Целевые атаки (APT)

Целевые атаки - это любое нападение киберпреступников на конкретную выбранную ими цель. Она противопоставляется массовой атаке с помощью вирусов или других вредоносных программ, в которой жертва выбирается по доступности. Робот массовой атаки если обнаруживает сопротивление, то он отступает и переключается на другую, более доступную цель.

Для целевых же атак характерен взлом и обход защиты жертвы со все более глубоким проникновением в информационную систему. Как правило, массовая атака нацелена против индивидуальных пользователей Интернет, в то время как целевая - против корпоративных сетей. Среди целевых атак ярко выделяются атаки APT (Advanced Persistent Threat) - это продвинутый вариант целевой атаки, когда используются уязвимости 0-day уязвимости, пробивают любую защиту.

Целевые атаки

Данный тип атаки очень дорогостоящий и требует привлечения высококлассных специалистов. Наиболее популярная APT атака, которая у всех на слуху - Stuxnet. Что же касается целевых атак, то она может быть простой в техническом плане, однако проведена успешно с учетом всех особенностей атакуемой жертвы. APT - всегда целевая атака. Но далеко не каждая целевая атак - APT.

Традиционно целевая атака проводится в несколько этапов: исследование, во время которого проводится анализ поверхности проникновения в информационную систему; эксплуатация уязвимости с установкой на устройства жертвы дистанционно управляемого ПО; закрепление в системе с подавлением средств защиты, блокировкой контрольных систем и уничтожением следов проникновения; установка целевого ПО и его эксплуатация. Цели у целевых атак могут быть самые разнообразные: получение доступа к секретной информации, вмешательство в работу ключевых систем жертвы, вывод из строя оборудования жертвы или нанесение другого вреда. То есть часто основной мишенью для целевой атаки является не компьютерные системы, а сам бизнес целиком.

Классификация и способы целевых атак

Можно выделить следующие типы атак:

  • Атака на конкретное предприятие. Целью такой атаки является проникновение в информационную систему компании. Обычно производится с помощью рассылки сообщений с вредоносными вложениями, которая направлена на всех сотрудников компании и партнеров, с которыми у компании установлены доверительные отношения. Атакованы могут быть как рядовые сотрудники, так и руководство. Такие атаки выполняются под заказ или по приказу.
  • Охота на китов (whaling). Это атака на руководство компаний с целью получения доступа к экономической или стратегической информации компании. Часто производится с помощью сайтов, которые посещают руководители компаний определенного сектора экономики. Часто такие атаки связаны со шпионажем или конкурентной разведкой, однако без конкретной цели - только отрасль или отдельные сегменты.
  • Атака на отрасли экономики - масштабный вид атаки, нацеленный на крупные организации. например Научно Исследовательские Институты, целью атак является хищение ценной информации. Как правило подобные атаки проводятся под заказ.
  • Kill Chain. Кибератака изначально может быть проведена на людей никак напрямую не связанных с целевой организацией, например, на семью одного из сотрудников. В таком случае заражению подвергается сперва компьютерная система супруга или супруги (доверенного лица) сотрудника организации, далее от его/ее имени высылается ссылка на какую-либо интересную новость/фото, после чего проникновение в систему продвигается по цепочке, до достижения желаемой цели.

Таким образом, проникновение может быть выполнено либо через электронную почту, либо через веб с загрузкой вредоносных компонент.

Объект воздействия

Когда вредонос установлен на устройство жертвы дальнейшая атака уже выполняется в ручном режиме в несколько стадий, состоящих из изучения, проникновения, закрепления. Изучаться могут внутренняя структура сети, подключенные АСУ ТП, системы клиент-банк, торговые приложения, инженерные разработки и многое другое. Собственно, по цели каждой следующей стадии можно идентифицировать того, кто пытается получить доступ к ценной информации. Поэтому целевые атаки можно классифицировать по объектам воздействия так:

  • Атака нацеленная на кражу средств. Подобные атаки проводятся на банки, крупные компании с целью кражи денег со счетов.
  • Финансовая информация. В любой компании есть финансовая система, позволяющая вести бизнес. Как правило, это система клиент-банк, но для ретейла это еще и торговые системы. Получив доступ к этой информации или контроль над приложениями злоумышленники могут ограбить саму компанию или ее клиентов. Такими типами нападений занимаются киберпреступники.
  • Производственные секреты. Для воровства производственных секретов обычно необходимо атаковать системы разработки инженерных проектов, то есть приложения класса САПР. Такие атаки обычно выполняются под заказ конкурентов или государственных разведок с целью промышленного шпионажа.
  • Саботаж. Если же злоумышленники направились в сторону производственных систем АСУ ТП, то это могут быть либо кибертеррористы, либо кибервойска иностранных государств. Цель таких атак не в получении данных, но в нарушении работоспособности технологических процессов. Бизнес-модель таких нападений просчитать сложно, поскольку она не выражается в деньгах.
  • Персональные данные. Если модули контроля были установлены злоумышленниками в офисных системах, то целью, скорее всего, являются персональные данные клиентов, сотрудников или партнеров. В частности, утечки сообщений электронной почты можно отнести к этому типу атак, хотя чаще переписка утекает с публичных почтовых серверов. Если компания была использована как плацдарм для нападения на партнеров, то также атакуются офисные системы. Атаки такого типа занимается киберкриминал, поскольку уже сформирован рынок по продаже персональных данных. Цель - украсть данные, а потом продать их на черном рынке.
  • Есть примеры целевых атак, когда злоумышленники использовали системы предприятия в своих целях. Например, колумбийский картель сломал АСУ ТП порта и нужные контейнеры с наркотиками ставили в определенной место автоматически, где его забирали заказчики.

