Целевые атаки, таргетированные атаки, они же расширенная постоянная угроза (на английском кратко APT) — это особый тип кибератак, для проведения которых злоумышленники в качестве цели выбирают конкретную компанию или организацию. Это не тоже самое, что обычные массовые атаки, которые проводятся быстро и рассчитаны на то, что наименее подготовленные и незащищенные пользователи попадутся. APT-атаки проводятся размеренно и аккуратно, одна только подготовка к развертыванию такой атаки может занять месяцы или даже годы.
Первоначально термин APT относился к атакам, якобы осуществляемым спецслужбами зарубежных стран и направленным на правительственные и военные объекты. Сейчас же термин в общем обозначает сложные многоэтапные атаки, направленные на любую конкретную организацию.
Обнаружение APT-атак — сложная и комплексная задача. Дело в том, что проникновение хакеров в систему может оставаться незамеченным в течение очень долгого периода времени. В связи с этим, практически невозможно в полной мере оценить количество совершенных в мире целевых атак.
Однако, по имеющимся на 2019 год данным, APT-атаки стали более распространены, чем традиционные массовые атаки. Чаще всего целевым атакам подвергались государственные учреждения, крупные предприятия, сфера медицины, образования и финансовый сектор.
Что такое целевая атака?
Из-за достаточно специфического характера целевых атак, не существует четких критериев определения того, что именно она была проведена. Тем не менее, вот несколько пунктов-характеристик относительно APT-атак, с которыми согласно большинство экспертов по безопасности:
- Атака производится на конкретные организации в банковском, производственном, государственном секторе или любой другой целевой отрасли. Обычные пользователи не становятся мишенью, если они не являются сотрудниками целевой организации или целевого сегмента
- На планирование и подготовку атаки уходит много времени
- Программное обеспечение, используемое для проведения атаки, разработано специально. Это делается для того, чтобы атаку было практически невозможной обнаружить с помощью обычных антивирусов и средств защиты
- Для проникновения в компанию-жертву используются те же методы, что и при массовых атаках (например, фишинг). При APT-атаках существует значительный риск того, что сотрудники могут стать жертвами методов социальной инженерии, а это увеличивает шансы на успешное проникновение в организацию
- Могут быть использованы временные уязвимости
- После того, как атака была обнаружена и идентифицирована как целевая, она становится уже «массовой» атакой (это означает, что злоумышленники скорее всего продолжат использовать созданные инструменты, но уже в более крупном масштабе). Поэтому атаку необходимо будет обработать, и защитить систему с помощью выпуска соответствующих обновлений
Целью атаки может быть любая ценная для преступников информация. Ценная это та, которую можно будет впоследствии продать или использовать для компрометации организации.
Помимо этого, информация может быть перепродана конкурентам и использована ими для получения преимущества на рынке. Большинство целевых атак проводится для получения коммерческой тайны организации, личных и платежных данных сотрудников или другой важной информации.
Государственные организации и дипломаты, финансовые, энергетические, космические, телекоммуникационные и ИТ-компании, учреждения здравоохранения и образования, военные поставщики, а также общественные и политические активисты подвержены наибольшему риску.
Как это может произойти?
Мы разобрались, какие атаки можно отнести к целевым. Теперь давайте посмотрим, как же осуществляются эти APT-атаки. Публичная информация и данные расследования инцидентов показывают, что единственное ограничение в проведении целевых атак — это воображение и навыки киберпреступников. Преступниками могу быть предприняты любые действия, поскольку их не волнуют принципы морали и нравственности — главное добиться своего, то есть украсть необходимых данных.
Мы уже упоминали, что APT-атаки проводятся в несколько этапов. Начинается все с исследования системы и проникновения в нее через какую-то лазейку. После успешного проникновения злоумышленники стараются прочно закрепиться в инфраструктуре компании-жертвы и получают доступ ко всей внутренней информации. Все свои действия злоумышленники производят очень аккуратно и незаметно для команды безопасности компании. А потом не торопясь изучают внутри сети все, что захотят и выбирают наиболее ценную и полезную информацию.
Первоначальное проникновение может быть выполнено разными способами:
- Это может быть прямой физический доступ через фишинговую атаку на сотрудника, через выдачу себя за поставщика, спонсора или даже клиента.
- Доверительные отношения с другими организациями также могут использоваться против компании, что еще больше усложняет защиту. Вот почему важно проверять уровни доступа сотрудников к данным и правильно распределять этот самый доступ. Такие меры помогут затруднить взлом системы.
- Также могут производится атаки через удаленное включение файла (RFI), внедрение SQL инъекций или межсайтовый скриптинг (XSS). После этого в ход идут трояны и бэкдор оболочки, используемые для закрепления и расширения постоянного присутствия в вашей внутренней сети.
Как всего этого избежать?
Если целью APT-атаки является ваша компания, то полностью избежать ее, скорее всего не получится. Процесс защиты усложняется тем, что попытки проникновения за периметр обороны могут производиться множество раз в течение длительного периода времени. То есть до тех пор, пока злоумышленник, наконец, не добьется успеха.
Вредоносное ПО, используемое злоумышленниками, скорее всего, уже было проверено самими хакерами с помощью антивируса и других методов защиты. Они изучают, какие изменения необходимо внести во вредоносный код для его модификации и улучшения. Кроме того, злоумышленники часто исследуют инструменты и приложения, используемые целевой компанией, в поисках лазеек и уязвимостей, которые могут быть использованы для атаки.
