобразный «черный рынок» – теневые схемы и места реализации программных средств, необходимых для атаки на ИТ-инфраструктуру той или иной компании. Есть фиксированные расценки, которые с легкостью можно обнаружить в интернете.

Можно отыскать даже уже сформированные продуктовые линейки: «компании» злоумышленников расширяют воронку продаж, готовят отдельные модификации решений с учетом различных целевых сегментов. Есть расценки на ботнеты, активно анонсируются новые версии троянов. Можно даже приобрести услугу целенаправленной атаки как сервис. Киберзлоумышленники создают собственные планы развития, которые также активно анонсируются.

- Анонсы, как правило, даются в закрытых источниках, – рассказывает Андрей Арефьев, менеджер по развитию продуктов компании InfoWatch. – Но, тем не менее, можно говорить, что современная индустрия ботнетов обладает всеми признаками полноценных коммерческих продуктов. По данным независимых исследований, количество утилит, которые применяются для построения ботнетов, возросло за последние годы в десятки раз.

Кроме того, за последние годы значительным образом изменился характер атак: они весьма усложнились. Сегодняшние атаки стали более разветвленными: атакующая сторона пытается адаптироваться под собственную инфраструктуру компании и сделать атаку максимально незаметной. Атака должна быть либо обнаружена как можно позже, либо не обнаружена вообще. Поэтому подобные атаки, как правило, протяженны во времени и становятся заметны только тогда, когда приходит время активно проявить себя.

Целенаправленные атаки на ИТ-инфраструктуру обладают следующими характеристиками:

Они изучают ту систему защиты, которая имеется у компании, и обходят ее.

Характер атак стал более многоступенчатым: они могут начинаться на компьютере секретаря, а конечной целью при этом будет компьютер бухгалтера – например, задачей злоумышленников может быть установка там вредоносного ПО.

- В качестве промежуточного итога можно отметить, что если вы не наблюдаете видимых признаков атаки на ИТ-инфраструктуру компании, это еще не означает, что ее не атакуют, – резюмирует Андрей Арефьев.

2. Примеры целенаправленных атак.

Как утверждает ряд открытых источников, для внедрения троянской вирусной программы «точкой входа» часто становится инсайдерская деятельность нелояльных сотрудников компании. Подобный пример не так давно можно было наблюдать в Иране.

Основной целью данной атаки было сдерживание иранской ядерной программы. Насколько известно, суверенное государство контролировало обогатительные ядерные центрифуги, и ряд объектов при этом был переведен во внештатный режим. Центрифуги быстро выходили из строя, их ремонт требовал времени и денег, поэтому обогащение урана откладывалось. Как удалось выяснить, данная атака была спланирована заранее, осуществлялась и проводилась в течение длительного времени.

Целью атаки была не кража оборудования, а контроль над промышленными объектами. Страшно себе представить, что может произойти, если кто-нибудь начнет контролировать ядерную электростанцию: переведение её во внештатный режим грозит как минимум, вторым Чернобылем...

Однако мишенью злоумышленников становятся не только стратегически важные объекты и крупные правительственные организации. Недавно одному владельцу бизнес-организации довелось в этом убедиться лично. Сервер компании попытались заразить при помощи контактных уязвимостей – повезло владельцу фирмы только в том, что атаке подвергся всего лишь компьютер бухгалтера.

Вредоносное ПО представляет собой программу, которая позволяет получить несанкционированный доступ к конфиденциальной информации при помощи уязвимостей. Применяются подобные программы обычно для получения первичного доступа к сети предприятия. Как правило, внедрение системы обозначает допуск к данным при перезагрузке системы. «Пропиской» исполняемого модуля при этом каждый раз является его перезапуск.

Вредоносное ПО может попасть на компьютер сотрудника компании не только по злому умыслу последнего, но и вследствие применяемой хакерами социальной инженерии (например, киберпреступник может попросить жертву перейти по той или иной ссылке или посетить сторонний ресурс).

В результате жертва становится доступна для атаки, и злоумышленники получают доступ к операционной системе рабочего компьютера сотрудника. Теперь можно запустить вредоносные файлы, чтобы в последующем получить контроль над компьютерами организации. Перечисленные выше действия носят название "атаки нулевого дня".

3. Какие данные чаще всего похищают?

Во многом это зависит от профиля деятельности компании. Целью хакеров могут быть промышленные секреты и стратегические разработки закрытого плана, платежные и персональные данные. Любопытно, что, согласно проведенным исследованиям, 63% опрошенных понимают, что таргетированная атака на их компанию – всего лишь вопрос времени.

Методики выявления таргетированных атак:

1. Сигнатурный анализ.

Проведение сигнатурного анализа подразумевает, что у аналитиков есть какой-либо файл, пораженный вирусом. Изучение такой вредоносной программы позволяет снять с нее сигнатуру (цифровой отпечаток). После того, как сигнатура занесена в базу, можно проверять файл на предмет заражения этим вирусом, просто сравнивая сигнатуры. Преимущество сигнатурного анализа в том, что он позволяет точно диагностировать атаку. Если имеется файл с совпадающей сигнатурой, то можно смело говорить о том, что компьютер поражен.

Сигнатурный анализ обладает рядом преимуществ:

Он может быть использован не только для сканирования вирусов, но и для фильтрации системного трафика.

Вы можете "сесть" на шлюзе и контролировать наличие тех или иных непроверенных сигнатур.

Он позволяет с большой точностью осуществлять диагностические комплексы противостояния атакам.

Существенным недостатком сигнатурного анализа является необходимость обновления сигнатурной базы. Большинство компаний вынуждено обновлять сигнатурную базу каждые 15 минут. При этом каждые полчаса в мире появляется новый вирус. Далее идет длительный процесс его регистрации и изучения, и только после этого сигнатура заносится в базу. Все время до этого момента компания беззащитна перед новым вирусом.

Другой метод изучения уже выявленного ранее вредоносного ПО – это эвристический анализ.

Функция эвристического анализа заключается в том, чтобы проверять исполняемый код на наличие подозрительной активности, характерной для деятельности вирусов. Подобная методика хороша тем, что не зависит от актуальности каких-либо баз. Однако и у эвристического анализа есть свои минусы.

Ввиду того, что все основные антивирусы известны и доступны для использования всем желающим, хакеры могут производить тестирование написанного ПО и видоизменять его до тех пор, пока он не будет обходить все известные средства антивирусной защиты. Тем самым эффективность основных эвристических алгоритмов сводится на нет.

Другой метод обнаружения целенаправленных атак подразумевает использование так называемых фаерволлов нового поколения, которые в дополнение к традиционным возможностям также позволяют фильтровать трафик. Основным недостатком фаерволлов является чрезмерная «подозрительность», они генерируют большое количество ложноположительных срабатываний. Кроме того, фаерволлы используют технологии, которые можно обмануть (песочница, эвристический анализ и сигнатурный анализ).

Существует также иной метод защиты, применяемый для запуска приложений. Идея его весьма проста: станция может запустить только отдельные приложения (это носит название WhiteListening). Минус в том, что такой «белый список» должен содержать все без исключения приложения, которые могут понадобиться пользователю. На практике такой способ, конечно, довольно надежен, но очень неудобен, так как тормозит рабочие процессы.

Наконец, есть недавно разработанная технология динамического обнаружения атак, которая используется в продукте InfoWatch Targeted Attack Detector, - рассказывает Андрей Арефьев. – Данная технология базируется на том, что действия злоумышленников неизбежно приводят к модификации ИТ-систем предприятия. Поэтому решение InfoWatch периодически сканирует ИТ-систему организации, собирая информацию о состоянии критических объектов. Полученные данные сравниваются с результатами прошлых сканирований, затем осуществляется интеллектуальный анализ произошедших изменений на предмет наличия аномалий. При обнаружении неизвестного вредоносного ПО к анализу его действий и возможного вреда для инфраструктуры предприятия привлекается аналитик компании.

- На каком этапе удается классифицировать атаку в качестве целенаправленной?

- Фактически выявление аномалий является первичным признаком того, что в вашей системе возникают неполадки, это косвенный признак того, что компанию атакуют. При этом в атаке не обязательно должен быть задействован вирус уровня «Красного Октября». Достаточно, как показывает практика, небольшого трояна, периодически пересылаемого дальше. В принципе, этого достаточны для того, чтобы приносить деньги конкретным киберзлоумышленникам.

В целом же, хотелось бы отметить, что таргетированные атаки представляют собой мощный инструмент для влияния на корпоративную политику крупных правительственных и коммерческих организаций. Именно поэтому противостоять подобным типам киберпреступлений необходимо планомерно и тщательно.

Елена Харламова.

Комментарии