APT-атаки: что делать, если компанию атакуют хакеры-профессионалы

В любом деле есть профессионалы и любители. В мире информационной безопасности также существуют хакеры, для которых взлом цифровых ресурсов – это профессия и основной, довольно денежный, источник дохода. Многие из них имеют узкую специализацию или предпочтения по целям, инструментам взлома.

«Высший эшелон» такого вида деятельности – это профессиональные хакерские группировки, с высоким уровнем организации, технического оснащения и навыков. Они не боятся трудных задач и берутся за самые защищенные цели. Их атаки принято называть APT-атаками.

В этой статье разобраны основные характеристики таргетированных атак, их отличия от обычных атак и особенности жизненного цикла, а также методы защиты и профилактики от такого вида атак.

Что такое APT-атаки

Если исходить напрямую из названия, то APT-атака – это атака, растянутая во времени (от англ. Advanced Persistent Threat). Однако, продолжительность – это только одна из фундаментальных характеристик данного класса атак.

Владимир Асташов

руководитель группы SOC направления информационной безопасности Лиги Цифровой Экономики

По моему мнению, компании сталкиваются с APT-атаками гораздо чаще, чем мы об этом узнаем, потому что открыто говорить о неудачах не принято. Немногие компании готовы рассказать, что их инфраструктура была скомпрометирована. Исключения составляют случаи, когда сведения об успешной атаке попали в СМИ. Точной статистики, разумеется, нет.

Основная сложность отражения целевой атаки в том, что такая атака готовится под конкретную организацию и тщательно планируется. Ее реализуют, как правило, злоумышленники с различной квалификацией вплоть до использования уязвимостей нулевого дня. Они долго собирают информацию о компании, в частности, о системах защиты и инфраструктуре в целом. Из-за этого проникновение может долго оставаться незамеченным и не отраженным службой информационной безопасности.

Таргетированная атака – это профессиональная хакерская атака, которая характеризуется высоким уровнем исполнения, ориентированностью на конкретную компанию и растянутостью во времени. Совокупность этих характеристик делает APT-атаки одним из самых опасных явлений в мире информационной безопасности.

Высокий уровень исполнения

Целевые атаки проводят люди, которые имеют высокий уровень компетенций. Регулярно появляется информация о том, что та или иная группировка проэксплуатировала ранее неизвестную (0-day) уязвимость в ходе атаки.

Но вопрос не только в уязвимостях. Хакеры такого уровня хорошо знакомы с принципами и некоторыми особенностями работы защитного ПО, от антивируса до SIEM-систем, используют передовые разработки из мира ВПО и часто создают либо кастомизируют софт под конкретную инфраструктуру.

Есть и вторичные признаки, которые связаны с организационными моментами, моделью взаимодействия с заказчиками и жертвами уже после выполнения атаки, возможностями в плане социальной инженерии.

Нацеленность на компанию

Именно ввиду нацеленности на конкретную организацию АПТ-атаки называют еще и таргетированными (целевыми). На практике это означает, что самой атаке предшествует долгий этап разведки и анализа данных.

В ход идут самые разные инструменты, от OSINT-исследований до подкупа или «дружбы» с бывшими или действующими сотрудниками компании, изучения ее контрагентов, известных клиентов и подрядчиков.

Александр Герасимов

CISO Awillix

В этом году известным стал случай, когда северокорейская APT-группировка атаковала некий NFT-проект, который представляет собой браузерную игру. APT-группировка несколько месяцев пыталась якобы схантить инженеров этой компании. Они переписывались, созванивались, собеседовали специалистов. В конце отправили офферы в виде DOC-файлов, в которых была полезная нагрузка. Они заразили устройство инженеров, и попали на их устройства, чтобы вытащить приватные ключи. Затем они еще какое-то время находились на устройстве одного из сотрудников, потому что его ключа не хватило. Это разделение секрета, когда получить доступ с одного ключа нельзя, нужно 2 или 3. Дождавшись удобного момента они поломали несколько серверов и вытащили деньги.

Цели можно условно поделить на объективные и субъективные. Объективные – это те, через которые можно получить доступ к реальным деньгам (биржи, банки), высоколиквидной информации (базы данных, информация о конфиденциальных разработках) или же просто чувствительной информации, за которую будет готова заплатить сама жертва (сюда же можно отнести атаки шифровальщиков).

Субъективные атаки могут быть направлены абсолютно на любую компанию, поскольку она оплачивается третьей стороной, как правило – компанией-конкурентом. Сюда же можно отнести деятельность в интересах разных государств. Базовый признак – преступник получает деньги за атаку, а не в результате ее.

Растянутость во времени

Она обусловлена двумя факторами:

1. Поэтапность. Профессиональная атака состоит из нескольких этапов, каждый из которых требует времени и ресурсов. Наибольшее количество времени тратится на разведку, изучение и перемещение в инфраструктуре.
2. «Бесшумность». Чем больше времени прошло между событием А и событием Б, тем меньше вероятности, что ИБ-системы смогут идентифицировать их как взаимосвязанные и передать информацию специалисту.

Помимо этого, растянутость нередко бывает связана с тем, что конечная цель – это шпионаж. В таких случаях злоумышленникам по определению нужно оставаться в системе как можно дольше.

Целевые атаки на российскую инфраструктуру

В этом году количество кибератак на российскую инфраструктуру значительно возросло, пик пришелся на первые недели марта. Принимая во внимание тот факт, что ряд утечек произошел из компаний с достаточно высоким уровнем зрелости с позиции ИБ, можно говорить о том, что и количество АПТ-атак пропорционально выросло.

Сергей Петренко

Д.т.н., профессор, руководитель направления "Информационная безопасность" Академии АйТи

На практике целевые атаки, направленные на отечественные корпоративные информационные системы и автоматизированные системы управления технологическими процессами, сочетаются с другими известными кибератаками злоумышленников. Примерно доля APT-атак составляет 35% от 100% всех возможных атак злоумышленников.

Как правило, APT-атаки реализуются в течение продолжительного времени. При этом наряду с фишинговыми сообщениями и вредоносным ПО используются разнообразные методы социальной инженерии. В количественном соотношении за 2022 год каждая крупная и средняя отечественная компания сталкивалась с APT-атаками минимум 5-7 раз в течение года.

Можно отметить два важных тренда, которые политический фактор вызвал в сфере таргетированных атак:

1. Привлечение государственных специалистов к кибератакам. «Государственные хакеры» вели свою деятельность и раньше, но в актуальных условиях их деятельность наверняка стала более активной.
2. Хактивизм. Ряд специалистов из разных стран проводят атаки на инфраструктуру российских компаний без финансовой мотивации. Правда, оценить долю таких людей в контексте APT довольно сложно, поскольку хактивизм характерен для «непрофессиональных хакеров».

Роберт Низамеев

Руководитель направления кибербезопасности в ILAR Group

АРТ-атаки довольно распространены на российском секторе киберпреступлений. Не зря мы регулярно читаем о взломе и сливе информации у крупных игроков рынка - Яндекс, СДЭК, Гемотест, ВТБ и прочие. Практически еженедельно появляется информация о новом взломе, и все эти взломы не случайны. Это отлаженная целевая атака, которая четко выстроена по хронологии Kill Chain («убийственная цепочка»), которая начинается с разведки - сбора информации о «жертве», и заканчивается окончательным выполнением действия.

Можно говорить о том, что меняется и отношение российских компаний к хакерской активности в целом и APT-атакам в частности. От «нас это точно не коснется» к «мы хотели бы быть к этому готовы».

Причины эффективности таргетированных атак

Как правило, причины успешности АПТ-атак множественны. Но если говорить о первопричинах – то это неопределенность. Конкретная компания « обороняется» сразу ото всех потенциальных киберпреступников, хакерская группировка – атакует одну конкретную. Злоумышленник знает о цели все, а «жертва», в лучшем случае, сможет перехватить инициативу уже в ходе атаки.

Игорь Тюкачев

Руководитель отдела развития бизнеса продуктов ИБ в Axoft

Среди распространенных сложностей можно выделить:

1) Тихая атака
Злоумышленники могут совершать действия, но вы об этом даже не подозреваете, потому что средства защиты либо отсутствуют, либо молчат. Дело в том, что в целевых атаках вредоносное программное обеспечение зачастую пишется под конкретную организацию с учетом ее ИБ-систем. Поэтому если вдруг хакеры узнали про ваши инструменты киберзащиты, то обойдут их без «шума и пыли».

2) Неизвестна цель
Когда понятно, что вас атакуют, но непонятно, кто это делает и зачем. У каждой группировки есть устоявшийся инструментарий, зная который, можно выстроить цепочку дальнейших действий. Это существенно облегчает реагирование. Другой вопрос, что DDoS-атака может быть отвлекающим маневром проникновения в периметр организации. И даже если вы ее остановили, не время расслабляться, ведь целью может быть кража данных. При чем хакеры могут все зашифровать, заметая следы.

3) Разведка боем
Можно отразить атаку, закрыть периметр и предпринять все необходимые действия для оперативной зачистки. Но всегда нужно задавать себе вопрос: остались ли следы злоумышленника? Важно сразу выстраивать реагирование таким образом, чтобы определить, какой был первый шаг хакеров, какой второй, как они передвигались внутри периметра, что делает вредоносное ПО которое они использовали и так далее.

4) Иллюзия обмана
Атаки всегда начинаются внезапно, независимо от времени суток, и реагировать на них нужно незамедлительно. Но зачастую организация оказывается не готова, потому что руководствовались принципом «с нами такого не могло произойти» и пренебрегали ИБ-системами.

К проблемам обнаружения и противодействия можно добавить еще и сложности с последующим реагированием на инциденты. Нередки случаи, когда компания продолжает отрицать факт успешной кибератаки в условиях, когда злоумышленники уже опубликовали доказательства.

С чего начать выстраивать защиту от целевых атак

Важно понимать, что целевая атака «эксплуатирует уязвимости» на всех уровнях защиты. Это не только CVE и сотрудники, которые без разбора нажимают на все ссылки в спам-рассылках. Это и уязвимости на уровне администрирования, и самая распространенная из них – это отсутствия реально работающих инструкций на случая тех или иных событий.

Максим Головлев

Технический директор iTPROTECT

Далеко не во-всех организациях выстроены процессы по выявлению и реагированию на признаки целевой атаки. Даже наличие необходимых средств защиты информации и SIEM, не упрощает отражение целевой атаки, если в компании нет четких процессов и плейбуков, которые описывали бы порядок оперативных действий ИБ-подразделения и смежных ИТ подразделений. Придумывать такое в каждом отдельном случае в моменте времени, к сожалению, затруднительно, потому что продвижение хакера может осуществляться достаточно быстро. Тут важна слаженная и очень оперативная командная работа по локализации атаки, ее расследованию, принятию контрмер, чтобы этого не повторилось в будущем.

Знание последовательности действий сотрудником лишает злоумышленника одного из весомых орудий – неопределенности. Это сокращает и время реакции на инцидент, и увеличивает оперативность действий, уменьшая количество времени киберпреступника на раздумья и ответные действия.

Но есть и другие защитные инструменты, которые могут быть эффективны. Остановимся подробнее на каждом направлении.

Технические меры защиты

В первую очередь стоит сказать о TI-платформах, которые не противодействуют атакам напрямую, но дают компании и ее специалистам актуальную, компетентную информацию о тех угрозах, которые удалось выявить буквально вчера. Это могут быть и проприетарные, и бесплатные решения. Существуют и государственные профильные решения, самое известное из которых – центры ГосСОПКА.

Александр Щетинин

Генеральный директор Xello

Существуют системы кибербезопасности, которые не ориентируются на различные сигнатуры, индикаторы компрометации или атак, паттерны поведения или последовательность событий при детектировании атаки. К ним относятся решения класса Distributed Deception Platform (DDP), которые создают слой ложных данных и сервисов по всей сети компании из приманок и ловушек, направленных на хакеров. Приманки – учетные записи, сохраненные пароли, конфигурационные файлы в памяти ОС, файловой системе или браузерах и другие элементы, которые раскладываются на реальных хостах пользователей.

Важно понимать, что теоретически эффективные инструменты могут не помочь в тех случаях, когда злоумышленник знает о их наличии в инфраструктуре компании, знаком с их алгоритмом работы, что характерно для АПТ-атак. Такая проблема существует, например, в контексте SIEM-систем, которые могут помочь с выявлением атаки, но и излишне полагаться на них не стоит.

В контексте «Anti APT» часто упоминаются SandBox и NTA-системы. Как и SIEM, они не гарантируют 100% обнаружения злоумышленника, но совершенно точно замедлят атаку, вынудят злоумышленника совершить больше действий.

В качестве одной из превентивных мер можно привести в пример «контрразведку», то есть поиск информации о компании в интернете. Знания о том, какие данные уже есть в распоряжении потенциальных злоумышленников, могут помочь спрогнозировать векторы атаки и подготовиться заблаговременно.

Евгений Грязнов

Ведущий консультант информационной безопасности R-Vision

Безусловно, эффективным инструментом противодействия АРТ атакам являются технологии Deception, но кроме Deception помочь с защитой от APT-атак могут продукты с функционалом UEBA (User and Entity Behavior Analytics) – позволяющие обнаруживать аномалии в действиях пользователя или запускаемых им программах. Например, если APT стараются использовать легитимные программы, входящие в состав Windows, но необычным образом, то антивирус на такие действия не срабатывает. Эти программы, внезапно используемые в разных частях организации и обнаруживается решениями класса UEBA как поведенческая аномалия.

Можно говорить о том, что наибольшую эффективность с точки зрения обнаружения таргетированных атак показывают те инструменты, которые не ориентируются на правила и алгоритмы. Они либо провоцируют злоумышленника на совершение компрометирующего действия, либо ориентированы на аномалии. При этом, всегда сохраняется вероятность ложноположительных срабатываний.

Социальные меры защиты

Кирилл Уголев

Руководитель дивизиона информационной безопасности TEGRUS

За 5000 лет правила безопасности глобально не изменились. Но какие-то элементы, менялись с учетом развития цифровых технологий. Рекомендации могут быть следующие:

1. Злоумышленник не должен иметь возможность получить информацию о том, где вы храните чувствительную информацию, какие средства защиты используете и т.п.
2. Сотрудники компаний должны знать и соблюдать правила «информационной гигиены». До сих пор достаточно распространен механизм получения базовой информации или дополнительных полномочий через человека (сотрудника).
3. Бизнес-процессы компании должны исключать возможность получения несанкционированного доступа к чувствительной инфраструктуре или информации.
4. Необходимо следить за тем, чтобы средства защиты и обновления средств безопасности всегда были самыми актуальными. Уязвимости в прикладном или системном ПО присутствуют постоянно, и компании-производители стараются достаточно оперативно их закрывать. Тоже самое касается и средств защиты.
5. Использовать разные, в том числе нетиповые подходы и механизмы для обнаружения, предотвращения и блокирования несанкционированных действий.

Главной уязвимостью информационных систем все еще остается человек. В контексте APT требования к знаниям сотрудников еще выше, поскольку хакеры используют наиболее прогрессивные и сложные методы социальной инженерии, которые могут быть ориентированы и на «продвинутых пользователей».

Разумеется, превратить весь штат компании в ИБ-специалистов невозможно, но наладить систематический процесс актуализации вопросов кибербезопасности – вполне реализуемая задача.

Игорь Калайда

Генеральный директор ООО «НИИ СОКБ Центр разработки», резидент ИТ-кластера Фонда “Сколково” и разработчик платформы UEM SafeMobile

Универсального решения для защиты от APT-атак или сдерживания субъектов APT-угроз не существует. Данный тип атак целесообразно рассматривать не с точки зрения «если», а с точки зрения «когда».

Одна из стратегий предотвращения внедрения APT заключается в обучении работников, имеющих доступ к критическим сервисам, основным протоколам безопасности учетных записей, таким как:

• не делиться данными учетной записи;
• уметь распознавать попытки фишинга;
• пользоваться безопасным просмотром веб-страниц.

Поскольку подобные инструктажи, как правило, понимания у сотрудников не вызывают, и, зачастую, рассматриваются как некий спам, необходима разработка системы ответственности за нарушение данных правил, повлекшее ущерб для инфраструктуры.

Также важно обеспечить постоянную актуализацию знаний ИБ-специалистов. К лучшим практикам можно отнести деятельность Red Team, киберполигоны, участие в профильных вебинарах и форумах, на которых разбираются актуальные проблемы безопасности инфраструктуры.

Перспективы APT-атак

Для таргетированных атак характерен авторский подход к решению задач и высокая доля креативности злоумышленников. Если же говорить о ближайших перспективах, то интересен опыт группировки Conti, которая, формально, прекратила свое существование.

А фактически – перегруппировалась и объединилась с несколькими другими группировками, среди которых можно выделить HelloKitty, Hive, BlackCat, BlackByte Karakurt, AvosLocker, Bazarcall и ряд других команд.

На практике это значит, что одна конкретная группа превратилась в целый картель. По сути, это можно сравнить с ростом колумбийского картеля времен Пабло Эскобара. Можно говорить о том, что на рынке хакинга появился крупный «монополист», что должно повлечь «укрупнение» и других ведущих группировок.

Заключение

APT-атаки – это «черный лебедь» для большинства компаний, к которому очень сложно подготовиться. Однако, существует достаточное количество инструментов, которые совершенно точно могут растянуть цепочку атаки на каждом из этапов.

Иван Чернов

Менеджер по развитию UserGate

Самое сложное – обнаружить таргетированную APT-атаку, а особенно на ранних этапах. Так происходит из-за того, что в ней используется специально изготовленный вредоносный софт, практически не детектируемый с помощью одного лишь сигнатурного метода. Поэтому в большинстве случаев злоумышленники получают доступ к атакуемой ими системе без привлечения внимания и действуют незаметно, столько времени, сколько им потребуется. Зачастую сотрудники служб безопасности атакуемых организаций узнают о взломе уже только из новостей.

Можно предположить, что лучшие практики борьбы с таргетированными атаками в будущем будут связаны с инструментами, которые могут обеспечить динамичную защиту, сделать ее непредсказуемой для атакующего.

Уже сейчас можно наблюдать положительную динамику относительно осознания бизнесом своей уязвимости перед профессиональными кибератаками и заинтересованность в защите собственного бизнеса от таких инцидентов.