ЛК выявила новые характеристики атак, поддерживаемых правительствами

Александр Панасенко 12 Марта 2015 - 10:24

...

В процессе изучения вредоносной платформы EquationDrug, использовавшейся в атаках нашумевшей Equation Group, специалисты «Лаборатории Касперского» выявили ряд новых особенностей, которые отличают спонсируемые государствами кампании кибершпионажа от рядовых киберпреступных операций.

Атаки, поддерживаемые государственными органами, становятся все более сложными: организаторы не только тщательно отбирают интересующих их жертв, но также стремятся к увеличению числа программных компонентов используемой платформы, что позволяет как можно дольше скрывать свое присутствие в зараженной системе. Именно такой подход позволяет атакующим без помех осуществлять свои операции кибершпионажа на протяжении многих лет.

Самые современные платформы для атак имеют множество встраиваемых модулей, позволяющих применять широкий спектр вредоносных инструментов и, более того, подбирать наиболее подходящий набор зловредов в зависимости от особенностей конкретной жертвы и той информации, которой она владеет. Так, платформа EquationDrug, по оценкам «Лаборатории Касперского», содержит 116 различных программных модулей.

Помимо этого, спонсируемые государствами кампании заметно отличаются от прочих атак своими масштабами. Как известно, киберпреступники стремятся охватить как можно больше пользователей, именно поэтому они часто используют массовые рассылки сообщений с вредоносными вложениями или целенаправленно заражают популярные сайты. В отличие от них, атакующие, поддерживаемые правительствами, наносят точные и хорошо продуманные удары по небольшому числу заранее избранных жертв.

В качестве «оружия» в подобных атаках всегда используются уникальные вредоносные программы, создаваемые с учетом потребностей операции. Организаторы даже могут установить настройки, запрещающие использование зловреда за пределами конкретного зараженного компьютера. В то же время рядовые киберпреступники обычно не брезгуют использовать возможности открытого и доступного вредоносного кода, например, распространенных троянцев Zeus или Carberp.

Киберпреступники способны заразить тысячи пользователей по всему миру, но они не имеют возможности проанализировать, кто их жертвы и какой информацией они владеют, поэтому они применяют универсальное вредоносное ПО, запрограммированное на кражу наиболее ценной информации: паролей, номеров кредитных карт и т.п. В таких случаях злоумышленники также стремятся как можно скорее отправить данные с зараженного компьютера на свой сервер – и именно эти особенности привлекают внимание защитных программ, установленных на компьютерах потенциальных жертв.

В свою очередь, специалисты, стоящие за кибератаками с государственной поддержкой, обладают всеми необходимыми ресурсами для сбора и хранения на зараженном компьютере всей интересующей их информации – они не ограничены ни во времени, ни в объемах собираемых данных. Эти атакующие не привлекают внимание защитного ПО, поскольку старательно избегают заражения случайных пользователей. Зачастую они применяют инструменты удаленного контроля системы, которые позволяют копировать любую информацию в любых объемах. Однако слабое место есть и в этом подходе – перемещение больших массивов данных способно замедлить сетевое соединение, что в свою очередь может вызвать подозрение.

«Организаторы финансируемых государствами атак, стремятся создавать более стабильные, надежные и незаметные инструменты кибершпионажа, и связано это с тем, что эксперты в области информационной безопасности все чаще стали обнаруживать их деятельность. Именно поэтому теперь больше внимания они уделяют такому способу «упаковки» вредоносного кода, который позволял бы им на лету подстраиваться под конкретные системы жертв и обеспечивал бы возможность хранить все компоненты и данные в зашифрованном виде. Другими словами, поддерживаемые правительствами кампании кибершпионажа сегодня опираются в первую очередь на многомодульность и сложность архитектуры платформ для атак, и уже потом – на их функциональность», – поясняет Костин Райю, руководитель глобального центра исследований и анализа угроз «Лаборатории Касперского».

Следующая главная новость »

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Яков Шпунт 16 Декабря 2025 - 09:50

Соответствие законодательству РФ Малый и средний бизнес Корпорации Услуги по информационной безопасности Услуги по аутсорсингу информационной безопасности Услуги коммерческих Security Operations Center (SOC)Соответствие требованиям регуляторов

Каждая десятая компания в России отказывается от создания SOC

Каждая десятая организация в России отказывается от создания центров мониторинга и реагирования на инциденты информационной безопасности (Security Operation Center, SOC). Наибольшая доля таких компаний приходится на госсектор — 36%. Основная причина отказа — высокая стоимость развертывания и последующей эксплуатации SOC.

Такую статистику привёл «Ведомостям» и. о. директора и архитектор по информационной безопасности UserGate Дмитрий Овчинников.

В исследовании UserGate приняли участие 318 компаний из разных отраслей и разного масштаба. При этом малый бизнес с годовой выручкой до 800 млн рублей заметно чаще отказывается от создания или аренды SOC — таких компаний 30%. Среди средних и крупных организаций доля отказов значительно ниже и составляет 17%.

К услугам внешних SOC-провайдеров чаще всего готовы обращаться компании, для которых критично сокращение времени реагирования на инциденты. К этой группе относится и часть государственных организаций, рассматривающих внедрение SOC. В то же время 28% опрошенных заявили, что не готовы доверять функции мониторинга и реагирования сторонним подрядчикам.

40% респондентов не планируют внедрять SOC, поскольку не видят в этом необходимости — например, не считают риски информационной безопасности значимыми. Ещё треть компаний уверены, что уже реализованные меры защиты являются достаточными. 17% отказываются от SOC из-за высокой стоимости таких проектов, а 14% — по причине их сложности или нехватки профильных компетенций.

Как отметила бизнес-партнёр по кибербезопасности Cloud.ru Юлия Липатникова, строительство SOC остаётся прерогативой крупного бизнеса. Реализация такого проекта может занимать до полутора лет и требует серьёзных инвестиций. Компаниям приходится самостоятельно закупать целый комплекс решений для мониторинга инцидентов, а также формировать штат высококвалифицированных и дорогостоящих инженеров и аналитиков.

Директор департамента расследований T.Hunter Игорь Бедеров подчеркнул, что долю в 10% организаций, отказывающихся от SOC, нельзя недооценивать. По его словам, это тревожный сигнал, особенно с учётом того, что каждая пятая успешная атака на российские компании относится к категории массовых.

По мнению Игоря Бедерова, основные аргументы против внедрения SOC обычно сводятся к двум тезисам: «у нас мало инцидентов» и «это слишком дорого». Однако небольшое количество выявленных инцидентов чаще всего говорит не об их отсутствии, а о невозможности их обнаружения. Тем более что даже при массовых атаках злоумышленники всё чаще маскируют свою активность под легитимные события.

Стоимость создания собственного SOC Игорь Бедеров оценивает в 30–50 млн рублей в год. При этом на рынке уже существуют более гибкие подходы — от полностью аутсорсинговых моделей до различных гибридных вариантов, позволяющих заметно снизить капитальные затраты.

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »