Как называются сложные атаки совершенные группой хакеров
Перейти к содержимому

Как называются сложные атаки совершенные группой хакеров

  • автор:

WTF is APT? Продвинутые атаки, хитрости и методы защиты

Примерно с 2004 года команда реагирования на компьютерные инциденты в Lockheed Martin (LM-CIRT) стала использовать термин APT (Advanced Persistent Threat) в своих исследованиях. Так стали называть сложные атаки, выполняемые преимущественно на ИТ-инфраструктуру военных и государственных объектов. Как правило, в их проведении подозревали спецслужбы других стран и отряды «правительственных хакеров». Затем с легкой руки журналистов понятие APT расширилось до многоуровневых атак, целью которых может быть сеть любой организации или группа устройств с общими признаками. Даже сейчас термин APT остается неоднозначным. Его переводят как «развитая устойчивая угроза» или «сложная постоянная угроза», подразумевая то многоэтапный сценарий атаки, то используемые в ней инструменты, а то и вовсе мощные хакерские группы.

В Sophos тоже отмечают, что до сих пор нет единых критериев, позволяющих относить ту или иную атаку именно к APT. Успешные целенаправленные атаки зачастую выполняются с использованием старых наборов эксплоитов, поэтому 0day-уязвимости — не обязательный атрибут APT.

Другой часто выделяемый критерий APT — рассылка фишинговых писем для компрометации учетной записи рядового сотрудника компании. Затем она используется как точка входа в локальную сеть и плацдарм для перехода на следующий уровень — к компьютерам руководителей и серверам компании. Однако методы социального инжиниринга и так сверхпопулярны, поэтому было бы странно выделять их как маркер «сложной постоянной угрозы». На что же стоит ориентироваться?

Признаки APT

Анализируя отчеты разных специалистов по безопасности, я сформулировал для себя следующие критерии APT (буду рад, если ты уточнишь и дополнишь их в комментариях):

  • это всегда целенаправленная атака. Целью обычно выступает не конкретный человек или организация, а какой-то более общий сегмент (например, финансовые учреждения) или однородная группа людей (постояльцы отеля, болельщики на стадионе, пассажиры круизного лайнера);
  • это долговременная атака. Она может длиться не один месяц и продолжаться до победного конца или утраты целесообразности;
  • это хорошо финансируемая атака. Даже банальный DDoS — затратная процедура, если продолжается длительное время;
  • это многостадийная атака. В APT последовательно используется несколько векторов и разных техник. Сами по себе они могут быть примитивны, интересно именно их сочетание. Например, секретарше шлют фишинговые письма, чтобы скомпрометировать ее корпоративную учетку и через нее (как от доверенного лица) отправить зараженный документ на ноутбук шефа;
  • APT не останавливают отдельные инструменты безопасности (антивирус, файрвол, спам-фильтры, простые SIEM-системы), и она долго может оставаться незамеченной либо протекать под маской отдельных типовых инцидентов. Важнее то, что аномальное поведение сети или отдельных устройств сохраняется, хотя при рутинных проверках ничего подозрительного не находится;
  • в ходе APT часто (но не обязательно) используют продвинутые техники, эффективно маскирующие их компоненты от типовых систем защиты. Например, reverse shell для обхода МСЭ.

По данным Sophos, в APT используются следующие техники (перечислены в порядке убывания частоты применения): фишинг и социальный инжиниринг, DDoS и ботнеты, уязвимости нулевого дня и использующие их продвинутые зловреды, традиционные зловреды, скомпрометированные устройства, атаки инсайдеров, атаки уровня приложений.

Этапы APT

В любой атаке уровня APT можно выделить семь ключевых этапов (иногда сокращают до пяти, объединяя шаги):

  1. Пассивный сбор информации (идентификация и отбор целей из открытых источников).
  2. Первичное заражение (заманивание на фишинговые сайты, рассылка инфицированных документов).
  3. Доставка боевой нагрузки (drive-by-загрузки, использование уязвимостей в браузере и его плагинах).
  4. Активная фаза (повышение привилегий и обход защитных систем с целью получения дополнительных данных о системе и закрепления в ней основных вредоносных компонентов).
  5. Получение удаленного контроля (внедрение бэкдоров, кейлоггеров и установка обратных шеллов).
  6. Связь с управляющими серверами в ожидании дальнейших команд (обход файрволов, использование для передачи команд различных мессенджеров, клиентов соцсетей и популярных сетевых API).
  7. Достижение конечной цели (кража данных, выполнение незаконных финансовых транзакций, формирование ботнета, перехват контроля над АСУ ТП и так далее).
Злодей зиродей

Эффективность APT-атак существенно возрастает, когда используются уязвимости, для которых еще нет патча. К примеру, по данным специалистов компании 360 Core Security, в одной из недавних атак группа APT-C-06 использовала 0day-эксплоит CVE-2018-8174 для движка VBScript. Он затрагивает Internet Explorer в Windows 7–10 и серверных платформах любой разрядности, начиная с Windows Server 2012 R2.

