APT - Таргетированные или целевые атаки. ИБ - Система обнаружения мошенничества (фрод), ИБ - Управление информацией и событиями в системе безопасности (SIEM)
 
2015/08/25 11:45:36

APT - Таргетированные или целевые атаки

APT (англ. advanced persistent threat — «развитая устойчивая угроза»; также целевая или таргетированная кибератака). Особенность целенаправленных атак (APT) заключается в том, что злоумышленников интересует конкретная компания или государственная организация. Это отличает данную угрозу от массовых хакерских атак – когда одновременно атакуется большое число целей и наименее защищенные пользователи становятся жертвой. Целенаправленные атаки обычно хорошо спланированы и включают несколько этапов — от разведки и внедрения до уничтожения следов присутствия. Как правило, в результате целенаправленной атаки злоумышленники закрепляются в инфраструктуре жертвы и остаются незамеченными в течение месяцев или даже лет – на протяжении всего этого времени они имеют доступ ко всей корпоративной информации.

Содержание

Сложности классификации

Таргетированные или целевые атаки – атаки, направленные в отношении конкретных коммерческих организаций или государственных ведомств. Как правило, такие атаки не носят массовый характер и готовятся достаточно длительный период. Злоумышленники изучают информационные системы атакуемого объекта, узнают, какое программное обеспечение используется в тех или иных целях. Объектами атаки являются весьма ограниченные какими-либо рамками или целями конкретные информационные системы и/или люди. Вредоносное ПО специально разрабатывается для атаки, чтобы штатные антивирусы и средства защиты, используемые объектом и достаточно хорошо изученные злоумышленниками, не смогли обнаружить угрозу. Чаще всего это уязвимости нулевого дня и особые алгоритмы связи с исполнителями/заказчиками атаки.

Юрий Черкас, руководитель направления инфраструктурных ИБ-решений Центра информационной безопасности компании «Инфосистемы Джет» cчитает, что практически постоянная полемика вокруг определения термина «таргетированная атака» затрудняет классификацию этого термина. Он отмечает, что целевая атака использует те же механизмы взлома, что и любая другая (спам, фишинг, заражение часто посещаемых сайтов и т.д.). «На мой взгляд, одним из основных признаков таргетированной атаки является ее явная направленность на конкретную организацию. Например, вирус, написанный для конкретного ПО собственной разработки конкретной организации. Но так бывает далеко не всегда. Хакер может использовать имеющиеся у него наборы эксплойтов и другие инструменты для атаки на компанию-жертву. В этом случае определить, относится ли атака к таргетированной, достаточно сложно, так как для проведения атаки использовались уязвимости распространенных ОС и прикладного ПО», говорит Юрий Черкас.

Сложности при квалификации целевых атак - один из факторов, который не позволяет рассчитать даже их приблизительное количество.

КДУ (Комплексные Долговременные Угрозы)

Категория киберпреступлений, преследующих цели в бизнесе и политике

Цели атак

По данным A.T. Kearney:

  • Офис правления компании. Часто аппаратура ненадлежащим образом защищена от физического повреждения (например, со стороны персонала по уборке или техническому обслуживанию помещений).

  • НИОКР. Обычно это отдел, требующий самого высокого уровня защиты, но зачастую он защищен не лучше, чем другие отделы.

  • Центры обработки данных представляют собой надежную среду для размещения частного облака. Проблемой является обеспечение безопасного функционирования многочисленных серверов, а также приложений, работающих на этих серверах.

  • Сеть поставщиков. Из-за расширяющегося применения сетевых решений при работе с поставщиками возникают риски, связанные с тем, что относительно небольшие компании-поставщики, как правило, хуже защищены.

  • Облачные вычисления.В основе своей использование внешнего облака безопасно. Проблемы связаны с тем, что уровень защиты данных зависит от законодательства и что возможен доступ со стороны спецслужб.

  • Производство. Множество старых специализированных систем все чаще объединяется в сети, и их работу трудно отслеживать и контролировать. Атаки злоумышленников в этом случае могут привести к производственным потерям или даже к краху компании.

  • Базы данных обеспечивают безопасное хранение важной информации. Главная слабость – то, что в качестве «инструментов» для проникновения в базы данных взломщики могут использовать администраторов.

