Опасный тип киберпреступности: таргетированные атаки

Таргетированная атака – индивидуальный набор хакерских действий, который направлен на прямую кражу денежных средств или хищение ценной информации. Как отмечают специалисты Softline, чаще всего мошенники преследуют корыстные цели. Вариантов монетизации может быть несколько: несанкционированный доступ к онлайн-банкингу, шифрование важных данных на серверах компании с последующим требованием выкупа за их декодирование, кража персональных данных в интересах компании-конкурента и многое другое.

Злоумышленники используют различные инструменты для вторжения, наиболее известные способы – фишинговые атаки (вредоносные программы, которые проникают на компьютер зачастую с помощью социальной инженерии). Необходимо отметить, что подготовка к такому типу интернет-мошенничества занимает значительный промежуток времени, так как включает в себя подготовку вредоносных веб-сайтов, почтовых или мгновенных сообщений с использованием личных данных конкретного пользователя.

Несмотря на сложность реализации, такие атаки выгодны для хакерских групп, поэтому они являются распространенной формой киберпреступности. Только за последние полгода произошли утечки информации в 12 крупных компаниях и, как отмечает генеральный директор кибердетективного агентства Group-IB Илья Сачков, последствия были катастрофическими. Более того, и российские компании находятся в поле зрения преступников. В течение месяца только одна группировка кибертеррористов атаковала более 600 отечественных ресурсов (1).

Атаки могут проходить по стандартному сценарию, но, как подчеркивают специалисты Softline, такие действия будут наиболее успешны из-за применения специфического инструментария или уязвимостей нулевого дня. Знакомая ситуация: сотрудник получает письмо с интересным контентом и открывает его на рабочем компьютере. Пока он смотрит клип, в корпоративную инфраструктуру проникает вредоносная программа. В большинстве случаев антивирусы срабатывают и сразу выявляют попытку взлома системы.

Таргетированные атаки имеют существенные отличия, например, индивидуальный контент и персональный подход к рассылке сообщений. Источник, отправивший ссылку, не вызывает подозрений: хакеры отслеживают активность сотрудника заинтересовавшей их компании, выясняют круг его общения и отправляют вирус от лица его друга или коллеги. Получатель без особых опасений открывает ссылку, а защитные системы не распознают вредоносную программу, которая непосредственно разработана с учетом характеристик инфраструктуры компании. Таким образом, обойдя периметр безопасности, программа загружает дополнительные модули, которые взламывают систему изнутри.

Разумеется, новые поколения традиционных средств защиты затрудняют действия хакеров и снижают вероятность успешных атак. Ландшафт угроз кардинально меняется, как и весь мир цифровых технологий. Угроз «нулевого дня» сегодня больше не существует. Ведущие мировые вендоры по кибербезопасности для борьбы с таргетированными атаками рекомендуют использовать файрволы нового поколения Next Generation, которые включают как стандартный функционал брандмауэров – сетевая фильтрация, управление VPN и NAT, так и улучшенную фильтрацию сетевого трафика. Она позволяет распознать payload по сигнатурам известных вредоносных программ, таким образом, файрвол нового поколения позволяет предотвратить передачу по сети вирусов. 

Такие рутинные действия в сфере ИБ, как создание единой политики безопасности, контроль сетевого трафика, анализ приложений, в условиях сложных хакерских активностей уже не кажутся избыточными. Мировые лидеры рынка информационной безопасности внедряют специализированные инструменты для предотвращения таргетированных кибератак. Поэтому «Лаборатория Касперского» разработала целую платформу по борьбе с подобными угрозами – Kaspersky Anti Targeted Attack Platform. С помощью динамического анализа поступающих данных от сенсоров  и получения актуальной информации о новых вторжениях эта платформа позволяет защитить систему в режиме реального времени.

Наряду с западными компаниями российские специалисты успешно «замещают» решения глобальных вендоров не только в РФ, но и по всему миру. Наиболее известным отечественным производителем антивирусных решений является «Лаборатория Касперского». Помимо «Лаборатории», на рынке ИБ также можно выделить ГК InfoWatch, которая создает программно-аппаратные комплексы для комплексной киберзащиты предприятий от большинства типов угроз – от таргетированных атак до DDoS.

Для успешной идентификации и отражения атак класса APT (Advanced Persistent Threats) необходим комплексный подход. Который включает такие компоненты, как контроль сетевой активности, мониторинг работы приложений и файлов, а также анализ аномалий.

Поставив на мониторинг различные участки сети, вы сможете выявить нетипичную сетевую активность, такую как подключение с других ip-адресов или большой объем трафика, которая будет направлена в модуль анализа аномалий.

Так происходит и анализ поведения подозрительных объектов, для этого файл переносится в изолированную виртуальную «песочницу». При запуске этих объектов на копии ИТ-инфраструктуры компании происходит эмуляция подозрительной активности объекта на предмет создания новых файлов или изменения системного реестра.

В случае отклонения от типового поведения программы, компонент анализа аномалий сопоставляет его с другими нетипичными сигналами, например сетевыми, и определяет, является ли активность целевой атакой.

Но без принятия проактивных мер, которые также называют кибер-контрразведкой, предотвращение таргетированных атак будет затруднительно. Для этого существуют простые в использовании инструменты. Например, продукт Bot-Trek Intelligence от компании Group-IB позиционирует себя как «киберразведка по подписке». Панель настроек интуитивно понятна, а вся работа проходит в веб-интерфейсе, где можно отследить сводку о текущих угрозах – от попыток взлома инфраструктуры до хакерской активности в отношении партнеров и конкурентов до того, как компании будет нанесен реальный вред. Разумеется, за этой простотой использования стоит как опыт сотрудников Group-IB, так и их повседневная работа по выявлению, анализу и предотвращению атак.

Итак, как было показано выше, компании по информационной безопасности обладают необходимыми инструментами и опытом по предотвращению таргетированных атак. Такая деятельность требует крупных инвестиций со стороны заказчика, но потенциальные убытки от проникновения в корпоративную систему кратно превышают затраты на защитные действия. Однако специалисты часто сталкиваются с трудностями, которые связаны не только с техническими аспектами, но и с менталитетом: зачастую руководство компаний-заказчиков не верит в возможность таргетированных атак и, как следствие, не рассматривает их как угрозу бизнесу. Поэтому Softline предлагает провести тестирование на проникновение ИТ-инфраструктуры клиента. В ходе него безопасники анализируют уязвимости и проводят демонстрацию таргетированных атак. После того, как заказчикам наглядно демонстрируют информацию, представляющую коммерческую тайну – перехваченную переписку топ-менеджеров, украденные данные на тендер, руководство обычно пересматривает свою политику по ИБ и выделяет ресурсы на комплекс мероприятий по минимизации подобных рисков.

(1) «Бизнесмены в России не верят, что хакеры существуют», Алина Гайнуллина, Lenta.ru, 9 июня 2015 г.