Русская Википедия:Постоянная серьёзная угроза

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

  1. REDIRECT целевая кибератака

Шаблон:Чистить Шаблон:Плохой перевод Постоянная серьезная угроза (Шаблон:Lang-en, APT) — термин кибербезопасности, означающий противника, обладающего современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать угрозу опасных кибератакШаблон:SfnШаблон:Sfn.

Термин изначально использовался для описания кибернападений на военные организации, но более не ограничен военной сферой. Атака APT превосходит обычные киберугрозы, так как ориентируется на взлом конкретной цели и готовится на основании информации о ней, собираемой в течение длительного времени. APT осуществляет взлом целевой инфраструктуры посредством эксплуатации программных уязвимостей и методов «социальной инженерии»Шаблон:SfnШаблон:Sfn.

По состоянию на 2015 г., не выработано абсолютных методов противодействия угрозам класса APT, они продолжают развиваться. Обнаружение целевой атаки требует тщательного анализа событий безопасности за длительный срокШаблон:Sfn. Отличительным аспектом последствий атаки является отсутствие гарантии полного восстановления и дальнейшей безопасности. Для внедрения должных контрмер требуется глубокое понимание сущности, моделей и рисков APTШаблон:Sfn.

Определения

Целевая кибератака (таргетированная кибератакаШаблон:Sfn) — вид кибератаки, процесс которой контролируется вручную в реальном времени человеком, являющимся центром атаки. Целью данной атаки является хищение защищенной информации из информационной системы конкретной компании, организации или государственной службы. Важными отличительными особенностями таргетированных атак можно назвать их продолжительность, длительный и ресурсозатратный период подготовки, а также использование не только технических и компьютерных средств для её осуществленияШаблон:SfnШаблон:Sfn. Комплексный подход к построению атаки может включать активное воздействие на людей с помощью психологии и методов социальной инженерии, совместно с атаками нулевого дня (zero-day exploits) на оборудованиеШаблон:Sfn.

Термин APT может так же использоваться для обозначения комплекса всевозможных технических и программных средств, утилит и ПО необходимых для совершения целевой атаки. В настоящий момент существует огромное множество всевозможных средств атаки, к которым потенциальные злоумышленники могут получить доступ в сети или на теневых рынках. Большинство современных систем безопасности не требуют создания уникальных средств для взлома и поддаются уже имеющимся инструментам в нужной комбинации и при нужной стратегииШаблон:Sfn

Опасность APT-атак

Таргетированная атака может представлять серьезную угрозу информационной безопасности компании из-за сложности обнаружения и тяжести последствий. В среднем, обнаружение атаки происходит спустя 200 дней после её начала. И даже после установления факта присутствия APT в своей сети, компании не всегда способны избавиться от угрозы или хотя бы минимизировать её влияниеШаблон:Sfn. Это приводит к долгому простою в работе, вызванному попытками восстановить контроль и расследовать инцидент. Материальные потери от крупных атак в среднем по миру составляют $551.000[1].

Основные цели атак

APT-атака может преследовать самые разные целиШаблон:Sfn. А именно: хищение денежных средств или персональных данных; манипулирование бизнес-процессами, ослабление в конкурентной борьбе, шантаж и вымогательство; кража интеллектуальной собственности; попытки сделать политическое заявление либо нарушить работу городской инфраструктурыШаблон:SfnШаблон:Sfn.

Этапы

Выделяют 4 стадии целевой атаки (подготовка, проникновение, распространение, достижение цели), каждая из которых сопровождается деятельностью, направленной на сокрытие следов присутствия в системеШаблон:Sfn.

Подготовка

Подготовка включает в себя определение цели, нахождение максимального количества информации о ней, выявление слабых мест в системе безопасности. Затем производится выработка стратегии, подбираются средства проникновения из ранее созданных либо создаются новые, специализированные, затем они тестируются на моделях.

