Таргетированные атаки

Таргетированные атаки - используются для атак на инфраструктуру компаний и государственных структур. Перед атакой, киберпреступники тщательно изучают средства защиты атакуемой организации. Самой атаке могут быть подвержены не только привычные информационные системы компании, но и автоматизированные средства управления технологическим процессом (АСУ ТП). Антивирусные продукты не в силах предотвратить таргетированную атаку, так как вредоносные программы разрабатываются с учетом используемого антивирусного ПО с расчетом, что они не будут обнаруживаться.

В последнее время наблюдается смещение акцента с написания вредоносных программ на проведение целенаправленных атак. Атаки направлены на конкретную организацию, и подготовка к ним занимает много времени. Преступники тщательно изучают используемые у потенциальной жертвы средства защиты и находят нужные уязвимости, которые и используются для проведения атаки.

Изначально целью таргетированных атак являлись объекты военного и государственного назначения, со временем нападениям стали подвергаться коммерческие организации.

Классификация таргетированных атак

Таргетированные атаки могут быть направлены на государственные и коммерческие структуры. При взломе могут использоваться стандартные для других видов атак механизмы (спам, фишинг, заражение сайтов) и наборы эксплойтов. В основном злоумышленники преследуют следующие цели:

  • Похищение средств с банковских счетов и электронных кошельков, конфиденциальных данных и конфиденциальной информации.
  • Нечестная конкуренция:  манипулирование процессами, подделка документов, ослабление конкурентов, вымогательство и шантаж.
  • Похищение образцов интеллектуальной собственности.
  • Нарушение нормальной деятельности объектов военной, промышленной и гражданской инфраструктуры, систем жизнеобеспечения.
  • Использование возможностей телекоммуникационных систем для осуществления информационных воздействий и манипулирования общественным мнением.

Этапы таргетированных атак

На подготовительном этапе изучается атакуемый объект, собирается информация, проводятся разведывательные мероприятия, определяются слабые места. Для мониторинга используются: рассылки, официальные сайты и аккаунты в социальных сетях, профильные форумы. С помощью программ анализаторов производится изучение сетевой инфраструктуры и программного обеспечения используемого на компьютерах организации. Для получения данных могут использоваться автоматизированные методы или индивидуальные, такие как телефонные звонки.

Таргетированные атаки

После завершения подготовки вырабатывается стратегия, подбираются инструменты атаки. Вредоносные программы пишутся под конкретную атаку и жертву, это необходимо для преодоления штатных средств защиты.

Объект воздействия таргетированных атак

Таргетированные атаки могут преследовать экономические, политические или другие цели.

Известны случаи, когда злоумышленники внедрялись в системы управления отдельными технологическими процессами и деятельностью предприятий. Для получения нужной информации преступники могут настроить прямой доступ, взламывать принадлежащие сотрудникам гаджеты.

Избежать попыток проникновения практически невозможно. Если злоумышленникам нужен доступ к определенным ресурсам, они будут регулярно проводить комбинированные атаки. Всегда существует вероятность, что одна из многочисленных проведенных атак обеспечит нужный результат.

По наблюдениям специалистов ведущих антивирусных лабораторий, наибольшему риску подвержены правительственные ведомства, финансовый сектор, энергетическая и космическая отрасли, телекоммуникационные и ИТ-компании, предприятия военно-оборонительного комплекса, образовательные и научные учреждения, видные общественные и политические деятели.

