Охота на «Красного Октября»: Как устроен бизнес на таргетированных атаках и почему ваш бухгалтер — это «входные ворота»

от автора

История о том, как киберпреступность превратилась в сферу услуг с прайс-листами в Даркнете, и почему классический антивирус уже не спасает.

В 2019 году мир потрясла новость о черве Stuxnet. Тогда стало понятно: это не хулиганство и не банальная кража паролей. Это была точечная диверсия, спланированная с хирургической точностью. Пожалуй, именно с того момента мы можем вести отсчет новейшей истории целенаправленных кибератак.

Но если тогда мишенью были атомные центрифуги Ирана, то сегодня под прицелом может оказаться любой бизнес. Вопрос лишь в том, готовы ли владельцы компаний к тому, что за их цифровыми воротами уже следят, изучают замки и ждут удобного момента.

1. Киберпреступность — это корпорация с отделом продаж

Сегодня говорить о хакерах как об одиноких гениях в капюшонах — моветон. Их деятельность все больше напоминает классический бизнес. На теневом рынке существуют полноценные «продуктовые линейки», отделы маркетинга (пусть и в закрытых чатах) и даже сервисные пакеты по модели «атака как услуга».

«Анонсы, как правило, даются в закрытых источниках, — рассказывает Андрей Арефьев, менеджер по развитию продуктов компании InfoWatch. — Но, тем не менее, можно говорить, что современная индустрия ботнетов обладает всеми признаками полноценных коммерческих продуктов. По данным независимых исследований, количество утилит для построения ботнетов за последние годы возросло в десятки раз».

Фиксированные расценки на трояны, отдельные модификации под разные целевые сегменты и даже годовое техническое обслуживание вирусов — за этим стоит серьезная экономика. Если ваша компания еще не подвергалась атаке, это не значит, что она неуязвима. Это значит лишь то, что вы пока просто не в приоритете.

2. Философия «Тихого вторжения»

Главное изменение последних лет — это маскировка. Если раньше атаки часто были похожи на взрыв, то теперь это скорее замедленное проникновение. Цель хакера — остаться незамеченным как можно дольше.

Современные атаки обладают яркими отличительными чертами:

  • Адаптивность. Вредоносное ПО подстраивается под инфраструктуру компании-жертвы.

  • Многоступенчатость. Атака почти никогда не начинается прямо с сервера с секретными данными. «Входной билет» — это компьютер обычного секретаря или менеджера. Оттуда злоумышленник, как по коридорам, перемещается к главной цели, которой может оказаться рабочая станция главного бухгалтера.

  • Длительность. От заражения до активной фазы (кражи данных или шифрования) может пройти несколько месяцев.

«Если вы не наблюдаете видимых признаков атаки на ИТ-инфраструктуру, это еще не означает, что ее не атакуют», — резюмирует Андрей Арефьев.

3. Точка входа: человек и его «дружелюбный» фишинг

По данным открытых источников, львиная доля «таргета» начинается с социальной инженерии. Киберпреступник редко взламывает сложные файрволы лбом. Куда проще попросить сотрудника перейти по ссылке или открыть вложение от «контрагента».

Самый показательный исторический пример — это уже упомянутый Stuxnet и иранская ядерная программа. Целью было не просто заразить компьютеры, а вывести из строя центрифуги, переведя их во внештатный режим. Ремонт отнимал время и деньги, сдерживая развитие программы. Это классический пример диверсии, где человеческий фактор (инсайдеры или невнимательность) сыграл ключевую роль.

4. Кто в зоне риска и что крадут?

Распространено заблуждение, что цели — это только «оборонка» или «атомщики». Однако владелец рядовой бизнес-организации недавно убедился в обратном — его сервер попытались заразить через уязвимости на компьютере бухгалтера. К счастью, тогда атака была отбита, но осадок остался.

Согласно исследованиям, 63% опрошенных понимают, что таргетированная атака на их компанию — всего лишь вопрос времени.

Что же чаще всего становится добычей?

  1. Промышленные секреты и стратегические разработки.

  2. Платежные данные и доступ к счетам.

  3. Персональные данные клиентов (для последующего рейдерства или продажи).

5. Почему антивирус бессилен: разбор методов защиты

Парадокс безопасности в том, что те инструменты, к которым мы привыкли, уже не работают против целевых атак. Давайте разберем их по косточкам.

Сигнатурный анализ (устаревает)

Этот метод работает на сравнении «цифрового отпечатка» файла с вирусной базой. Если сигнатура совпала — вирус найден. Плюс: Точность. Если база обновлена, ложных срабатываний почти нет. Минус: Беззащитность перед новыми угрозами («нулевого дня»). Вирусные базы обновляются раз в 15-30 минут, а в мире за это время может появиться новый троян, обходящий сигнатуры.

Эвристический анализ (неэффективен)

Хорош тем, что не ждет обновления базы, а ищет подозрительную активность. Минус: Хакеры давно научились тестировать свои программы на популярных антивирусах, меняя код до тех пор, пока он не перестанет вызывать подозрений.

Next-Gen Firewalls (перегружены)

Их минус — ложноположительные срабатывания. Они так активно ищут угрозы, что начинают тормозить работу, а технологии «песочниц» (эмуляция запуска вируса) тоже можно обмануть.

WhiteListing (неудобно)

Метод «белых списков» разрешенных программ технически надежен. Но в любой крупной компании список софта, который нужен сотрудникам, настолько обширен и меняется так часто, что поддерживать актуальный Whitelisting практически невозможно — это парализует рабочие процессы.

6. Эволюция детектирования: взгляд на изменения

Главный недостаток классических средств — они пытаются распознать вирус. Но что, если искать не сам вирус, а его последствия? Эту логику использует технология динамического обнаружения атак (реализованная, в частности, в продукте InfoWatch Targeted Attack Detector).

Основная идея проста, как гениальное решение: какими бы хитрыми ни были хакеры, их вмешательство неизбежно меняет систему. Поэтому решение не просто сканирует трафик, а периодически делает «слепки» состояния IT-системы, сравнивая их с эталоном прошлого.

«Полученные данные сравниваются с результатами прошлых сканирований, затем осуществляется интеллектуальный анализ произошедших изменений на предмет наличия аномалий, — поясняет Андрей Арефьев. — При обнаружении неизвестного вредоносного ПО к анализу привлекается аналитик компании».

Именно аномалии — первый и часто единственный признак того, что в системе идет «чужая» работа. Атака вовсе не обязательно должна выглядеть как вирус уровня «Красного Октября». Для серьезного ущерба достаточно маленького трояна, который тихо пересылает данные.

Вместо итога

Таргетированные атаки — это мощнейший инструмент влияния на корпоративную политику, геополитику и экономику. Противостоять им системно и тщательно можно лишь одним способом — перестать доверять репутационным антивирусам прошлого поколения и начать искать то, чего быть не должно: следы изменений там, где их не было вчера.

ссылка на оригинал статьи https://habr.com/ru/articles/1054200/