Таргетированные атаки: новые тренды и методы защиты

Таргетированная атака – это целенаправленное нападение на инфраструктуру конкретной компании. Цели могут быть разные: от дискредитации компании и кражи данных до шпионажа и заражения всей инфраструктуры.

Последний серьезный всплеск профессионального хакинга был зафиксирован с началом пандемии, в период перехода компаний на удаленный формат работы. Этот процесс часто проходил с разного рода происшествиями, поскольку отработанной инструкции на такой случай не было ни у кого – риск начала пандемии оценивался как пренебрежительно малый всеми бизнес-специалистами.

Вторая волна роста целевых атак пришлась на февраль этого года, когда геополитический кризис перешел из осязаемого мира в киберпространство. В этой статье мы поговорим о том, как изменились таргетированные атаки и методы борьбы с ними.

Хактивизм и таргетированные атаки

Хакерский активизм имеет ряд особенностей, которые отличают его от таргетированных атак:

• отсутствие выгоды для хакера;

• низкий профессионализм исполнения.

В то же время, важно понимать, что хактивизм – это целевая атака. Низкий уровень исполнения и отсутствие финансовой мотивации не отменяют ее направленности и вреда для компании.

Александр Осипов

Директор по облачным платформам и инфраструктурным решениям МегаФона

Такие атаки можно определенно считать таргетированными. Основным отличием от «профессиональной» целевой атаки является ресурсное обеспечение. «Профессионалы», планируя целевую атаку, как правило исходят из оценки прибыли и ресурсов, которые на такую атаку потребуются, то есть «оценивают ROI».

Сейчас мы видим заметный рост таргетированных атак на наших клиентов, их доля доходит до 70% от общего числа угроз. Целевые атаки управляются с использованием сети ботнетов, которая сейчас активно расширяет географию, в том числе и на территории РФ. К организации атак хакеры подходят по отраслевому признаку, также видно четкое управление с точки зрения конкретных целей. Квалификация тех, кто проводит таргетированные атаки, растет пропорционально развитию ИТ-индустрии в целом.

Ввиду все того же низкого профессионализма хакерский активизм имеет два направления:

• ограничение доступа к ресурсу;

• размещение лозунгов на атакуемом ресурсе.

Главная опасность такого явления заключается в том, что хактивисты не слишком избирательны в своих целях. Жертвой такой атаки может стать как серьезно защищенная компания, так и ресурс, который вообще не знаком с инструментами информационной безопасности.

Михаил Прохоренко

Руководитель группы реагирования BI.ZONE

Когда множество людей атакуют одну организацию, это таргетированная атака в общем смысле этого слова, однако на практике этот термин в данном случае редко используется.

Раньше таргетированные атаки были прерогативой профессиональных группировок и проводились в основном для заработка, либо для шпионажа. С февраля увеличилось количество атак хактивистов, в которых могут участвовать даже любители. Чаще всего непрофессионалы организуют кампании в формате обычных DDoS-атак на конкретные ресурсы.

За последние полгода количество таргетированных атак на отечественный бизнес заметно возросло, но приблизительно в той же пропорции, что и всех остальных кибератак. Объем DDoS-атак увеличился в разы. В связи с тем, что таргетированными атаками занимаются люди, которые раньше этого не делали, уровень исполнения снизился, однако количество суперпрофессиональных атак также возросло.

С позиции информационной безопасности важность имеют два фактора:

1. Хактивисты не планируют атаки. Не проводят разведку, не ищут инсайдеров и никаким иным образом не готовятся к проведению атаки.

2. Единый паттерн поведения. Атака хактивистов, ввиду низкого технического оснащения, отсутствия эффективного управления и квалификации атакующих, обладает низкой вариативностью.

Хакерский активизм часто претендует на социальное одобрение. Поэтому под него часто мимикрируют профессиональные хакерские группировки. 

В качестве примера уместно упомянуть широко известную группу Anonymous, которая «заигрывает» с социальной повесткой, прикрывая таким образом сугубо коммерческие интересы. Можно сказать, что они таким образом развивают свой личный бренд в непрофессиональной среде.

Основной тренд, который вызвал «целевой хактивизм» – это актуализация темы информационной безопасности в обществе. Как следствие – рост востребованности ИБ-инструментов для тех компаний, которые ранее вообще не были с ними знакомы.

Профессиональные хакерские атаки

Опасносность профессиональной таргет-атаки напрямую зависит от уровня квалификации атакующих. Злоумышленники могут месяцами изучать внешний контур компании, собирать информацию из открытых источников и опыт предыдущих атак, искать выходы на сотрудников и совершать другие подготовительные действия.

