Точнее некуда: как готовятся изощренные атаки на банки и госорганы
Изощренные кибератаки на конкретные организации, получившие сокращенное название APT, редко удается отразить вовремя. С 2020 по 2021 год количество таких инцидентов увеличилось почти на 45%, сообщила ИБ-компания CrowdStrike, которая отслеживает более 170 APT-групп. Как правило, атаку готовит целая команда, включая наемных программистов, не всегда догадывающихся о преступных целях своего заказчика. За такими группировками нередко стоят щедрые спонсоры. В результате от APT страдают больницы, банки, ядерные предприятия, сети электроэнергии и другая критическая инфраструктура. Подробнее — в материале «Известий».
Что такое APТ
Усовершенствованные постоянные угрозы (Advanced Persistent Threat, APT) — это тщательно спланированная целевая атака, при которой злоумышленники незаметно внедряются в сеть для получения денежных средств, шпионажа или диверсии и находятся там длительное время.
Обычно целью хакеров является конкретное учреждение: банк, правительственный или дипломатический орган, подрядчик в сфере обороны, IT-компания и т.д. Злоумышленники, которые прорабатывает APT, не пытаются действовать наскоком, а долго разбираются, выискивая возможные пути заражения компании.
Современные атаки готовятся большими распределенными командами злоумышленников, у каждого из которых есть четкая функция, и каждый из них специалист в чем-то своем, отметил руководитель направления информационной безопасности компании iTPROTECT Кай Михайлов. Команда АРТ может состоять либо из собственных программистов, либо из нанимаемых со стороны, уточнила руководитель группы исследования сложных угроз департамента Threat Intelligence Group-IB Анастасия Тихонова.
— Иногда наемники даже не подозревают, на кого работают. Например, программиста просят написать кусочек кода, чтобы якобы заняться аудитом, протестировать систему. Но оказывается, что человек создал программу, которая обходит антивирусный продукт для вывода денег. Правительственные группировки вербуют начинающих хакеров прямо со студенческой скамьи, — поделилась эксперт.
Часто атаку готовит несколько десятков человек, и у каждого есть свои обязанности: разведка в целевой организации, исследование уязвимостей, подготовка вредоносного кода, перечислил руководитель отдела исследования ИБ-угроз Positive Technologies Денис Кувшинов. По его словам, альтернативой может стать покупка кода для эксплуатации уязвимости, его стоимость на черном рынке варьируется от нескольких сотен тысяч до нескольких миллионов долларов.
Обычно APT-команда хорошо финансируется (нередко государством). Как минимум у нее есть средства на покупку уязвимости нулевого дня, на разработку собственных ресурсов или приобретение фреймворка (готовой модели, на основе которой можно написать свой код).
Деньги и власть
Специалист Group-IB Анастасия Тихонова выделяет два типа атакующих в сфере APT. Целью первых является извлечение финансовой выгоды. Это хакерские группировки Cobalt, MoneyTaker, FIN7 и др. Их жертвами часто становятся финансовые организации по всему миру. Так, первым большим успехом Cobalt стал First Bank на Тайване — в 2016 году хакерам удалось похитить $2,18 млн из 34 банкоматов.
В декабре 2017-го произошла атака через SWIFT в российском банке, ставшая первым подобным прецедентом в истории отечественной банковской индустрии. Или другой пример — в 2020 году известная русскоязычная команда FIN7 начала атаковать крупные американские компании, прикидываясь легальной организацией по кибербезопасности. Злоумышленники разработали программу, которая маскируется под инструмент для анализа защищенности сетей Windows.
Второй вид хакеров занимается шпионажем, кражей интеллектуальной собственности и гостайн, а также периодически устраивает диверсии, например, отключение электроэнергии.
— В самом начале эпидемии коронавируса активно развивались атаки на медицинские учреждения, потому что хакеры хотели поскорее получить информацию о вакцинах. Это своего рода эффект устрашения — дойти до критической структуры и показать «смотри, что я могу», — говорит Анастасия Тихонова.
Атакующие явно не стесняются при выборе цели. Наиболее известная и сложная APT-атака была проведена с помощью вируса Stuxnet в 2010 году на иранскую ядерную программу, рассказал эксперт Positive Technologies Денис Кувшинов.