Когда открывают фишинговую ссылку или документ MS Office c вредоносным элементом управления ActiveX, происходит сбой в работе VBScript, в результате чего подменяется тип объектов в памяти и права доступа к ним. Так у атакующего появляется возможность удаленно выполнить произвольный код в обход существующих систем защиты. Дополнительно APT-C-06 использовала одну из популярных техник обхода UAC.
Подробный анализ CVE-2018-8174 читай здесь.

Другая группа, APT37 (Reaper), использовала в своих атаках начала 2018 года эксплоит для уязвимости нулевого дня в Adobe Flash Player CVE-2018-4878. Она затрагивает версии до 28.0.0.161 и связана с некорректной обработкой указателя в SDK Primetime. Успешная атака приводит к выполнению произвольного кода через подмену объектов в памяти процесса флеш-проигрывателя.

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

7 типов кибератак, которые были популярны в 2022 году

В 2022 году кардинально изменился международный cybercrime-ландшафт — появились новые киберугрозы и преступные группы, менялись техники и тактики атакующих. Геополитический кризис привел к росту активности киберпреступных групп и прогосударственных хакеров — весь год столкновения шли и в киберпространстве. О самых громких атаках, кибернезависимости российских компаний и прогнозах на 2023 год рассказали резиденты ОЭЗ «Иннополис», специалисты в области информационной безопасности.

Читайте «Хайтек» в

Тренды ИБ-2022: как изменилась ситуация на рынке

Несмотря на быстро меняющиеся условия на российской и международной арене и появление новых способов кибератак, есть тренды, которые остаются неизменны. Например, программы-вымогатели все еще являются киберугрозой номер один в мире.

«В начале 2022 года казалось, что с вымогателями может быть покончено — прошли аресты, часть групп разбежалась, часть залегла “на дно” и провела ребрендинг, из-за политических разногласий произошел раскол в команде Conti, что привело к публикации внутренних файлов и переписки, но к концу 2023 года оказалось, что империя шифровальщиков по-прежнему все еще могущественна и очень опасна», — отмечает Валерий Баулин, генеральный директор Group-IB в России и СНГ.

Причин для успеха вымогателей несколько. Во-первых, атакующим не нужно самим взламывать инфраструктуру, искать лазейки в корпоративных сетях. К их услугам развитый рынок продажи доступов в корпоративные сети. По оценкам экспертов Group-IB, он вырос более чем в два раза при том, что цена доступа упала примерно в два раза. 70% типов доступов, которые появляются в продаже, — это учетные записи RDP и VPN.

Во-вторых, для получения доступа в корпоративные сети стали активно использоваться логи, добытые стилерами — вредоносным программным обеспечением, которое похищает логины/пароли к SSO-сервисам, VPN, к сервисам Citrix. Стилеры стали второй по значимости киберугрозой 2022 года после вымогателей, считает Валерий Баулин.

С чем столкнулась Россия

Кардинальные сдвиги в сфере ИБ произошли в конце февраля, отмечает Антон Кузьмин, руководитель Центра противодействия киберугрозам Innostage CyberART:

«Мы видим скоординированную деятельность так называемых “хактивистов” — пользователей без опыта в проведении атак, которые действуют по определенным инструкциям».

Под прицелом все

Раньше с кибератаками больше сталкивались банковский, финансовый секторы, о безопасности деятельности в сети интернет задумывались крупные предприятия. Сегодня под прицелом любая компания, работа которой связана с интернетом, — то есть практически весь бизнес.

Поменялось отношение к ИБ

Всего год назад до руководства предприятий необходимо было доносить важность информационной безопасности. Сейчас этого делать не нужно — текущая ситуация сделала за всех свое дело.

«Сегодня многие руководители не просто знают, что такое кибербезопасность, — многие с вопросами ее обеспечения напрямую столкнулись на своих предприятиях. И крупные, и небольшие предприятия сталкиваются с DDoS-атаками, с нарушениями работы информационных систем, с утечкой данных. Любая компания, работа которой связана с интернетом, — то есть практически весь бизнес, — находится под угрозой», — подчеркивает Антон Кузьмин.