Такие действия принято называть APT-атаками (Advanced persistent threat). Их главные характеристики это:

• высокий уровень исполнения;

• растянутость во времени;

• сложность обнаружения.

Эксплуатация 0-day уязвимостей и ряд других технологий позволяют злоумышленникам «поселиться» в атакуемой инфраструктуре и планомерно перемещаться по ней, оставаясь незамеченными. Однако передовые ИБ-технологии позволяют выявлять даже самых осторожных киберпреступников.

Иван Шаламов

Менеджер продукта R-Vision Threat Deception Platform компании R-Vision

Сегодня APT-группировки разрабатывают инструменты для атак под конкретную организацию. При этом злоумышленники научились действовать крайне осторожно и могут ничем не выдавать себя. Кроме того, они умеют «заметать» за собой следы, а также оставлять точки возврата в инфраструктуру.

Полностью обезопасить себя от APT-атак практически невозможно. Чаще всего в ход идут уязвимости нулевого дня, против которых стандартные средства обнаружения, в принципе, неэффективны, в связи с тем, что они определяют вредоносное ПО по сигнатурам. В такой ситуации единственным эффективным средством являются технологии Deception (технологии киберобмана), которые только начинают набирать популярность на российском рынке.

Deception позволяют расставить по реальной корпоративной сети приманки – ложные данные, потенциально интересные для киберпреступника. Это могут быть фиктивные учетные записи пользователей, файлы с данными, история браузера и прочее. Такие данные, на которые он точно обратит внимание, чтобы проникнуть через них в инфраструктуру. При этом сами приманки связаны не с реальными объектами инфраструктуры, а с ловушками - ложными узлами сети.

Если хакер «попал в ловушку» специалист информационной безопасности сразу же получит оповещение, при этом хакер может не догадываться, что его уже рассекретили. Тем самым, хакер будет пойман на этапе горизонтально перемещения между хостами, то есть на этапе на котором другие средства обнаружения неэффективны. Ну, и самое главное, что на этом этапе хакеры скорее всего не успеют нанести какого-то существенного урона и будут обезврежены.

Успех атаки во многом зависит от команды атакующих, ее профессионализма. В случае с защитниками все намного сложнее: помимо компетенций безопасника важное значение имеют используемые компанией инструменты, уровень цифровой грамотности всех сотрудников, проработанность политик безопасности и должностных инструкций.

Еще одна проблема, характерная для АПТ-атак – это инициатива. До момента идентификации она целиком на стороне атакующего. Показателен пример группировки APT TA428, которая, по данным исследователей Лаборатории Касперского, провела масштабную кампанию по шпионажу за ВПК стран Восточной Европы. 

Доподлинно неизвестно, сколько времени злоумышленники провели внутри инфраструктуры компаний, но показателен тот факт, что в ряде случаев им удалось даже получить контроль над ИБ-системой.

Шамиль Чич

Эксперт Центра мониторинга и противодействия компьютерным атакам компании “Информзащита”

Кибератаки с каждым годом становятся все сложнее. Наряду с metasploit-ом злоумышленники используют и другие инструменты, которые изначально разрабатывались для аудита безопасности (для так называемых pentest или red team операций) – например, cobalt strike.

При этом хакеры стараются использовать встроенные в систему средства и инструменты для разведки внутри сети, доставки и выполнения вредоносного кода. Особенно активно применяют powershell, который предоставляет по сути неограниченные возможности для атакующих. Также злоумышленники любят использовать wmi\wmic на этапе выполнения вредоносного кода/ горизонтального перемещения.

Атакующие порой даже используют средства антивирусной защиты для выполнения вредоносного кода и его распространения. Например, группировка Winnti загружает компонент Dr. Web (причем абсолютно легитимный, а рядом с ним уже вредоносная библиотека, которая загружается в компонент Dr. Web).

Любимым методом первоначального доступа у злоумышленников все также остается социальная инженерия, на втором месте – эксплуатация уязвимых сервисов.

Ни одна anti apt система не гарантирует абсолютной безопасности. Наиболее надежная линия защиты – это выстраивание такой инфраструктуры, которая максимально удлиняет вертикальный переход для хакера. 

Чем больше действий потребуется злоумышленнику, чтобы преодолеть защиту – тем больше вероятности, что он допустит ошибку, попадет под обзор сканера или иным образом привлечет внимание ответственного ИБ-специалиста.