— Вирус использовал четыре уязвимости нулевого дня и мог распространяться через USB-накопители и работал строго в определенной инфраструктуре. Спустя годы этот вирус обнаруживался на других предприятиях, однако там он оставался «спящим» и не вносящим деструктива, — отметил собеседник.
Вторая по значимости — атака с использованием вредоносного программного обеспечения Industroyer, которое специально разработало для атак на электрические сети. Предполагается, что именно от этого вируса в 2016 году пострадала энергосистема в Киеве. В этом году была обнаружена новая версия Industroyer 2, добавил эксперт.
Согласно исследованию «Лаборатории Касперского», геополитика является ключевой движущей силой развития APT, а кибершпионаж продолжает оставаться основной целью таких атак.
Слабые звенья
У каждой группы свои методы проникновения, пояснил Денис Кувшинов. Одни предпочитают рассылать фишинговые сообщения на почту сотрудникам, другие нацелены на взлом внешних ресурсов, самое простое — сайта. К более сложным тактикам эксперт относит trusted relationship — вторжение через менее защищенные дочерние организации. В этом случае злоумышленники пользуются тем, что у целевой компании и филиалов может быть общий сегмент сети и учетные записи с уровнем привилегий «Администратор». Другая модель получила название watering hole — это взлом популярного сайта, на котором будет размещен вредоносный код, который заразит всех посетителей сайта.
Ведущий инженер R-Vision Антон Кузнецов отметил еще одной лазейку: если сайт написан на PHP (распространенный язык программирования с открытым исходным кодом) и нет соответствующих проверок, то c помощью запроса можно извлечь информацию по учетным записям пользователей и любую другие сведения из сервера.
Иногда опасность исходит от бывших сотрудников компании. Таким примером с «Известиями» поделился руководитель направления информационной безопасности iTPROTECT Кай Михайлов:
— Логистическая компания обратилась к нам после того, как подверглась шифрованию, и ей пришлось заплатить большую сумму денег для восстановления ключевой базы данных. Длительный простой такой базы может привести к тому, что клиенты начнут искать другие пути доставки грузов, и вернуть их обратно очень тяжело. Расследование показало, что исходным зачинщиком атаки стал недавно уволенный системный администратор, который решил таким образом «наказать» компанию. В процессе расследования в сети нашлись трояны и RAT-программы, которые были установлены бывшим администратором на серверах незадолго до увольнения.
Еще один кейс iTPROTECT связан с социальной инженерией — злоумышленнику удалось наладить контакт с главным бухгалтером достаточно крупной компании. Подружившись с женщиной в соцсетях, он смог войти в доверие и со временем предложил ей обойти запрет на использование соцсетей в периметре компании. Он удаленно установил ей VPN-программу на рабочий компьютер, а заодно (о чем уже не догадывалась женщина) систему удаленного администрирования, через которую смог долгое время наблюдать за всем происходящим в компании.
— В итоге злоумышленник воспользовался моментом, когда женщина ушла на обед. В usb-порт компьютера был вставлен токен от клиент-банка, в это время он попытался совершить платеж на довольно крупную сумму. По счастливой случайности в реквизитах была допущена ошибка, и платежка вернулась. Этот возврат как раз позволил провести расследование сразу же, а не спустя какое-то время, когда все следы удалось бы замести, — рассказал Кай Михайлов.
Задача APT-группировок — надежно закрепиться в системе, чтобы максимально долго оставаться незамеченными, продвигаться по инфраструктуре и собирать данные об организации и ее пользователях, отметил Антон Кузнецов. Полноценно избавиться от APT крайне трудно, так как атаки направлены на обход всех возможных средств защиты, подчеркнул эксперт R-Vision. По его мнению, оптимальное решение — использование искусственно эмулированных систем, которые реагируют при попадании в них злоумышленников и сообщают об этом специалистам ИБ, позволяя заметить атаку до ее развития. Кроме того, необходима просветительская работа с персоналом. Главное правило — быть бдительным и не стесняться сообщать о любых подозрительных ресурсах.