  • Конечная продукция, активируемая с помощью информационных технологий. Растущий уровень использования сетевых решений для обеспечения функционирования конечной продукции облегчает проведение кибератак. Дистанционно контролируя устройства пользователей с целью провоцирования поломок, хакеры имеют возможность незаконно получать через эти устройства конфиденциальную информацию. В связи с этим компании может грозить потеря репутации и получение исков от пользователей, ставших жертвами мошенничества

  • Офисные сети. Растущий уровень сетевого взаимодействия, предусматривающего объединение почти всех систем, предоставляет хакеру богатые возможности, если он сумеет проникнуть в сеть

  • Продажи. Утечка маркетинговых планов, информации о ценах и клиентах подрывает репутацию компании и лишает ее конкурентных преимуществ.

  • Мобильные устройства. Покупая смартфоны, доступные на коммерческом рынке, пользователи часто вводят в их память конфиденциальные данные, которые, как правило, без труда могут быть похищены хакерами. Самые испытанные и надежные концепции обеспечения безопасности могут оказаться бесполезными, если сотрудники компании используют собственные мобильные устройства для решения рабочих задач.

  • Интернет-магазины. Для незаконного доступа под видом реально существующих покупателей и совершения мошеннических действий хакеры используют реквизиты кредитных карт и личные данные клиентов.

  • Телефонные звонки. Эксплуатируя готовность людей помогать друг другу, злоумышленники могут использовать телефонные звонки как способ легкого получения нужной информации.

Таргетированные атаки в финансовой сфере

В обзоре о несанкционированных переводах денежных средств в 2014 году, опубликованном ЦБ РФ накануне, отмечается, что 23 кредитные организации сообщили об инцидентах, имеющих признаки целевых атак. Эксперты подсчитали, что инциденты были направлены на списание средств на сумму 213,4 млн рублей.

Все инциденты связаны с вешним воздействием на ИТ-инфраструктуру в том числе и с внедрением вредоносного кода, благодаря которому высокотехнологичные преступники намеревались выводить средства.

Попытки взлома имеют типовые особенности: атака была целевой и учитывала особенности процессов отправки и обработки сообщений в определенной платежной системе; вредоносный код в ряде случаев стандартными средствами антивирусной защиты не выявлялся, несмотря на актуальные антивирусные базы; зафиксированы также факты проникновения хакеров в локальные сети банков, чтобы, в том числе, с помощью попыток внедрения вредоносного кода через электронные сообщения.

Представители банков констатируют: если раньше мошенники предпочитали грабить клиентов, то теперь переключились на более крупную добычу, а именно – на сами финансово-кредитные учреждения.

«Это более сложная процедура, но с точки зрения выгоды хакерам удобнее взламывать банки, где деньги лежат в одном месте. Основной тенденцией становятся так называемые таргетированные атаки. Они готовятся месяцами и в отношении конкретных банков и финансовых организаций. Это реальная угроза, от которой очень сложно защитится даже продвинутым в плане информационной безопасности банкам. Злоумышленники достаточно хорошо изучили банковское ПО, АБС, средства защиты и так далее», - отмечает Юрий Лысенко, начальник управления информационной безопасности банка Хоум Кредит.
С ним соглашается и Станислав Павлунин, вице-президент по безопасности Тинькофф Банка: «Целевые атаки идут бок р бок с социальной инженерией. DDoS-атаки никуда не исчезли, однако работать с ними гораздо проще, чем с вирусами, которые злоумышленники пишут для целенаправленных действий. Стандартные антивирусы не обнаруживают зловредных объектов, которые написаны для объекта атаки. Системы, которые позволяют фиксировать такие целевые атаки на конкретную финансовую организацию и выявлять риски на лету – это другой класс безопасности», - погалает Станислав Павлунин.

В то же время Юрий Лысенко прогнозирует увеличение числа целевых атак на конкретные банки и финансовые организации, системы дистанционного банковского обслуживания и т.д.

Методики целевой атаки

Публично доступная информация о средствах проведения таргетированных атак и расследовании инцидентов (которые имеют признаки целевых атак) позволяют говорить о разнообразии методов. Например, могут использоваться полностью автоматизированные методы, так и телефонные звонки.