Для того, чтобы затруднить хакерам развитие атаки стоит как минимум сегментировать сеть, выделив и защитив отдельно зоны с наиболее ценной информацией. Впрочем, можно поставить и несколько ловушек с говорящими названиями, чтобы затруднить злоумышленникам изучение внутренней структуры.

Источник угрозы

Основным источником угрозы является сложность современных информационных технологий, которые являются очень открытыми и позволяют использовать технологии самым неожиданным образом. Например, встроив вредоносное приложение в JavaScript, в сложном PDF-файле с шифрованным содержимого, который отправляется по почте, вредоносная программа может быть замаскирована также под doc и xls файлы .  Не всегда средства защиты, которые работают на шлюзе, могут распознать вредоносный код, нацеленный против приложения на рабочем месте сотрудника. При этом вариантов различных вложений, присоединений, параллельных загрузок оказывается так много, что отдельные устройства защиты уже не могут достоверно определить вредоносность передаваемой через них информации.

Основная масса  целевых атак проводится через интернет. Для этого злоумышленники могут заразить сайт, который часто посещают потенциальные жертвы, после чего происходит заражение компьютерных систем и проникновение. Также возможно проведение атаки через социальные сети или мессенджеры, когда от человека из списка контактов приходит ссылка с “интересным содержимым.” Вполне понятно к чему приведет переход по такой ссылке.

Анализ риска

Некоторое время назад целевые атаки стали достаточно популярной темой, подогревающей интерес к информационной безопасности. В результате, производители средств защиты выработали несколько инструментов для детектирования целенаправленных атак. Можно указать следующие элементы защиты:

  • Песочница. Это виртуальная среда, имитирующая рабочее место сотрудника со всеми установленными программами и компонентами. В ней запускается соответствующее приложение для обработки сообщений и контролируется его поведение. Если приложение ведет себя как-то неадекватно, то сообщение можно заблокировать или передать на подробное изучение в лабораторию производителя. Песочница работает работает  слишком медленно, поэтому вердикт от нее можно получить уже после загрузки файла.
  • Репутация. Для веб более действенной может оказаться механизм репутации, когда файл уже раньше был проверен, в том числе и в песочнице, для него сформирован отпечаток, по которому и устанавливается репутация файла. Когда браузер запрашивает файл, то шлюз может проверить его репутацию и в случае подозрений - заблокировать. Если же файла в базе нет, то первый файл пропускается, но передается на анализ в песочницу, чтобы в следующий раз уже более точно знать его репутацию. Работает только для атак типа "охота на китов", которые, собственно, и организуются через веб. Репутация может быть определена не только для файлов, но и для сайтов, и для сообщений электронной почты.
  • HIPS или контроль поведения программ. На конечных станциях могут быть установлены специальные агенты, которые контролируют поведение программ. Если программа начинает вести себя как-то подозрительно, то её действия могут быть заблокированы. Например, так можно защититься от шифровальщика, который начинает уничтожать слишком много файлов. Защита этого типа не предотвращает заражение вредоносной программой, но пытается заблокировать само вредоносное действие.
  • SIEM или управление событиями безопасности. Сразу отмечу, что этот механизм не предотвращает атаки, но может обнаружить факт её совершения, выявить путь угрозы и тем самым обнаружить уязвимые точки системы. Этот инструмент собирает информацию из различных источников - песочницы, репутационного сервера, HIPS на местах, межсетевых экранов, антивирусов и множества других средств защиты с целью обнаружить во всех этих данных признаки целенаправленного нападения. Системы этого типа очень сложны в настройке и дают множество ложных срабатываний, но в случае реальной атаки могут сильно помочь в расследовании инцидентов и выявлении уязвимых мест информационной систем для их последующего устранения.
  • UEBA - поведенческий анализ действий пользователя, благодаря данной технологии отмечаются аномалии поведения указывая на потенциальные угрозы безопасности. Эффективное средство для обнаружения целевых атак и злонамеренной активности.

Следует отметить, что это далеко не полный список инструментов, которые помогают обнаружить целевую атаки, поскольку традиционные средства защиты, такие как антивирусы и межсетевые экраны, также могут оказаться в этом не бесполезны. Теоретически противостоять целевым атакам должна комплексная система безопасности, которая, получив информацию от различных средств защиты и проанализировав ее, могла бы выявить признаки целенаправленной атаки против конкретной системы. Попытки создания подобных комплексных продуктов защиты ведутся, однако проблемой является конкуренция между производителями. Покупать все средства защиты от одного производителя не всегда возможно, а комплексных систем, эффективно работающих со всеми производителями пока разработать не удалось, поскольку не выработаны еще общие стандарты представления информации об инцидентах и протоколы управления. В результате, распределенную по времени атаку выявить и обезвредить оказывается достаточно сложно.

Защита от таргетированных атак - это комплексная задача, которую нельзя решить используя один какой-либо продукт информационной безопасности. Для достижения цели требуется применять весь спектр средств, только в этом случае можно повысить процент успешного обнаружения атак.