Уход зарубежных компаний

Серьезно изменился ландшафт средств защиты, которые можно использовать. Сильное влияние на рынок оказал уход из России иностранных ИТ и ИБ игроков, таких как McAfee, PaloAlto, Microsoft, IBM, ESET, Fortinet и Cisco Systems Inc. Прекращение деятельности в стране иностранных вендоров снизило уровень доверия к ним со стороны российских компаний и большинство из них не готовы работать с зарубежными решениями, даже если их разработчики возобновят деятельность в России.

Импортозамещение

Российский бизнес годами выстраивал инфраструктуру на западных решениях, однако после ухода иностранных компаний, а также ограничения и запрета на использование их решений вынужден искать новый путь.

Техники, которые использовали атакующие в 2022

Кибератаки, фиксируемые в России в этом году, можно разделить на семь типов:

  • Атаки типа отказ в обслуживании (DDoS) — это основной тип применяемых на сегодняшний день атак, основной целью которых является вывод систем из строя либо сокрытие других видов кибернападений.
  • Дефейс (Deface) характеризуется заменой содержимого взломанного информационного ресурса и размещением на нем какого-либо вызывающего сообщения с целью пропаганды и нанесения репутационного ущерба владельцу сайта.
  • Фишинговые рассылки — вид интернет-мошенничества, основанный на методах социальной инженерии, целью которого является психологическое манипулирование людьми для совершения определенных действий или разглашения конфиденциальной информации, чаще всего для кражи данных банковских карт.
  • Внедрение вредоносного программного обеспечения (ВПО) — внедрение ВПО в информационные системы различных организаций с целью проникновения в инфраструктуру либо осуществления деструктивных действий (например, шифрование данных), направленных на ИТ-инфраструктуру.
  • Перебор учетных записей (Brute Force) к сервисам удаленного доступа — суть подхода заключается в последовательном автоматизированном переборе всех возможных комбинаций символов с целью найти правильное сочетание имени пользователя и пароля.
  • Автоматизированное сканирование информационных ресурсов с целью поиска на сетевых периметрах организаций критических уязвимостей и неправильно сконфигурированного ПО, которым могут воспользоваться хакеры для проникновения в инфраструктуру либо компрометации данных и информационных систем.
  • Выполнение произвольного кода на веб-сервере. Например, SQL-injection, или межсайтовое выполнение сценариев (XSS). Атаки позволяют получать доступ к базам данных, а также внедрять в веб-системы вредоносный код.

Очевидно, что события, происходившие на киберарене в 2022 году, являются лишь следствием геополитического кризиса. Хактивисты совместно с прогосударственными хакерами стали проводить совместные кампании — наиболее заметно это стало в истории с массированными и четко координируемыми DDOS-атаками и взломами компаний с целью кражи баз данных.

«Вообще этот год поставил антирекорд по количество утечек, а “лидером” стал август, когда были выложены 100 утечек, включавших базы данных 75 российских компаний. Мы видим, что у преступников изменился мотив: если раньше украденные базы данных выставляли на продажу, то теперь их бесплатно выкладывают в публичный доступ для того, чтобы нанести репутационный или экономический ущерб бизнесу и их клиентам», — отмечает Валерий Баулин.

Что с импортозамещением?

Бизнес страны сегодня нацелен на импортозамещение программного и аппаратного обеспечения. От покупки отечественных продуктов его не останавливают даже растущие цены российских разработчиков. Отечественные компании ожидают появления российских аналогов зарубежных продуктов, находящихся на стадии разработки. Причем их готовы приобретать и тестировать с более слабым функционалом, чем у иностранных аналогов. Правда, есть условие — важно оперативно доработать до необходимого состояния.

«Многие российские вендоры достаточно активно расширяют линейку и дорабатывают продукты, получая обратную связь от заказчиков, благодаря чему зрелость решений растет. Сейчас появляются новые игроки, происходит разрастание рынка. Интересно, что крупные компании развивают свои продукты, которые в дальнейшем предлагают рынку», — подчеркивает Антон Кузьмин, руководитель Центра противодействия киберугрозам Innostage CyberART.

Основные работы по импортозамещению начались после 250-го указа президента «О дополнительных мерах по обеспечению информационной безопасности» и ухода иностранных вендоров из РФ, а именно невозможности покупки, продления текущих лицензий, отключения от облачных сервисов и отсутствия вендорской поддержки. По словам Антона Кузьмина, если брать классический подход по модернизации инфраструктуры, то, прежде чем внедрить что-то новое, необходимо: протестировать продукт, проанализировать и зафиксировать необходимый функционал, провести пилот и только потом внедрить решение. Каждый из этих этапов обычно занимает длительное время, особенно если касается сложных и критичных систем, таких как СЗИ (средство защиты информации).