Злоумышленники в ходе атаки исследуют различные возможности, чтобы получить доступ к необходимой информации. Может осуществляться прямой физический доступ или атаковаться сотрудники компании, их устройства и учетные записи в интернет-сервисах.

«Существенной проблемой становится безопасность смежных информационных систем – компаний-поставщиков (особенно разработчиков ПО, осуществляющих поддержку своего продукта) и клиентов. Доверенные отношения с ними могут быть использованы для обхода граничных средств защиты. Это значительно расширяет и без того сложный периметр защиты», - говорит Алексей Качалин, заместитель генерального директора компании «Перспективный мониторинг».

Уйти от попыток таргетированных атак жертве вряд ли удастся. Например, злоумышленник хочет получить доступ к внутренним ресурсам интересующей его компании. Для этой цели злоумышленник может инициировать множество целевых атак, на протяжении нескольких месяцев или лет. Все элементы атаки (сетевые атаки, вредоносное ПО) могут быть предварительно проверены на «заметность» для распространенных методов обнаружения. В случае неэффективности такие элементы модифицируются. Аналогично обновлению антивирусных баз могут обновляться и средства вторжения, в том числе и те, что уже функционируют в захваченной системе.

Дополнительная сложность – продолжительность и интенсивность таргетированной атаки. Подготовка может занимать месяцы, а активная фаза – минуты. «Существует вероятность, что рано или поздно атака удастся. В конце концов проблема 0-day уязвимостей актуальна всегда. Если у вас есть информация, которая стоит 100 млн, то будьте готовы к тому, что найдется кто-то готовый потратить 50 млн на то чтобы ее украсть. Поэтому единственное что можно сделать – это быть готовым к компрометации и иметь инструменты для быстрого обнаружения атаки, ее пресечения и минимизации ущерба», - считает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».

Установление организаторов

Большинство из таргетированных атак обнаруживается постфактум. Самой большой проблемой остается атрибуция – установление организаторов и исполнителей таких атак.

Установление виновника – это чрезвычайно сложная задача, уверены эксперты. В этом процессе необходимо собрать максимальное число факторов, которые бы указывали на причастность хакерской группы определенной национальности или организации к совершению преступления. Для этого необходимо взаимодействие между компаниями, работающими в сфере информационной безопасности, жертвами, правоохранительными органами разных стран и т.д. Но и в этом случае устанавливаются только единицы виновников, чаще всего из-за грубых ошибок атакующих.

«Для определения источника атаки необходимо учитывать множество факторов. Прежде всего, это анализ кода – в нем могут содержаться слова, косвенно указывающие на языковую или национальную принадлежность авторов. Например, русские слова, написанные латиницей, или ошибки, которые обычно свойственны именно русским авторам и т.д. Однако киберпреступники могут намеренно оставлять такие ложные следы, запутывая тем самым следствие», - говорил Александр Гостев.

Более 100 группировок целенаправленно атакуют коммерческие и госорганизации

Эксперты из глобального центра исследований и анализа угроз «Лаборатории Касперского» сообщили летом 2016 года, что в мире активно более 100 групп, организующих кампании кибершпионажа и атаки класса АРТ, и под их прицел попадают коммерческие и государственные организации в 85 странах мира.

По мнению представителей компании, столь динамичное развитие этой угрозы говорит о том, что целевые атаки перестали быть уделом избранных: злоумышленники оптимизируют свои техники и инструменты, и это удешевляет и упрощает организацию вредоносной кампании, что, в свою очередь, способствует появлению новых игроков.

Основная цель атаки класса АРТ — кража конфиденциальной информации, которую впоследствии можно использовать для получения геополитического преимущества или продажи заинтересованным лицам. По наблюдениям «Лаборатории Касперского», наибольшему риску стать жертвой целевой атаки подвергаются правительственные и дипломатические организации, финансовые компании, предприятия, работающие в энергетической и космической отраслях, учреждения в сфере здравоохранения и образования, телекоммуникационные и ИТ-компании, поставщики для вооруженных сил, а также общественные и политические активисты.

«Мы изучаем сложные целевые атаки более шести лет и с уверенностью можем сказать, что в последнее время они все чаще применяются не только для шпионажа, но и для кражи денег. Целевые атаки затрагивают самые разные организации, их жертвой могут стать отнюдь не только государственные учреждения. Не меньший интерес для злоумышленников представляют крупные компании, обладающие ценной интеллектуальной собственностью или имеющие доступ к большим финансовым активам, — рассказал Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского». — В такой ситуации раннее выявление целевой атаки критически важно для любой организации, желающей сохранить свои конфиденциальные данные. Однако с помощью традиционных защитных решений сделать это очень сложно, поскольку злоумышленники часто используют нетривиальные методы и тщательно скрывают свою активность. Так что компаниям могут помочь либо аналитические сервисы, либо специальные решения для выявления целевых атак».

Методы защиты и предотвращения атак

Практически все вендоры имеют в своей линейке продукт, который позиционируется как средство защиты от таргетированных атак. К их числу можно отнести FireEye, CheckPoint, McAfee и т.д. Эффективность защиты от таргетированных атак не может всецело определяться только применяемыми техническими средствами.

«Если говорить о технических средствах, то их эффективность будет рассматриваться сквозь призму поставленных компанией целей и задач, что лучше оценивать в рамках проведения пилотных проектов в конкретной среде. Подобно любым решениям продукты по защите от таргетированных атак имеют как свои сильные стороны, так и слабые», - считает Алина Сагидуллина, консультант по информационной безопасности компании «ЛАНИТ-Интеграция».
Возможность оперативно реагировать на таргетированные атаки имеют центры мониторинга информационной безопасности. Такие центры могут комплексно анализировать состояние атакуемой системы через системы защиты информации; с помощью экспертов, сконцентрированных на анализе информационной безопасности в наблюдаемой системе; при мониторинге фактов компрометации и утечки информации; совокупном анализе крупных информационных систем. «Это позволяет увидеть схожие признаки аномалий в различных сегментах информационной системы», - рассказывает Алексей Качалин.

Технологии защиты от таргетированных атак были и раньше, но сейчас они выходят на новый уровень. В первую очередь речь идет о различных инструментах для выявления аномалий – как на локальных компьютерах, так и на уровне сетевой активности. Задачей таких систем является поиск всего необычного, что происходит, а не поиск вредоносного года. Это объясняется тем, что во многих случаях атакующие могут вообще не использовать вредоносные программы.

«К этим системам добавляется активно развивающийся класс SIEM – «Security information and event management», позволяющий агрегировать вместе поступающие системные события от разных систем защиты (антивирусов, файрволов, эмуляторов, роутеров и т.д.) и видеть в реальном времени все происходящие изменения», - говорит Александр Гостев.

Новые средства появились и продолжают появляться. Однако их эффективность напрямую зависит от качества их настройки. По словам Юрия Черкаса, основными технологическими направлениями средств защиты являются:

  • песочницы, которые имитируют рабочие станции организации. В песочницах файлы, получаемые из интернета, запускаются и анализируются. Если запускаемый файл влечет за собой деструктивное воздействие, то такой файл определяется как зараженный;

  • анализ аномальной сетевой активности (например, на базе NetFlow), который осуществляется путем сравнения текущей сетевой активности с построенной эталонной моделью сетевого поведения. Например, компьютер или сервер, который всегда коммуницирует с некоторым набором определенных сетевых ресурсов по определенным протоколам, вдруг неожиданно начинает пробовать обращаться напрямую к базам данным;

  • поведенческий анализ рабочих станций, также основанный на сравнении активности рабочих станций с эталонной моделью. Разница в том, что этот анализ осуществляется не на уровне сети, а на уровне самой рабочей станции с помощью агентов. Не так давно появилась интересная технология, которая отслеживает процессы Windows. В случае отклонения от эталонной модели процесс Windows блокируется, тем самым не давая эксплойту выполнить деструктивное воздействие.

