Целевые атаки (включая APT)

Целевые атаки — это любые нападения киберпреступников на конкретную выбранную ими цель. Такие операции противопоставляются массовым атакам с помощью вирусов или других вредоносных программ, где жертва выбирается по принципу доступности. Обнаружив сопротивление, робот массовой атаки отступает и переключается на другую, хуже защищенную цель.

Для целевых же атак характерен взлом и обход защиты жертвы со все более глубоким проникновением в информационную систему. Если массовая атака обычно направлена против индивидуальных пользователей интернета, то целевая — против корпоративных сетей. Среди целевых нападений ярко выделяются атаки типа APT (Advanced Persistent Threat) — усовершенствованный сценарий, в котором используются уязвимости 0-day, пробивающие любую защиту. Данный тип атаки очень дорогостоящ и требует привлечения высококлассных специалистов. Наиболее известная APT-атака — внедрение червя Stuxnet и нарушение работы иранских ядерных комплексов с его помощью.

Целевые атаки

Вообще целевая атака может быть простой в техническом плане, однако пройти успешно с учетом всех особенностей атакуемой жертвы. Таким образом, APT — это всегда целевая атака, но далеко не каждая целевая атака — это APT.

Традиционно целевая атака проводится в несколько этапов: анализ «поверхности» проникновения в информационную систему; эксплуатация уязвимости с установкой на устройства жертвы дистанционно управляемого ПО; закрепление в системе с подавлением средств защиты, блокировкой контрольных систем и уничтожением следов проникновения; установка целевого ПО и его эксплуатация. Задачи целевых атак могут быть самыми разнообразными: получение доступа к секретной информации, вмешательство в работу ключевых систем жертвы, вывод оборудования из строя или нанесение другого вреда. Часто основной мишенью для целевой атаки является не компьютерная система, а сам бизнес как таковой.

Классификация и способы целевых атак

Можно выделить следующие типы атак:

  • Атака на конкретное предприятие. Основной задачей здесь является проникновение в информационную систему компании. Обычно производится рассылка сообщений с вредоносными вложениями, которая направлена на всех сотрудников компании и партнеров, с которыми у предприятия установлены доверительные отношения. Атакованы могут быть как рядовые сотрудники, так и руководство. 
  • «Охота на китов» (англ. whaling). Это — атака на топ-менеджмент компании с целью получения доступа к экономической или стратегической информации. Часто нападение производится с помощью сайтов, которые посещают руководители компаний определенного сектора экономики. Такие атаки могут быть связаны со шпионажем или конкурентной разведкой.
  • Атака на отрасли экономики — масштабный вид, нацеленный на крупные организации — например, научно-исследовательские институты. Целью является хищение ценной информации. Как правило, подобные атаки проводятся под заказ.
  • «Цепочка» (англ. Kill Chain). Кибератака изначально может быть проведена против людей, никак напрямую не связанных с целевой организацией — например, семьи одного из сотрудников. В таком случае заражению подвергается сперва компьютерная система супруга или супруги (доверенного лица) сотрудника организации, далее от их имени отправляется ссылка на какую-либо интересную новость или фото, после чего проникновение в систему продвигается по цепочке вплоть до достижения желаемой цели.

Таким образом, нападение может быть выполнено либо через электронную почту, либо через веб-ресурсы с загрузкой вредоносных компонентов из интернета.

Объект воздействия

Когда вредоносный объект установлен на устройство жертвы, дальнейшая атака уже ведется вручную в несколько этапов: изучение, проникновение, закрепление. Например, изучаться могут внутренняя структура сети, подключенные АСУ ТП, системы дистанционного банковского обслуживания, торговые приложения, инженерные разработки и многое другое. Собственно, по цели каждой следующей стадии можно идентифицировать того, кто пытается получить доступ к ценной информации. Поэтому целевые атаки поддаются классификации по объектам воздействия:

  • Атака, нацеленная на кражу денежных средств. Подобным нападениям подвержены банки, компании крупного бизнеса.
  • Финансовая информация. В любой компании есть финансовая система — сервис «клиент-банк», торговая площадка, бухгалтерская база данных. Получив доступ к этой информации или контроль над приложениями, злоумышленники могут ограбить саму компанию или ее клиентов. 
  • Производственные секреты. Для воровства производственных секретов обычно необходимо атаковать системы разработки инженерных проектов, то есть приложения класса САПР. Такие атаки обычно выполняются под заказ конкурентов или государственных разведок с целью промышленного шпионажа.
  • Саботаж. Нанесение какого-либо ущерба работоспособности производственных систем АСУ ТП — цель кибертеррористов или кибервойск иностранных государств. Бизнес-модель таких нападений просчитать сложно, поскольку она не выражается в деньгах.
  • Персональные данные. Если модули контроля были установлены злоумышленниками в офисных системах, то целью, скорее всего, являются персональные данные клиентов, сотрудников или партнеров. В частности, утечки сообщений электронной почты можно отнести именно к этому типу атак. Если компания была использована как плацдарм для нападения на партнеров, то также атакуются офисные системы. Конечная цель киберпреступников — продать информацию на черном рынке.
  • Есть примеры целевых атак, когда злоумышленники использовали системы предприятия в своих целях. Например, колумбийский наркокартель взломал АСУ ТП порта, и нужные контейнеры с наркотиками автоматически ставились в определенные места, где их забирали заказчики.