Прогнозы на 2023 год

Учитывая зависимость климата на рынке кибербезопасности от политической обстановки в мире, вряд ли ситуация в киберпространстве сильно изменится. Тренды 2022 года сохранятся, но по некоторым фронтам давление может усилиться.

«Этика в атаках хактивистов будет окончательно забыта. Если ранее шифровать больницы было очень плохим тоном, то теперь станет “плохо, если не в России”. Из-за политического фона профессиональных киберопераций (APT) будет больше, туда обязательно будут вовлечены и обычные люди, и коммерческие компании, как возможный путь в целевую инфраструктуру или сопутствующий ущерб. Атаки на цепочки поставок будут более актуальны, да и сами цепочки строить из-за политики становится сложнее», — считает Антон Бочкарев, генеральный директор компании 3side.

Тренд на импортозамещение усилится

В течение 2022 года разработчики «пересобирали» решения, а уже в будущем году ожидается массовый выход на рынок новых продуктов. При этом на фоне увеличения количества новых СЗИ появится потребность в устойчивой отечественной экосистеме. Помимо ИБ-продуктов, в нее должно входить «железо» на российской базе, операционные системы, прикладное ПО. При этом они должны взаимодействовать между собой «бесшовно», подчеркивает Антон Кузьмин, руководитель Центра противодействия киберугрозам Innostage CyberART.

Последствия ухода зарубежных компаний

В полной мере российские компании еще не ощутили уход зарубежных компаний, потому что многие контрактовались на год вперед. 2023 год покажет практические последствия ухода зарубежных вендоров.

Киберучения и киберполигоны

В течение 2022 года многие компании усиленно дооснащали свои системы защиты новыми средствами защиты. В связи с этим должен быть рост спроса на обучение практической работе с новыми средствами защиты и их связке с другими средствами защиты компании.

Услуги по сопровождению эксплуатации (аутсорсинг/аутстаф)

Потребность связана с наличием обученного персонала для обеспечения корректного функционирования систем защиты информации.

«За время атак или пентестов многие компании осознали, что внедренное средство защиты, оставленное без постоянного внимания ответственного сотрудника, со временем перестает гарантировать корректность своей работы, требуется собственный или наемный персонал для непрерывного контроля за состоянием систем защиты», — отмечает Антон Кузьмин.

Инвестиции в кадры

Прожив год в новой реальности, многие компании четко поняли, что они сами должны вкладываться в развитие рынка кибербезопасности в России, в частности, в повышение его кадрового потенциала.

Кибертерроризм: виды атак, хакеров и их влияния на цели

Кибертерроризм — это запланированная кибератака на информационные системы, программы и данные, приводящая к насильственным действиям, которая направлена на достижение политических или идеологических мотивов преступников.

ФБР США описывает кибертерроризм как любую кибератаку, предназначенную для запугивания или нанесения физического вреда жертве. Злоумышленники часто добиваются этого, уничтожая или нанося ущерб критической инфраструктуре цели.

Однако, ИБ-сообщество трактует кибертерроризм как атаки, направленные на достижение политических целей преступников. Даже при отсутствии физической опасности или крупных финансовых потерь основная цель кибертерроризма — нарушение работы систем или причинение какого-либо вреда целям.

По данным Центра стратегических и международных исследований (CSIS), крупные атаки направлены на госучреждения, оборонные и высокотехнологичные компании, а также на совершение финансовых преступлений с ущербом более $1 млн.

Виды кибертерроризма

APT-атаки

Усовершенствованные постоянные угрозы (Advanced Persistent Threat, APT) осуществляют доступ к сети с помощью сложных методов проникновения. Оказавшись в сети, кибертеррористы пытаются украсть данные, оставаясь при этом незамеченными. APT-атаки часто нацелены на организации с ценной информацией, в том числе в национальной обороне, производстве и финансовом секторе.

Вредоносное ПО

Вредоносные программы, компьютерные черви и вирусы используются для атак на военные системы, транспортные и электрические сети, и критически важную инфраструктуру.

DoS-атаки

Атака типа «отказ в обслуживании» (Denial of Service, DoS) — это атака, направленная на отключение машины или сети, делая их недоступными для пользователей. При DoS-атаках цель заливается трафиком или получает информацию, которая вызывает сбой в работе. DoS-атака блокирует авторизованным пользователям доступ к определенным компьютерным системам и устройствам.