Список систем на которые чаще всего проводятся таргетированные атаки:

  • Отделы научно-исследовательских и опытно-конструкторских работ (НИОКР), эти отделы должны иметь высокий уровень защиты, но чаще всего это не так.
  • Управляющие офисы компаний. Большинство компаний уязвимо к действиям инсайдеров, находящимися в сговоре со злоумышленниками и имеющими физический доступ к компьютерам.
  • ЦОД – в данных системах используются сервера на которых запущены множество приложений, для них нужно обеспечить безопасное функционирование, это и является основной проблемой.
  • При росте компании, расширяется сеть поставщиков, у которых низкий уровень защиты компьютерных систем. Таргетированная атака может быть проведена через них.
  • Атаки на производство. Не все производства оснащены современным оборудованием, на множестве используется старые специализированные системы, объединенные в сети. Их безопасность сложно контролировать, чем стараются пользоваться киберпреступники.
  • Компьютерные сети офисов. Для повышения эффективности работы сотрудников, все устройства объединяются единую сеть, это предоставляет широкое поле для деятельности хакеров.
  • Маркетинговые планы. Целью атак является получение списка клиентов, планов продаж, и нанесение удара по репутации компании.
  • Смартфоны и планшеты. Это безусловно головная боль отделов информационной безопасности любой компании. Обойтись без гаджетов невозможно, при этом в памяти устройств может хранится много ценной и конфиденциальной информации, паролей доступа, которые становятся целью преступников.
  • Атаки на базы данных проводятся с целью получения важной информации, для достижения результата могут быть использованы администратор баз данных.

Источники таргетированных атак

Для достижения собственных целей преступники используют все доступные средства. Можно выделить несколько основных векторов таргетированных атак:

  • Несанкционированный доступ к офисной технике, а также использование техники, которая уже заражена киберпреступниками.
  • Центры обработки и базы данных в большинстве своем обеспечивают приемлемый уровень безопасности, их уязвимые места связаны с функционированием серверного оборудования и установленного на нем софта.
  • Разветвленные локальные сети благодаря развитию технологий позволяют злоумышленникам в случае подключения к одному из устройств (это может быть компьютер, факс, принтер или МФУ) спокойно перемещаться внутри корпоративной сети.
  • Использование смартфонов и прочей персональной электроники в рабочих целях и внутри корпоративной сети может стать слабым звеном в защите и отправной точкой в развитии атаки.

Анализ риска таргетированных атак

Маловероятно, что целевая атака будет применена против рядовых пользователей ПК, если они не являются сотрудниками компаний. Целью атаки может стать любая информация, это зависит от сферы деятельности компании. Чаще всего таргетированные акты совершаются для получения промышленных секретов, персональных и платежных данных. Многие крупные бизнесмены и руководители предприятий предполагают, что однажды подобная атака может быть проведена и на их организацию.

Сегодня известно о более чем ста проводящих целевые атаки группировках. От их действий страдают государственные и коммерческие структуры в 85 странах. Такое широкое распространение объясняется оптимизацией средств взлома, что приводит к упрощению и удешевлению проведения вредоносных операций.

Производители средств информационной безопасности постоянно совершенствуют средства для противодействия таргетированным атакам. Разрабатываются специализированные продукты, направленные не на поиск неизвестных образцов вредоносного кода, а на выявление подозрительной активности. Это объясняется тем, что при атаках не всегда используется вредоносные программы, а могут быть задействованы вполне легальные средства. Отдельные модули анализируют загружаемые из Интернета файлы, сетевую активность и поведение пользователей на рабочих станций. Наиболее эффективными являются комплексные решения, отдельные компоненты которых предоставляют злоумышленникам ложные наборы данных и целей.

Полностью обезопасить себя от таргетированных атак невозможно. Так, если преступник планирует получить доступ к данным компании, то может вести атаки в течении долгих месяцев или лет. При этом проводить не одну, а несколько атак. Не имея ограничения во времени, он тщательно проверяет возможность обнаружения вредоносных программ со стороны антивирусов, при необходимости модифицирует их. На подготовительный этап атаки приходятся основные время затраты, а вот сама атака занимает считанные минуты. Вероятность того, что атака будет успешной – очень велика.

Обнаружение таргетированной атаки очень сложная и комплексная задача. При этом факт проникновения в систему может оставаться незамеченным долгое время. В связи с этим очень сложно оценить общее число атак проводимых по всему миру.