Для того чтобы затруднить хакерам развитие атаки, стоит как минимум сегментировать сеть, выделив и особо защитив зоны с наиболее ценной информацией. Впрочем, можно поставить и несколько ловушек или приманок (ханипотов), чтобы затруднить злоумышленникам изучение внутренней структуры сети.

Источник угрозы

Основным источником угрозы является сложность современных информационных технологий, которые очень открыты и позволяют использовать технологии самым неожиданным образом — например, встроив вредоносное приложение в офисный документ. Не всегда средства защиты, которые работают на шлюзе, могут распознать вредоносный код, нацеленный против приложения на рабочем месте сотрудника. При этом вариантов различных вложений, присоединений, параллельных загрузок оказывается так много, что отдельные устройства защиты уже не могут достоверно определить вредоносность передаваемой через них информации.

Основная масса целевых атак проводится через интернет. Для этого злоумышленники могут заразить сайт, который часто посещают потенциальные жертвы, после чего происходит инфицирование компьютерных систем и последующее проникновение вредоносного кода. Также возможно проведение атаки через социальные сети или мессенджеры, когда от человека из списка контактов приходит ссылка с «интересным содержимым». Вполне понятно, к чему приведет переход по такой ссылке.

Анализ риска

Некоторое время назад целевые атаки стали весьма популярной темой, подогревающей интерес к информационной безопасности. В результате производители средств защиты выработали несколько инструментов для детектирования целенаправленных атак. Можно указать следующие примеры:

  • Песочница. Это — виртуальная среда, имитирующая рабочее место сотрудника со всеми установленными программами и компонентами. Файлы и приложения запускаются в ней, после чего аналитический алгоритм или специалист по ИБ изучает их поведение. Если объект ведет себя странно, то его можно заблокировать или передать на подробное изучение в лабораторию производителя.
  • Репутация. Если файл уже был кем-то или чем-то проверен (в том числе — в песочнице), для него формируется цифровой отпечаток. Когда пользователь запрашивает файл, шлюз может проверить репутацию последнего и в случае подозрений заблокировать передачу. Если же сведений об объекте в базе нет, то файл пропускается, но передается на анализ в песочницу. Репутация может быть определена также и для сайтов или сообщений электронной почты.
  • HIPS, или контроль поведения программ. На конечных станциях могут быть установлены специальные агенты, которые отслеживают и ограничивают потенциально опасные действия приложений. Например, так можно защититься от вируса-шифровальщика, который начинает преобразовывать или уничтожать множество файлов. Хотя средства этого типа не предназначены предотвращать заражение вредоносной программой, они могут блокировать ее активность.
  • SIEM, или управление событиями безопасности. Этот механизм не предотвращает атаки, но может обнаружить факт их совершения, выявить путь угрозы и тем самым определить уязвимые точки системы. SIEM-решение собирает информацию из различных источников с целью найти во всех этих данных признаки целенаправленного нападения. Системы данного типа очень сложны в настройке и дают множество ложных срабатываний, но в случае реальной атаки могут заметно помочь в расследовании инцидентов и выявлении уязвимых мест информационной системы для их последующего устранения.
  • UEBA, или поведенческий анализ действий пользователей и информационных сущностей. Благодаря данной технологии обнаруживаются аномалии поведения, которые могут указывать на потенциальные угрозы безопасности. UEBA — эффективное средство обнаружения целевых атак и другой злонамеренной активности.

Следует отметить, что это — далеко не полный список инструментов, которые помогают обнаружить целевую атаку, поскольку традиционные средства защиты, такие как антивирусы и межсетевые экраны, также могут оказаться небесполезными. Теоретически противостоять целевым атакам должна комплексная система безопасности, которая, получив информацию от различных средств защиты и проанализировав ее, могла бы выявить признаки целенаправленных вредоносных действий против конкретной системы. Попытки создания подобных комплексных продуктов ведутся, однако проблемой является конкуренция между производителями. Закупать все средства защиты у одного производителя не всегда возможно, а комплексных систем, эффективно работающих с решениями всех поставщиков, пока разработать не удалось, поскольку еще не созданы общие стандарты представления информации об инцидентах и протоколы управления. В результате выявить и обезвредить распределенную по времени атаку оказывается весьма сложно.

Защита от целевых атак — это комплексная задача, которую нельзя решить используя какой-либо один продукт. Для достижения цели требуется применять весь спектр средств обеспечения информационной безопасности; только в этом случае можно повысить процент успешного обнаружения и нейтрализации атак.