Взлом

Взлом подразумевает собой получение несанкционированного доступа с целью сбора конфиденциальных данных организаций, правительств и коммерческих предприятий.

Программы-вымогатели

Вымогатели шифруют все данные и системы жертвы, пока она не заплатит требуемый выкуп. Кроме того, некоторые атаки программ-вымогателей приводят к эксфильтрации данных.

Фишинг

Фишинг — попытка получения конфиденциальной информации (например, логинов, паролей или данных кредитных карт) путем подделывания электронных писем от доверенного источника.

Спуфинг

Спуфинг — это кибератака, в рамках которой мошенник выдает себя за какой-либо надежный источник, чтобы получить доступ к важным данным или информации. Основная цель спуфинга – получить доступ к личной информации, украсть деньги, обойти контроль доступа к сети, а также распространить вредоносное ПО.

Примеры кибертерроризма

Компьютерные серверы, устройства и сети, доступные через Интернет, часто используются в кибертеррористической деятельности. Целями являются защищенные правительственные сети.

Примеры кибертерроризма включают:

  • Крупный сбой на сайте. Цель преступников состоит в том, чтобы нарушить работу большого количества людей или заблокировать доступ к веб-сайтам с информацией, которую хакеры считают нежелательной.
  • Несанкционированный доступ. Злоумышленники пытаются нарушить работу коммуникаций, регулирующих военные технологии или другое жизненно важное оборудование.
  • Кибершпионаж. Правительства разных стран часто проводят кибершпионаж или поддерживают его. Обычно государства шпионят за конкурирующими странами и получают информацию о военных планах противника.
  • Нарушение работы критической инфраструктуры. Киберпреступники пытаются нанести ущерб городу, нарушить работу системы здравоохранения, поставить под угрозу общественную безопасность или спровоцировать панику. Целями могут быть нефтеперерабатывающие заводы, трубопроводы или водоочистные сооружения.

Самые известные кибертеррористические акты

Центр стратегических и международных исследований (CSIS) составил список самых значимых кибератак с 2006 года. Некоторые из них являются актами кибертерроризма:

  • 15 июля 2022 года 4 группировки иранских правительственных хакеров провели разрушительную атаку на государственные онлайн-сервисы и правительственные веб-сайты Албании, выведя их из строя. После этой кибератаки Албания разорвала дипломатические отношения с Ираном.
  • 10 сентября 2022 года в результате кибератаки работа полиции Албании оказалась существенно замедлена . Чиновники были вынуждены составлять всю документацию вручную. Осложнилась и проверка прибывающих на границе для полицейских, потерявших доступ к базе данных лиц, объявленных в розыск.
  • Северо-Западный политехнический университет в Китае стал объектом множества кибератак в сентябре , ответственность за которые Китай возложил на АНБ США. Власти утверждают, что АНБ взломало сети цифровой связи и украло пользовательские данные.

Защита от кибертерроризма

До недавнего времени основными целями кибертерроризма были госучреждения. Сейчас ситуация поменялась и теперь целью стал бизнес. Поэтому компании и другие организации должны гарантировать, что каждое IoT-устройство защищено и недоступно через открытые сети.

Для защиты организациям необходимо:

  • регулярно создавать резервные копии систем;
  • проводить непрерывный мониторинг сетей;
  • развертывать брандмауэры;
  • использовать антивирусное ПО и инструменты защиты;
  • внедрить двухфакторную или многофакторную аутентификацию;
  • ограничить доступ к конфиденциальным и важным данным.

Для улучшения кибербезопасности в США был создан альянс National Cyber Security Alliance для повышения осведомленности граждан о кибербезопасности. Он предлагает обучать сотрудников процедурам безопасности, а также тому, как обнаруживать вредоносное ПО и кибератаки.

Типы хакеров

Хакер в белой шляпе (White Hat Hacker)

Это опытные высоковалифицированные хакеры, обладающие знаниями в области кибербезопасности. Белые хакеры работают на правительства или организации и им официально разрешено проникать в системы. Они используют уязвимости в системе, чтобы взломать её и оценить уровень кибербезопасности организации.

Задача белых хакеров – обнаруживать слабые места в системе и укреплять их, чтобы отражать внешние угрозы. Белые хакеры придерживаются рекомендаций, установленных правительством.

Хакер в черной шляпе (Black Hat Hacker)

Это опытные компьютерные специалисты и важные участники кибертерроризма. У черных хакеров всегда преступные мотивы – они проникают в системы, чтобы украсть конфиденциальные данные или повредить систему. Они используют различные методы взлома, в зависимости от их уровня навыков и знаний.