Выбор какой-либо организации в качестве цели, а также определение задач предстоящей атаки, производится чаще по заказу заинтересованных лиц, либо, после мониторинга рынка, в частном порядке. В качестве инструмента мониторинга обычно выступают общедоступные методы, такие как RSS-рассылки, официальные аккаунты компаний в социальных сетях, различные профильные форумы, на которых могут проявлять активность сотрудники целевых компанийШаблон:Sfn.

Дальнейшая разведка производится для обнаружения уязвимостей. И, поскольку технические средства, используемые для защиты информационной сети, являются неразглашаемой информацией, структуру информационной системы и её слабости пытаются узнать любым доступным методом, в том числе посредством социальной инженерииШаблон:Sfn.

Некоторые способы проведения разведкиШаблон:SfnШаблон:Sfn.

  • Инсайд. Преступники получают необходимую информацию от недавно уволенных или действующих сотрудников компании. При этом не обязательно используются прямой подкуп или шантаж, в некоторых случаях экс-сотрудник может даже не осознавать, что стал источником приватных данных. Например, часто встречающийся прием: бывшего сотрудника компании приглашают на собеседование на новую должность, которая может его заинтересовать. В ходе собеседования подставной HR-специалист провоцирует сотрудника проявить свои качества, как специалиста, тем самым выдав информацию о прежнем месте работыШаблон:Sfn.
  • Открытые источники. Недобросовестность компаний в отношении уничтожения бумажных носителей информации, выкладывание списков с именами сотрудников на официальных сайтах, государственные порталы и т. д. позволяют злоумышленникам собрать достаточно полную информацию о компании-жертве. А именно, имена сотрудников, e-mail’ы и телефоны; графики работы подразделений компании; различную внутреннюю информацию, а также информацию о бизнес-партнерах. Вся полученная таким способом информация успешно используется в методах социальной инженерии, чтобы заполучить доверие и/или обмануть сотрудников компанииШаблон:SfnШаблон:Sfn.
  • Социальная инженерия. Включает в себя множество методов. Например, общаясь с сотрудником-жертвой через социальные сети или с помощью телефонных звонков, преступники представляются именами внутренних сотрудников, чтобы получить нужную информацию или заставить сделать необходимое действиеШаблон:Sfn.

После тщательной проработки стратегии, учитывающей все этапы проникновения (в том числе действия преступников в случае нештатных ситуаций), они создают так называемый стенд (полностью действующая модель атакуемого ПО и системы безопасности). Эта модель позволяет отработать техники внедрения, отследить возможные каналы обхода средств обнаружения и убедиться в возможности скрыть все следы проникновенияШаблон:Sfn.

Следует отметить, что этот и последующие этапы могут оказаться весьма денежно затратными для преступников. В частности, иногда преступникам выгоднее написать нужный набор инструментов нападения самостоятельно, нежели платить за уже готовый и не оптимизированный. Как правило, такой набор (Toolset) состоит из командного центра (C&C)Шаблон:Sfn, инструментов проникновения и основного вредоносного модуляШаблон:Sfn.

Проникновение

На этом этапе используются уязвимости нулевого дня, а также все возможные техники социальной инженерии. После удостоверения в проникновении на нужный хост, злоумышленник дает команду на инсталляцию вредоносного кода через центр управления (C&C).

Основные средства проникновения и их назначение:

  • Эксплойт (Exploit) — основной инструмент проникновения. Чаще всего используются уязвимости в Adobe PDF, Adobe Flash, Microsoft Office и Internet ExplorerШаблон:Sfn.Данное ПО может доставляться с помощью электронной почты, веб-сайтов или USB-устройствШаблон:SfnШаблон:Sfn.
  • Валидатор — программа для сбора и проверки информации с зараженного хоста и передачи её (в зашифрованном виде) в центр управления, где человек предпринимает решение о том, стоит ли продолжать атаку. Им отдается соответствующая команда: загрузить Dropper для начала атаки, либо самоуничтожиться, если данные на хосте не имеют ценности, либо войти в процесс ожидания, если решение отложеноШаблон:Sfn. ПО доставляется по электронной почте, через веб-сайты и гораздо реже через USB-устройства. Важной особенностью данного ПО является его безопасность для преступников. Даже в случае перехвата со стороны службы безопасности, программа не несет информации ни о самой атаке, ни об атакующихШаблон:Sfn.
  • Downloader — программа для быстрого заражения хоста, доставляется с помощью фишинга через вложения в почте, либо через фишинговые сайты. При запуске загружает основной вредоносный модуль Payload либо Dropper.
  • Dropper — троянская программа для доставки (через скрытую автозагрузку) модуля Payload на машину жертвы. Доставляется через электронную почту, веб-сайты, эксплойт и валидатор. Обычно, программа встраивает собственный код в код самого активного процесса, работающего на данном компьютере, непосредственно в оперативной памяти.
  • Основной вредоносный модуль в целевой атаке, загружаемый на инфицированный хост Dropper’ом, может состоять из нескольких функциональных доп. модулей, каждый из которых будет выполнять свою функциюШаблон:Sfn:
    • клавиатурный шпион;
    • запись экрана;
    • удаленный доступ;
    • модуль распространения внутри инфраструктуры;
    • взаимодействие с C&C и обновление;
    • шифрование;
    • очистка следов активности, самоуничтожение;
    • чтение локальной почты;
    • поиск информации на диске.

Сам модуль создается с многоуровневым шифрованием, для защиты от обнаружения атаки и для сокрытия информации о преступниках.

Распространение

В данную фазу злоумышленник старается максимально распространить свой код по информационной сети, ориентируясь на ключевые точки — рабочие станции и сервера, необходимые для осуществления целей атаки. Он использует удаленный доступ RDP, и работает под легитимными администраторскими правами и не может быть замечен системой безопасностиШаблон:SfnШаблон:Sfn.

Достижение цели

На этом этапе происходит либо хищение (сопровождаемое сжатием и шифрованием)Шаблон:Sfn, либо изменение закрытой информации, либо иные манипуляции, требующиеся злоумышленнику. За этим следует сокрытие следов и, при необходимости, оставление точек возврата в системуШаблон:Sfn.

Способы борьбы с APT-угрозами

Основным способом противостояния целевым атакам является недопущение их начала, поскольку активную атаку крайне сложно заметить. Среди стандартных технических средств предотвращения можно выделить сигнатурный анализ, исполнение правил для сетевых соединений, черные и белые списки приложений, а также использование межсетевых экранов и межсегментного контроля, IDS/IPS, SIEM, контент-фильтры, совместное использование файловых антивирусов и актуальной анти-спам политики для устранения угроз со стороны массовых рассылок (например, защищённых паролем архивов с вредоносным кодом). Немаловажной частью предотвращения APT-атак является обучение персонала правильной политике информационной безопасности. Шаблон:Sfn.[2]

Если атака все-таки была начата или есть предположение о её наличии, ставится задача обнаружения и локализации. Хотя существует целый комплекс различных мер, направленных на обнаружение APT, они, зачастую, оказываются малоэффективныШаблон:Sfn. Среди таких мер можно выделить сервисы, предлагающие проверки системы, достаточно компетентных специалистов по безопасности, автоматизированные системы обработки событий безопасности, а также актуальные данные о существующих угрозахШаблон:Sfn, например, Threat Data Feeds — сервис, содержащий следующую информациюШаблон:Sfn:

  • Набор URL-адресов, соответствующих наиболее зловредным ссылкам и Web-сайтам.
  • IP-репутация — градация IP-адресов по уровню безопасности.
  • Набор файловых хэшей, охватывающий вредоносные программы.
  • Активность ботнет-сетей.

Если подтверждается факт атаки, должны быть предприняты меры по её остановке, выясняется нанесенный ущерб.

Однако, даже если угроза была обнаружена и были приняты корректирующие меры, APT может оставаться в системе годами[1]

Примеры удачных APT-атак

Далеко не все инциденты с APT-атаками становятся известны широкой публике, поскольку общественные заявления об одной атаке могут спровоцировать новые, а также дать преступникам возможность учесть ошибки. Однако, некоторые крупные атаки были документированыШаблон:SfnШаблон:SfnШаблон:Sfn.

1998-2000

2007

  • Нападение на Oak Ridge National Laboratory — пример удачного использования социальной инженерии, преступники получили легальный доступ к системе через e-mail’ы, после чего, предположительно, похитили информацию из баз данных лаборатории.
  • Нападение на Los Alamos National Laboratory — один из инцидентов среди массового нападения на американские лаборатории.

2008

  • Атака на министерство обороны США. Иностранным агентам влияния удалось установить вредоносную программу в систему министерства с помощью USB-флэш накопителя. Код распространился на огромное число компьютеров.
  • Нападение на Office of His Holiness the Dalai Lama — преступники получили пользовательский пароль к системе, а затем в легитимном письме подменили содержимое, чтобы получить удаленный доступ к системе OHHDL.

2009

  • GhostNet — самая крупная акция кибершпионажа, заражены более 1000 компьютерных сетей, в том числе правительственных, в более чем 100 странах.
  • Stuxnet — нападение некоторой организации, предположительно находящейся в Иране, на ряд компаний, с использованием червя Stuxnet, совершалось с целью перепрограммировать промышленные системы управления газопроводом и энергоустановок, для получения доступа к иранской ядерной программе.
  • Night Dragon — атака, направленная против глобальных нефтяных и бензиновых компаний. Злоумышленники использовали социальную инженерию и уязвимости системы Windows, чтобы получить доступ к внутренним аккаунтам и информации.
  • Operation Aurora — атака на инфраструктуру компании Google с целью похитить исходный код.

2010

  • Stuxnet — продолжение.
  • Australian Resource Sector — атака на три крупные австралийские ресурсодобывающие компании: BHP Billiton, Fortescue Metals Group и Rio Tinto.
  • Атака на французское правительство — преступники получили возможность удаленно контролировать правительственные компьютеры и извлекать документы, на протяжении более чем 3 месяцев оставаясь не обнаруженными.

2011

  • Атака на французское правительство — продолжение.
  • Атака на канадское правительство — преступникам удалось подделать электронные письма сотрудникам, таким образом, будто бы они приходили от руководства. Сами письма несли вредоносное ПО, которое дало доступ преступникам к секретным данным.
  • Атака на австралийское правительство — преступники получили доступ к высшей правительственной переписке не менее чем на месяц.
  • Comodo Affiliated Root Authority — атака на центр сертификации, в результате которой в сети появились поддельные SSL сертификаты известных доменов, например mail.google.com, www.google.com, login.yahoo.com, login.skype.com, и т. д.
  • Oak Ridge National Laboratory — преступники воспользовались атакой нулевого дня для Internet Explorer, остается неизвестным, были ли похищены какие-либо данные, однако работа лаборатории была остановлена на двое суток.
  • Атака на международный валютный фонд. Потребовала написания уникального ПО, в результате чего преступники получили доступ к важной политической и экономической информации.

2022

  • Атака на сервис Rutube

Известные преступные группировки

Разработкой и планированием атак занимаются группы людей, обладающих достаточными знаниями. Чаще всего целью их нападения становятся банковские системы[3].

  • Carbanak — международная группировка, все ещё активна (2015г).
  • Corkow (METEL) — русская группа, активна (2015г).
  • GCMAN — русская группировка, частично нейтрализована (2015г)
  • Blue Termit — южно-корейская группа.

См. также

Шаблон:Кол

Шаблон:Кол

Примечания

Шаблон:Примечания

Литература

Шаблон:Refbegin2

Научно-технические источники
Экспертные рекомендации
Публицистика

Шаблон:Refend

Ссылки

Шаблон:Refbegin2

Шаблон:Refend