История о том, как киберпреступность превратилась в сферу услуг с прайс-листами в Даркнете, и почему классический антивирус уже не спасает.
В 2019 году мир потрясла новость о черве Stuxnet. Тогда стало понятно: это не хулиганство и не банальная кража паролей. Это была точечная диверсия, спланированная с хирургической точностью. Пожалуй, именно с того момента мы можем вести отсчет новейшей истории целенаправленных кибератак.
Но если тогда мишенью были атомные центрифуги Ирана, то сегодня под прицелом может оказаться любой бизнес. Вопрос лишь в том, готовы ли владельцы компаний к тому, что за их цифровыми воротами уже следят, изучают замки и ждут удобного момента.

1. Киберпреступность — это корпорация с отделом продаж
Сегодня говорить о хакерах как об одиноких гениях в капюшонах — моветон. Их деятельность все больше напоминает классический бизнес. На теневом рынке существуют полноценные «продуктовые линейки», отделы маркетинга (пусть и в закрытых чатах) и даже сервисные пакеты по модели «атака как услуга».
«Анонсы, как правило, даются в закрытых источниках, — рассказывает Андрей Арефьев, менеджер по развитию продуктов компании InfoWatch. — Но, тем не менее, можно говорить, что современная индустрия ботнетов обладает всеми признаками полноценных коммерческих продуктов. По данным независимых исследований, количество утилит для построения ботнетов за последние годы возросло в десятки раз».
Фиксированные расценки на трояны, отдельные модификации под разные целевые сегменты и даже годовое техническое обслуживание вирусов — за этим стоит серьезная экономика. Если ваша компания еще не подвергалась атаке, это не значит, что она неуязвима. Это значит лишь то, что вы пока просто не в приоритете.
2. Философия «Тихого вторжения»
Главное изменение последних лет — это маскировка. Если раньше атаки часто были похожи на взрыв, то теперь это скорее замедленное проникновение. Цель хакера — остаться незамеченным как можно дольше.
Современные атаки обладают яркими отличительными чертами:
-
Адаптивность. Вредоносное ПО подстраивается под инфраструктуру компании-жертвы.
-
Многоступенчатость. Атака почти никогда не начинается прямо с сервера с секретными данными. «Входной билет» — это компьютер обычного секретаря или менеджера. Оттуда злоумышленник, как по коридорам, перемещается к главной цели, которой может оказаться рабочая станция главного бухгалтера.
-
Длительность. От заражения до активной фазы (кражи данных или шифрования) может пройти несколько месяцев.
«Если вы не наблюдаете видимых признаков атаки на ИТ-инфраструктуру, это еще не означает, что ее не атакуют», — резюмирует Андрей Арефьев.
3. Точка входа: человек и его «дружелюбный» фишинг
По данным открытых источников, львиная доля «таргета» начинается с социальной инженерии. Киберпреступник редко взламывает сложные файрволы лбом. Куда проще попросить сотрудника перейти по ссылке или открыть вложение от «контрагента».
Самый показательный исторический пример — это уже упомянутый Stuxnet и иранская ядерная программа. Целью было не просто заразить компьютеры, а вывести из строя центрифуги, переведя их во внештатный режим. Ремонт отнимал время и деньги, сдерживая развитие программы. Это классический пример диверсии, где человеческий фактор (инсайдеры или невнимательность) сыграл ключевую роль.

4. Кто в зоне риска и что крадут?
Распространено заблуждение, что цели — это только «оборонка» или «атомщики». Однако владелец рядовой бизнес-организации недавно убедился в обратном — его сервер попытались заразить через уязвимости на компьютере бухгалтера. К счастью, тогда атака была отбита, но осадок остался.
Согласно исследованиям, 63% опрошенных понимают, что таргетированная атака на их компанию — всего лишь вопрос времени.
Что же чаще всего становится добычей?
-
Промышленные секреты и стратегические разработки.
-
Платежные данные и доступ к счетам.
-
Персональные данные клиентов (для последующего рейдерства или продажи).
5. Почему антивирус бессилен: разбор методов защиты
Парадокс безопасности в том, что те инструменты, к которым мы привыкли, уже не работают против целевых атак. Давайте разберем их по косточкам.
Сигнатурный анализ (устаревает)
Этот метод работает на сравнении «цифрового отпечатка» файла с вирусной базой. Если сигнатура совпала — вирус найден. Плюс: Точность. Если база обновлена, ложных срабатываний почти нет. Минус: Беззащитность перед новыми угрозами («нулевого дня»). Вирусные базы обновляются раз в 15-30 минут, а в мире за это время может появиться новый троян, обходящий сигнатуры.
Эвристический анализ (неэффективен)
Хорош тем, что не ждет обновления базы, а ищет подозрительную активность. Минус: Хакеры давно научились тестировать свои программы на популярных антивирусах, меняя код до тех пор, пока он не перестанет вызывать подозрений.
Next-Gen Firewalls (перегружены)
Их минус — ложноположительные срабатывания. Они так активно ищут угрозы, что начинают тормозить работу, а технологии «песочниц» (эмуляция запуска вируса) тоже можно обмануть.
WhiteListing (неудобно)
Метод «белых списков» разрешенных программ технически надежен. Но в любой крупной компании список софта, который нужен сотрудникам, настолько обширен и меняется так часто, что поддерживать актуальный Whitelisting практически невозможно — это парализует рабочие процессы.
6. Эволюция детектирования: взгляд на изменения
Главный недостаток классических средств — они пытаются распознать вирус. Но что, если искать не сам вирус, а его последствия? Эту логику использует технология динамического обнаружения атак (реализованная, в частности, в продукте InfoWatch Targeted Attack Detector).
Основная идея проста, как гениальное решение: какими бы хитрыми ни были хакеры, их вмешательство неизбежно меняет систему. Поэтому решение не просто сканирует трафик, а периодически делает «слепки» состояния IT-системы, сравнивая их с эталоном прошлого.
«Полученные данные сравниваются с результатами прошлых сканирований, затем осуществляется интеллектуальный анализ произошедших изменений на предмет наличия аномалий, — поясняет Андрей Арефьев. — При обнаружении неизвестного вредоносного ПО к анализу привлекается аналитик компании».
Именно аномалии — первый и часто единственный признак того, что в системе идет «чужая» работа. Атака вовсе не обязательно должна выглядеть как вирус уровня «Красного Октября». Для серьезного ущерба достаточно маленького трояна, который тихо пересылает данные.
Вместо итога
Таргетированные атаки — это мощнейший инструмент влияния на корпоративную политику, геополитику и экономику. Противостоять им системно и тщательно можно лишь одним способом — перестать доверять репутационным антивирусам прошлого поколения и начать искать то, чего быть не должно: следы изменений там, где их не было вчера.
ссылка на оригинал статьи https://habr.com/ru/articles/1054200/