Как правило, они продают украденные ресурсы в дарквебе, используют их в личных целях или вымогают деньги за возврат данных у жертвы.

Хакер в серой шляпе (Grey Hat Hacker)

Это хакер или ИБ-специалист, который иногда может нарушать законы, но не имеет злого умысла, типичного для хакера в черной шляпе. Такие хакеры могут иметь как преступные, так и этичные намерения. В этом случае, хакер классифицируется как серый хакер, если мотивом является личная выгода.

Хакер в зеленой шляпе (Green Hat Hacker)

Это начинающие хакеры. Их цель – усердно работать и получить необходимые навыки, чтобы стать опытными хакерами.

Хакер в красной шляпе (Red Hat Hacker)

Эти хакеры похожи на белых хакеров. Их цель – предотвратить нападение черных хакеров. Красные хакеры не обороняются, а дают сдачи. Хакеры в красных шляпах запускают полномасштабные атаки против киберпреступников, используя целый ряд агрессивных методов.

Хакер в синей шляпе (Blue Hat Hacker)

Они используют взлом как инструмент, чтобы завоевать доверие других хакеров. Это хакеры-любители, не заинтересованные в изучении особенностей взлома. Хакеры в синей шляпе являются опасными участниками кибертерроризма не потому, что они умеют взламывать, а потому, что у них есть злонамеренные цели.

Хакер в желтой шляпе (Yellow Hat Hacker)

Они сосредоточены на взломе аккаунтов соцсетей с помощью различных инструментов. Из-за своих злонамеренных целей этот тип хакера сравним с хакером в черной шляпе. Часто хакера в желтой шляпе также называют хакером в фиолетовой шляпе.

Хакер в фиолетовой шляпе (Purple Hat Hacker)

Хакер в фиолетовой шляпе тестирует свои собственные компьютеры, чтобы проверить свои навыки кибербезопасности и взлома.

Хактивист (Hacktivist)

Эти хакеры стремятся взломать официальные веб-сайты. При этом они выдают себя за активистов, отсюда и название «хактивисты». Хактивист — это человек или группа анонимных хакеров, стремящихся получить доступ к правительственным сетям и веб-сайтам. Данные, полученные из доступных государственных документов, используются для получения социальной или политической выгоды на индивидуальной основе.

Является ли хактивизм преступлением?

Методы, которые используют хактивисты, являются незаконными и представляют собой своего рода киберпреступление. Но правоохранительные органы редко обращают внимания на такие преступления, поэтому они часто остаются безнаказанными. Ущерб в результате взлома обычно невелик, и правоохранительным органам бывает сложно точно определить хакеров.

Причины кибертерроризма

Кибератаки могут иметь самые разные мотивы, но большинство из них носят финансовый характер. Однако, как показывает практика, хакеры становятся более политически мотивированными.

В чем разница между кибервойной и кибертерроризмом?

Кибервойна — это разновидность информационной войны, и она ограничивается Интернетом. Кибервойна и информационная война имеют конкретные цели в конфликте, а кибертерроризм носит массовый характер и наносит вред любому, кто попал в зону влияния злоумышленников.

Как кибератаки влияют на общество

Нехватка электроэнергии, отказ оборудования и раскрытие конфиденциальной информации о национальной безопасности — все это может быть вызвано кибератаками. Они могут привести к краже секретной и личной информации, а также отключить IT-системы, телефонные, компьютерные сети и заблокировать доступ к данным.

Самые распространенные виды киберпреступлений

Фишинг и связанные с ним виды мошенничества были наиболее распространенными киберпреступлениями, о которых сообщалось в Центр жалоб на интернет-преступления США (IC3) в 2021 году, от которых пострадали около 324 тысяч человек. Кроме того, IC3 получила сообщения примерно о 52 000 случаев утечки персональных данных в том же году.

Как кибертерроризм может повлиять на физическую инфраструктуру

Злоумышленники стремятся повредить или нарушить работу критической инфраструктуры, предоставляющую основные услуги, особенно те, которые связаны с правительством и финансами.

Нарушая работу IT-систем, которые управляют физическими процессами, киберпреступники могут нанести ущерб физической инфраструктуре, даже не имея физического доступа к цели атаки. Такие атаки наносят ущерб частным предприятиям и ставят под угрозу национальную безопасность. Для эффективной защиты систем крайне важно, чтобы правительство и бизнес-сектор работали вместе.