«Нюанс в том, что все эти технологии предполагают анализ поведения. В этом случае ошибки 1-го (false positives) и 2-го рода (false negatives) неизбежны, поэтому эффективность сильно зависит от квалификации сотрудников, настраивающих и эксплуатирующих эти решения», - отмечает Юрий Черкас.
Компоненты защиты от таргетированных атак
Компоненты защиты от таргетированных атак

Результаты

  • Профиль злоумышленника
  • Детализированные методы и инструменты, используемые во время атаки
  • Углубленный анализ (какие цели преследуют хакеры, какую информацию они ищут)
  • История и хронология взлома
  • Источники происхождения злоумышленников на основе их IP-адресов и данных DNS

Ущерб от атак – большая загадка даже для жертв

Подсчитать реальный ущерб от таргетированных атак не представляется реальным: по данным ESET‬, 66% инцидентов системы безопасности остаются незамеченными многие месяцы. Именно под это и «заточено» сложное вредоносное ПО‬ для целевых атак: кража данных происходит незаметно, в «фоновом» режиме.

Большое количество атак остается незамеченными. При обнаружении многие компании стараются скрыть факт инцидента и не предавать его огласке. В «Лаборатории Касперского» считают, что каждую неделю в мире становится известно как минимум об одной громкой целевой атаке. В реальности таких громких атак в неделю может происходить более ста.

В исследовании FireEye за 2013 год зафиксировано из 39,5 тыс. уникальных инцидентов, которые были обнаружены их устройствами, 4,1 тыс. атаки были ассоциированы с APT. При этом Россия не вошла в TOP-10 стран, на которые нацелено большинство APT. Это, скорее всего, может объясняться используемыми источниками данных.

Количество таргетированных атак в мире по итогам какого-либо года достаточно сложно оценить. Александр Гостев, отмечает, что в год в мире могут совершаться десятки тысяч инцидентов с целевыми атаками. «Россия находится в общемировом тренде и крупные российские компании и государственные структуры, по моим оценкам, минимум раз в месяц подвергаются попыткам целенаправленного заражения», - отмечает он.

Хроника

2016: Оценка российского рынка хищений

2015: Обзор нарождающихся угроз APT-класса

В первой половине 2010-х Центр глобальных исследований и анализа угроз «Лаборатории Касперского» отслеживал деятельность более 60 преступных групп, ответственных за кибератаки, проводимые по всему миру. Их участники говорят на разных языках: русском, китайском, немецком, испанском, арабском, персидском и других.

Наблюдение за деятельностью этих преступных групп позволило компании составить список, отражающий нарождающиеся угрозы APT-класса. Вот основные из них:

  • Слияние киберпреступности и APT-угроз: с конечных пользователей вектор атак смещается на проведение целевых атак против самих банков;

  • Фрагментация крупных APT-группировок: в результате успешной деятельности по расследованию крупных инцидентов и публикации информации о крупных хакерских группах и их лидерах, некоторые из наиболее крупных и известных APT-группировок распадутся на более мелкие группы, действующие независимо друг от друга. Результатом станут атаки по более широкому фронту. Соответственно, пострадает большее число компаний, поскольку атаки более мелких групп будут более диверсифицированными.

  • Развитие вредоносных методов и приемов: в ближайшее время в компании ожидали появления более сложных внедряемых вредоносных модулей, усовершенствованных методов обхода защиты и более активного использования виртуальных файловых систем (в качестве примеров можно привести кампании Turla и Regin) для сокрытия ценного инструментария и украденных данных.

  • Новые методы передачи краденых данных: давно прошли те времена, когда злоумышленники могли просто установить бэкдор в корпоративной сети и начать загружать терабайты данных на разбросанные по всему миру FTP-серверы. Сегодня продвинутые группировки регулярно используют SSL, а также нестандартные протоколы передачи данных. В ближайшие годы еще ряд группировок включат в свой арсенал использование облачных сервисов, что позволит им более эффективно скрывать отправку данных, украденных у жертв.

  • Новые APT-кампании из неожиданных источников: в 2014 году мы столкнулись с тем, что несколько стран публично выразили заинтересованность в обладании возможностями по проведению атак APT-класса. Мы прогнозируем, что в «гонку кибервооружений» вступят новые страны, которые обзаведутся инструментами для кибершпионажа.

  • Атаки «под чужим флагом»: учитывая растущее стремление государственных органов публично обличать злоумышленников, мы считаем, что APT-группировки внесут соответствующие изменения в организацию своей деятельности и будут чаще проводить вредоносные кампании, в ходе которых атакующие могут применять «неактивное» вредоносное ПО, обычно используемое другими APT-группировками для запутывания следов и усложнения атрибуции.