В отличие от традиционных атак, целевые требуют больше ресурсов. Это означает, что у APT-атак обычно есть спонсоры. Иногда группировки APT-хакеров даже финансируются государством и используются в качестве оружия в международной кибервойне.
Как говорится, если у вас есть информация, стоящая 100 миллионов, будьте готовы к тому, что кто-то будет готов потратить 50 миллионов только на то, чтобы ее украсть. Единственное, что вы можете сделать, — это настроить всестороннюю защиту вашей организации. И быть всегда готовым к худшему, имея при этом в арсенале инструменты для быстрого обнаружения и нейтрализации атаки с минимизацией ущерба.
Что насчет защиты?
Защита и своевременное выявление APT-атак требует всестороннего подхода с участием сетевого администратора, поставщиков услуг безопасности и, что очень важно, всех отдельных пользователей.
Подобно тому, как злоумышленники постоянно совершенствуют свое ПО для кражи данных, поставщики средств безопасности обновляют свои инструменты для противодействия различным атакам. Разрабатываются специальные продукты не только для поиска неизвестных или подозрительных частей кода, но и для обнаружения любой непонятной активности. Все это нужно из-за того, что не всегда методом атаки является вредоносное ПО. Иногда хакеры используют легитимные программы, умело адаптируя их уязвимости под свои цели.
Некоторое ПО для безопасности анализирует файлы, загруженные из Интернета, а также все виды сетевой активности и поведения пользователей. Иные модули даже предоставляют злоумышленникам возможность заполучить поддельные данные, сохранив в целости реальные.
Однако всегда лучший вариант — это комплексная защита.
Делай раз, делай два, делай три…
- Мониторинг входящего и исходящего трафика считается лучшим способом предотвратить установку бэкдоров, а также заблокировать извлечение украденных данных
- Проверка трафика в периметре сети также может помочь предупредить персонал службы безопасности о любом необычном поведении. А необычное поведение в сети может указывать на злонамеренную активность (например, нерегулярный вход в систему или передача необычно больших объемов данных)
- Еще один шаг — добавление доверенных приложений и доменов в белый список
Белый список — это способ управления доменами, доступными из вашей сети, а также приложениями, которые сотрудники могут устанавливать на свои компьютеры. Это полезный метод для снижения вероятности успеха APT-атак за счет минимизации доступных точек атаки.
Однако эта мера безопасности не очень надежна, поскольку даже самые безопасные и доверенные домены могут быть скомпрометированы. Также, как уже упоминалось, нередки случаи того, что вредоносные файлы выступают под видом легитимного программного обеспечения. Да и просто старые версии программных продуктов подвержены более высокому риску взлома. Чтобы эффективно использовать белый список, в компании необходимо будет внедрить строгие политики обновления, чтобы сотрудники всегда использовали последнюю версию любого приложения из доверенного списка. - Контролируйте уровни доступа. Для злоумышленников сотрудники целевой организации обычно представляют собой самое большое и уязвимое место в периметре безопасности. Чаще всего именно поэтому хакеры рассматривают пользователей вашей сети в качестве помощников для легкого проникновения внутрь организации.
- Неосторожные пользователи, игнорирующие политики сетевой безопасности и неосознанно предоставляющие доступ к потенциальным угрозам
- Скомпрометированные пользователи, чьи права доступа к сети используются злоумышленниками
- Сотрудники, которые намеренно злоупотребляют своими учетными данными, чтобы предоставить злоумышленникам доступ
Разработка эффективных средств контроля безопасности требует анализа сотрудников организации, и особенно анализа информации, к которой у них есть доступ. Например, классификация данных по принципу служебной необходимости помогает предотвратить возможность злоумышленника перехватить учетные данные для доступа к конфиденциальным материалам у низкоуровневого сотрудника.
А ключевые точки доступа к сети должны быть защищены двухфакторной аутентификацией. Это предотвращает перемещение по вашей сети не авторизованных лиц, замаскированных под сотрудников.
И еще нужно всегда, как можно скорее, устранять уязвимости сети и ОС, шифровать удаленные соединения, фильтровать входящие электронные письма для предотвращения фишинговых атак и спама, а также вести подробный журнал событий безопасности для улучшения этих самых политик безопасности.
Кто же посмел нас атаковать?
Определить, кто инициировал целевую атаку, — чрезвычайно сложная задача. Для этого вам необходимо собрать множество доказательств и фактов, которые предполагают участие хакеров определенной национальности или принадлежащих конкретной организации. Это требует много времени, усилий и организованности между компанией-жертвой, группами информационной безопасности, правоохранительными органами и, возможно, даже официальными лицами из других стран.
И даже после бесконечных исследований все еще не гарантируется, что вы выясните, кем на самом деле был преступник. Чаще всего виновных можно выявить только из-за грубых ошибок или «намеков», оставленных в коде вредоносных программ. Это могут быть слова, прямо или косвенно указывающие на язык злоумышленников. Например, если в коде замечены русские слова, у вас есть мотив полагать, что атакующими были хакеры из России, а может просто из русскоговорящих стран. Но даже это не весомое доказательство, ведь некоторые злоумышленники достаточно умны, чтобы оставлять подобные ловушки специально.
По всему миру более 100 групп злоумышленников, промышляющих APT-атаками. И число группировок растет с каждым днем. Такое быстрое развитие предполагает, что хакеры постепенно оптимизируют свои инструменты и методы работы. Сейчас организовать целевую атаку стало дешевле, что делает борьбу с APT-атаками все сложнее и сложнее.