Заключение

Не стоит не связывать терроризм в цифровом мире с терроризмом в реальном мире. Будет правильней рассматривать кибертерроризм как операционную стратегию, направленную на достижение определенного психологического результата. Несмотря на количество информации и политику в области кибертерроризма, эта деятельность находится «на старте» и только начинает расширяться.

Если вам нравится играть в опасную игру, присоединитесь к нам — мы научим вас правилам!

Любимые тактики хакерских группировок

image
Взлом компьютерных систем может происходить по-разному — от изощренных атак со взломом сетевых компонент до технически примитивных техник типа компрометации деловой переписки. В этом посте мы разберём тактики, которые используют самые опасные хакерские группировки — Lazarus, Pawn Storm, Cobalt, Silence и MoneyTaker.

Один из важнейших критериев выбора хакерских инструментов, помимо степени владения ими участников группировки, — это эффективность. Современные кибератаки — сложные многоступенчатые операции, проведение которых требует много времени и серьёзных финансовых ресурсов. Если проникновение в систему не удастся, вся предварительная работа и затраты окажутся напрасными. Таким образом, тактики проникновения в системы, которые используют ведущие группировки, можно рассматривать в качестве наиболее эффективных.

В числе таких тактик следует выделить:

  1. все виды фишинга — классический, целевой, фишинг через социальные сети, tabnabbing;
  2. атаки на цепочки поставок;
  3. атаки типа Watering Hole («водопой»);
  4. атаки через уязвимости сетевого оборудования и операционных систем;
  5. атаки через перехват DNS.

Фишинг


В простейшем варианте фишинг — это обычный емейл, в котором содержится вредоносное вложение или ссылка. Текст письма составлен таким образом, чтобы убедить получателя выполнить нужные отправителю действия: открыть вложение или перейти по ссылке, чтобы сменить пароль.

Письма, отправленные коллегами или руководителями, вызывают больше доверия, чем послания от незнакомцев, особенно если оформление письма соответствует принятому в компании стилю. В связи с этим подготовительный этап киберкампании, использующей фишинг, обязательно включает в себя сбор сведений о структуре организации, списка сотрудников и их емейлов, а также реальных писем, содержащих элементы оформления.

Группировка Silence использует для проникновения самый обычный фишинг с небольшим нюансом: её кампании обязательно включают тестовый этап с рассылкой безвредных писем для проверки актуальности собранной базы адресов. Это позволяет повысить эффективность атаки, рассылая письма с вредоносной нагрузкой по выверенной базе получателей.

Группировка Pawn Storm также использует фишинговые рассылки, а для повышения их эффективности в них добавляется такой усилитель воздействия, как авторитет. В связи с этим подготовительный этап их кампании включает так называемый High-Credential Phishing — хищение учётных записей высокопоставленных лиц. Собрав достаточное количество таких данных по целевой организации, Pawn Storm проводит рассылку от лица этих персон, «зарядив» их полезной нагрузкой, обеспечивающей успешное достижение цели.

В арсенале приёмов Fancy Bear есть ещё один, не слишком известный, — подмена легального сайта на фишинговый во вкладках браузера — tabnabbing, описанный Азой Раскиным из Mozilla в 2010 году. Атака tabnabbing выглядит следующим образом:

  • жертву заманивают на безобидный сайт, который контролируется злоумышленником;
  • на сайте имеется скрипт, который отслеживает поведение жертвы: как только она переключается на другую вкладку или длительное время не выполняет действий, содержимое сайта меняется на страницу авторизации в почте или социальной сети, а favicon сайта на favicon соответствующего сервиса — Gmail, Facebook и т.д.
  • вернувшись на вкладку, жертва обнаруживает, что её «разлогинило» и без сомнений вводит свои учётные данные;
  • скрипт передаёт логин и пароль злоумышленнику, а затем переадресовывает жертву на соответствующий сервис, который и не думал никого разлогинивать.

Команда MoneyTaker, которая специализируется на банках, проводит фишинговые рассылки от имени других банков, центрального банка, министерства финансов и других связанных с финансами организаций. Копируя шаблоны соответствующих ведомств, они придают письмам необходимую и достаточную для успешной атаки степень убедительности.

Атаки на контрагентов


Часто случается, что целевая организация хорошо защищена, особенно если речь идёт о банке, военной или государственной организации. Чтобы не разбивать лоб о «бетонную стену» защитных комплексов, группировки атакуют контрагентов, с которыми взаимодействует их мишень. Скомпрометировав почту нескольких сотрудников или даже внедрившись в переписку, хакеры получают необходимую для дальнейшего проникновения информацию и возможность выполнить задуманное.