  • Добавление атак на мобильные устройства в арсенал APT-группировок: мы ожидаем активного применения вредоносного ПО для мобильных устройств, прежде всего для устройств под управлением Android и прошедшей джейлбрейк iOS.

  • APT+ботнет: точно рассчитанная атака + массовая слежка. В этом году к тенденции использования точечных атак в сочетании с привлекающими к себе внимание кампаниями и организацией собственных ботнетов присоединятся новые APT-группировки.

  • Коммерциализация APT-кампаний и частный сектор: за последние годы мы опубликовали много материалов о вредоносных программах, созданных такими компаниями, как HackingTeam и Gamma International – наиболее известными производителями «легального» шпионского ПО. Это высокодоходный бизнес с низким уровнем риска. Поэтому можно ожидать появления новых игроков на рынке «легальных» средств слежки.

2014: Данные Лаборатории Касперского

Летом 2014 года Лаборатория Касперского опубликовала исследование "Информационная безопасность бизнеса". В период с апреля 2013 по май 2014 года было опрошено 3900 респондентов (представителей компаний, обладающих знаниями в отношении рисков информационной безопасности и имеющих влияние на ИТ-процессы в своих организациях) из 27 стран мира, в том числе России.

В тройке самых приоритетных задач ИТ-менеджеров по сравнению с предыдущим годом произошли кардинальные изменения. 41% опрошенных назвало защиту данных от таргетированных атак главным приоритетом. Год назад этот пункт не входил в список приоритетов ИТ-менеджеров. Прежде всего защиту от целевых атак назвали своим приоритетом представители среднего бизнеса (43%) и крупных предприятий (38%). Малый бизнес вопрос таргетированных атак интересует в меньшей степени (32%).


Источник: Лаборатория Касперского, 2014

При этом среди внешних инцидентов ИТ-безопасности таргетированные атаки не являются массовыми (10%). По-прежнему по числу инцидентов преобладают вредоносное ПО (77%), спам (74%) и фишинговые атаки (28%). Рост внимания к целевым атакам, по словам аналитиков Лаборатории Касперского, связан в первую очередь с последствиями.Например, нападение высокотехнологичных хакеров на крупного ритейлера Target позволило завладеть злоумышленникам персональными данными 70 млн клиентов этого сетевого магазина.

Источник: Лаборатория Касперского, 2014

ИТ-специалисты отмечают, что таргетированные атаки составляют незначительную долю среди сверившихся инцидентов. Однако большинство опрошенных отмечает, что для предотвращения целевых атак и своевременного обнаружения попыток взлома, потребуются средства защиты более высокого класса, чем антивирусное ПО. Эксперты Лаборатории Касперского уверены, что для минимизации рисков в случае целенаправленных атак компаниям следует применять комплексный подход к обеспечению информационной безопасности.

Источник: Лаборатория Касперского, 2014

2011: Число целевых атак увеличилось с 77 до 82 в день

Количество целевых атак растёт, к концу 2011 года их количество увеличилось с 77 до 82 в день. Целевые атаки используют социальную инженерию и специализированное вредоносное ПО для получения несанкционированного доступа к конфиденциальной информации. Традиционно такие атаки были направлены на госсектор и правительственные органы, однако в 2011 году их фокус расширился.

Целевые атаки не ограничиваются крупными организациями. Более половины таких атак направлены на организации с менее чем 2,5 тысячами сотрудников и почти 18% на организации с менее чем 250 сотрудниками. Эти организации могут подвергаться атакам, поскольку они находятся в цепочке поставок или являются партнерами экосистемы крупных компаний, при этом имеют более слабые системы защиты. Кроме того, 58% таких атак нацелено на простых сотрудников: отдела кадров, связей с общественностью и продаж. Люди на этих рабочих местах могут не иметь доступа к нужной информации, но могут сработать в качестве входа внутрь компании. Злоумышленники могут достаточно просто найти их контакты в сети, к тому же, данные сотрудники привыкли получать запросы или какие-то файлы от неизвестных лиц.

Смотрите также