Таргетированные (целевые) атаки
Таргетированные атаки используются для вредоносного воздействия на инфраструктуру компаний и государственных структур. Перед атакой киберпреступники тщательно изучают средства защиты атакуемой организации. Нападению могут быть подвергнуты не только привычные информационные системы компании, но и автоматизированные средства управления технологическими процессами (АСУ ТП). Антивирусные продукты не в силах предотвратить целевую атаку, так как вредоносные программы в таких случаях разрабатываются специально под конкретную инфраструктуру — в том числе с учетом используемого защитного ПО.
В последнее время наблюдается смещение акцента с написания вредоносных программ на проведение целенаправленных атак. Объектом нападения становится конкретная организация, и подготовка занимает много времени. Преступники тщательно изучают используемые потенциальной жертвой средства защиты и находят нужные уязвимости, которые и используются в комплексе вредоносных операций.
Классификация таргетированных атак
Целевые атаки могут быть направлены на государственные и коммерческие структуры. При взломе применяются стандартные механизмы (спам, фишинг, заражение сайтов) и наборы эксплойтов. В основном злоумышленники преследуют следующие цели:
- Похищение средств с банковских счетов и из электронных кошельков, воровство конфиденциальных данных.
- Нечестная конкуренция: манипулирование процессами, подделка документов, ослабление конкурентов, вымогательство и шантаж.
- Похищение образцов интеллектуальной собственности.
- Нарушение нормальной деятельности объектов военной, промышленной и гражданской инфраструктуры, систем жизнеобеспечения.
- Использование возможностей телекоммуникационных систем для осуществления информационных воздействий и манипулирования общественным мнением.
Этапы таргетированных атак
На подготовительном этапе изучается атакуемый объект, собирается информация, проводятся разведывательные мероприятия, определяются слабые места. Для мониторинга используются рассылки, официальные сайты и аккаунты в социальных сетях, профильные форумы. С помощью программ-анализаторов производится изучение сетевой инфраструктуры и программного обеспечения. Для получения данных могут применяться автоматизированные методы или индивидуальные формы воздействия, такие как телефонные звонки.
После завершения подготовки вырабатывается стратегия, подбираются инструменты атаки. Вредоносные программы пишутся под конкретную атаку и жертву; это необходимо для преодоления штатных средств защиты.
Объект воздействия таргетированных атак
Таргетированные атаки могут преследовать экономические, политические или другие цели.
Известны случаи, когда злоумышленники внедрялись в системы управления отдельными технологическими процессами и деятельностью предприятий. Для получения нужной информации преступники могут настроить прямой доступ, взламывать принадлежащие сотрудникам гаджеты.
Избежать попыток проникновения практически невозможно. Если злоумышленникам нужен доступ к определенным ресурсам, они будут регулярно проводить комбинированные атаки. Всегда существует вероятность, что одна из многочисленных проведенных атак обеспечит нужный результат.
По наблюдениям специалистов ведущих антивирусных лабораторий, наибольшему риску подвержены правительственные ведомства, финансовый сектор, энергетическая и космическая отрасли, телекоммуникационные и ИТ-компании, предприятия военно-промышленного комплекса, образовательные и научные учреждения, видные общественные и политические деятели.
Список систем, на которые чаще всего направлены таргетированные атаки:
- Отделы научно-исследовательских и опытно-конструкторских работ (НИОКР). Такие поздразделения должны иметь высокий уровень защиты, но чаще всего это не так.
- Управляющие офисы компаний. Большинство предприятий уязвимо к действиям инсайдеров, находящихся в сговоре со злоумышленниками и имеющих физический доступ к компьютерам.
- ЦОД. В данных системах работают сервера, на которых запущено множество приложений. Для них нужно обеспечить безопасное функционирование, что и является основной проблемой.
- При росте компании расширяется сеть поставщиков, у которых низок уровень защиты компьютерных систем. Таргетированная атака может быть проведена через них.
- Атаки на производство. Не все производства оснащены современным оборудованием, на многих из них используются старые специализированные системы, объединенные в сети. Их безопасность сложно контролировать, чем стараются пользоваться киберпреступники.
- Компьютерные сети офисов. Для повышения эффективности работы сотрудников все устройства объединяются в общую сеть, и это предоставляет широкое поле для деятельности хакеров.
- Маркетинговые планы. Целью подобных атак является получение списка клиентов и планов продаж, нанесение удара по репутации компании.
- Смартфоны и планшеты. Это — безусловная «головная боль» отделов информационной безопасности любой компании. Обойтись без гаджетов невозможно, при этом в памяти устройств может храниться много ценной и конфиденциальной информации, паролей доступа, которые становятся целью преступников.
- Атаки на базы данных проводятся с целью получения важной информации, для достижения такого результата могут быть использованы реквизиты учетной записи администратора.
Источники таргетированных атак
Для достижения своих целей преступники используют все доступные средства. Можно выделить несколько основных векторов таргетированных атак:
- Несанкционированный доступ к офисной технике и другому оборудованию, в которое можно проникнуть или внедрить вредоносный код.
- Хотя центры обработки данных в основном обеспечивают приемлемый уровень безопасности, их уязвимые места связаны с функционированием серверного оборудования и установленного на нем программного обеспечения.
- Разветвленные локальные сети благодаря развитию технологий позволяют злоумышленникам в случае подключения к одному из устройств (это может быть компьютер, факс, принтер или МФУ) спокойно перемещаться внутри корпоративной сети.
- Использование смартфонов и прочей персональной электроники в рабочих целях и внутри корпоративной сети может стать слабым звеном в защите и отправной точкой в развитии атаки.
Анализ риска таргетированных атак
Маловероятно, что целевая атака будет применена против рядовых пользователей ПК, если они не являются сотрудниками компаний. Целью атаки может стать любая информация, представляющая ценность. Чаще всего такие нападения совершаются для получения промышленных секретов, персональных и платежных данных. Многие крупные бизнесмены и руководители предприятий предполагают, что однажды подобная атака может быть проведена и против их организации.
Сегодня известно о более чем ста хакерских группировках, проводящих целевые атаки. От их действий страдают государственные и коммерческие структуры в 85 странах. Такое широкое распространение объясняется оптимизацией средств взлома, что приводит к упрощению и удешевлению вредоносных операций.
Производители средств информационной безопасности постоянно совершенствуют средства для противодействия таргетированным атакам. Разрабатываются специализированные продукты, направленные не на поиск неизвестных образцов вредоносного кода, а на выявление подозрительной активности. Это объясняется тем, что при атаках не всегда используются вредоносные программы: злоумышленники могут применять вполне легальные средства. Отдельные модули анализируют загружаемые из интернета файлы, сетевую активность и поведение пользователей на рабочих станциях. Наиболее эффективными являются комплексные решения, отдельные компоненты которых предоставляют злоумышленникам ложные наборы данных и целей.
Полностью обезопасить себя от таргетированных атак невозможно. Так, если преступник планирует получить доступ к данным компании, то он может вести атаки в течение многих месяцев или даже лет, иногда развивая параллельно несколько вредоносных операций. Не имея ограничений по времени, он тщательно проверяет возможность обнаружения вредоносных программ со стороны антивируса, при необходимости модифицирует их. На подготовительный этап атаки приходятся основные затраты времени, а вот само нападение занимает считаные минуты. В таких условиях вероятность его успешности очень велика.
Обнаружение таргетированной атаки — очень сложная и комплексная задача. Факт проникновения в систему может оставаться незамеченным долгое время. В связи с этим очень сложно оценить общее число атак, проводимых по всему миру.