Например, группировка Cobalt проникала в банковские сети, атакуя системных интеграторов и поставщиков других услуг, а взломы разработчиков электронных кошельков и терминалы оплаты позволили ей с помощью собственной программы автоматически похищать деньги через платёжные шлюзы.

Атака типа «водопой»


«Водопой», или Watering Hole, — одна из любимых тактик хакеров Lazarus. Смысл атаки состоит в компрометации легальных сайтов, которые часто посещают сотрудники целевой организации. Например, для сотрудников банков такими ресурсами будет сайт центрального банка, министерства финансов и отраслевые порталы. После взлома на сайте под видом полезного контента размещаются хакерские инструменты. Посетители загружают эти программы на свои компьютеры и обеспечивают атакующим доступ в сеть.

Среди взломанных Lazarus сайтов — польская Комиссия по финансовому надзору, Банк Восточной Республики Уругвай и Национальная банковская и фондовая комиссия Мексики. Для взлома сайтов хакеры использовали уязвимости в Liferay и JBoss.

Уязвимости ОС и сетевого оборудования


Эксплуатация уязвимостей операционных систем и сетевого оборудования дают серьёзные преимущества, однако для этого требуются профессиональные знания и навыки. Использование эксплойт-китов без глубокого понимания принципов их работы быстро сведёт к нулю успех атаки: взломать взломали, но ничего не смогли сделать.

Атаки с применением уязвимостей характерны для группировок MoneyTaker, Lazarus и Pawn Storm. Первые две группы в основном используют известные ошибки в прошивках сетевого оборудования для внедрения в сеть компании своего сервера через VPN, через который проводят дальнейшие действия. А вот в арсенале Pawn Storm обнаруживаются опаснейшие уязвимости нулевого дня, для которых нет патчей; она проводит сканирование систем, в которых имеются известные уязвимости.

Атаки через DNS


Это семейство атак мы зафиксировали только у Pawn Storm. Другие известные группировки, как правило, ограничиваются фишингом и двумя-тремя альтернативными методами.

Pawn Storm использует несколько уровней DNS-компрометации. Например, известны случаи, когда они похищали учётные данные компании от панели управления DNS и меняли MX-серверы на свои, получая полный доступ к переписке. Вредоносный сервер принимал и передавал всю почту целевой компании, оставляя у себя копии, а хакеры могли в любой момент внедриться в любую цепочку и добиться нужного результата, оставаясь незамеченными.

Другой способ компрометации предполагал получение полного контроля над серверами DNS-регистратора. Во многих странах имеется лишь совсем небольшое число регистраторов, поэтому перехват управления над крупнейшими из них обеспечивал практически бесконечные возможности для внедрения в информационный обмен большинства государственных и частных организаций, фишинга и других видов воздействия.

Выводы


Фишинг популярен не только у скрипт-киддис, арендующих доступ к вредоносным сервисам типа «Фишинг-как-Услуга» или «Вымогатель-как-Услуга». Эффективность и относительная дешевизна этого метода сделала его основным, а иногда и единственным оружием самых опасных группировок. Богатство вариантов его использования играет на руку преступникам: перед компрометацией деловой переписки пасуют большинство защитных решений, а доверчивость и рассеянность пользователей ещё долго будет надёжной опорой для мошеннических атак.
Защита компьютерных систем и сетевого оборудования — несомненно, важная задача наряду со своевременной установкой обновлений безопасности, однако с учётом хит-парада киберпреступных тактик на первое место выходят меры, связанные с защитой от человеческого фактора.

Перехваченные учётные данные от почты высокопоставленной персоны позволят преступникам похитить конфиденциальные сведения особой важности, а затем использовать эту почту и информацию для проведения многоходовой атаки. Между тем, банальная тренировка навыков и использование MFA лишили бы хакеров такой возможности.

Однако защитные системы также не стоят на месте, обнаруживая вредоносные действия с помощью искусственного интеллекта, глубокого обучения и нейросетей. Разработки такого класса проводят многие компании, и мы также предлагаем нашим клиентам защититься от изощрённых BEC-атак с помощью специально обученного искусственного интеллекта. Их использование совместно с тренировкой сотрудников навыкам безопасного поведения позволит успешно противостоять кибератакам даже самых технически подготовленных группировок.

Похожие публикации:
  1. График 3 3 сколько рабочих дней в месяце
  2. Как защитить свои права на работе от начальства
  3. Как пишется слово характеристика
  4. Совет депутатов как правильно пишется

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *