Οι στοχευμένες επιθέσεις έγιναν για πρώτη φορά αντικείμενο ενεργών συζητήσεων στην παγκόσμια κοινότητα το 2009. Τότε έγινε γνωστό για την επίθεση στο Stuxnet. Ίσως μπορούμε να πούμε ότι ξεκίνησε από αυτήν πρόσφατη ιστορίαστοχευμένες κυβερνοεπιθέσεις. Τι είναι αυτό το είδος εγκλήματος στον κυβερνοχώρο και πώς μπορούν να εξελιχθούν τέτοιες επιθέσεις, αναλυτικότερα στο υλικό μας.

Τι είναι οι στοχευμένες επιθέσεις;

Οι στοχευμένες (ή σκόπιμες) επιθέσεις είναι προσχεδιασμένες ενέργειες εναντίον μιας συγκεκριμένης κρατικής ή μη κρατικής δομής ή οργανισμού. Κατά κανόνα, οι εγκληματίες του κυβερνοχώρου που εμπλέκονται σε στοχευμένες επιθέσεις είναι επαγγελματίες, μπορούν να συγκριθούν με τους παραδοσιακούς επιτιθέμενους που κλέβουν αυτοκίνητα κατά παραγγελία: έχουν συγκεκριμένο στόχο, μελετούν τα μέσα προστασίας του αυτοκινήτου για να τους παρακάμψουν με επιτυχία αργότερα.

Σήμερα, η δραστηριότητα των χάκερ αποκτά όλο και περισσότερα χαρακτηριστικά μιας παραδοσιακής επιχείρησης. Υπάρχει ένα είδος «μαύρης αγοράς» στην αγορά - σκιώδη σχέδια και τόποι πώλησης εργαλεία λογισμικούαπαραίτητη για την επίθεση στην υποδομή πληροφορικής μιας εταιρείας. Υπάρχουν σταθερές τιμές που μπορείτε να βρείτε εύκολα στο Διαδίκτυο.

Μπορείτε ακόμη να βρείτε ήδη διαμορφωμένες σειρές προϊόντων: «εταιρείες» εγκληματιών στον κυβερνοχώρο επεκτείνουν τη διοχέτευση πωλήσεων, προετοιμάζοντας μεμονωμένες τροποποιήσεις λύσεων, λαμβάνοντας υπόψη διαφορετικά τμήματα-στόχους. Υπάρχουν τιμές για botnet, νέες εκδόσεις Trojans ανακοινώνονται ενεργά. Μπορείτε ακόμη και να αγοράσετε στοχευμένη επίθεση ως υπηρεσία. Οι κυβερνοεπιτιθέμενοι δημιουργούν τα δικά τους σχέδια ανάπτυξης, τα οποία επίσης ανακοινώνονται ενεργά.

Οι ανακοινώσεις, κατά κανόνα, δίνονται σε κλειστές πηγές, - λέει ο Andrey Arefiev, Διευθυντής Ανάπτυξης Προϊόντων στο InfoWatch. – Ωστόσο, μπορούμε να πούμε ότι η σύγχρονη βιομηχανία botnet έχει όλα τα χαρακτηριστικά των ολοκληρωμένων εμπορικών προϊόντων. Σύμφωνα με ανεξάρτητη έρευνα, ο αριθμός των βοηθητικών προγραμμάτων που χρησιμοποιούνται για την κατασκευή botnet έχει δεκαπλασιαστεί τα τελευταία χρόνια.

Επιπλέον, η φύση των επιθέσεων έχει αλλάξει σημαντικά τα τελευταία χρόνια: έχουν γίνει πολύ εξελιγμένες. Οι σημερινές επιθέσεις έχουν γίνει πιο διακλαδισμένες: το επιτιθέμενο μέρος προσπαθεί να προσαρμοστεί στην υποδομή της ίδιας της εταιρείας και να κάνει την επίθεση όσο το δυνατόν πιο αόρατη. Η επίθεση θα πρέπει είτε να εντοπιστεί όσο το δυνατόν πιο αργά ή να μην εντοπιστεί καθόλου. Επομένως, τέτοιες επιθέσεις, κατά κανόνα, επεκτείνονται χρονικά και γίνονται αισθητές μόνο όταν έρθει η ώρα να εκδηλωθούν ενεργά.

Οι στοχευμένες επιθέσεις σε υποδομές πληροφορικής έχουν τα ακόλουθα χαρακτηριστικά:

  • Μελετούν το σύστημα προστασίας που διαθέτει η εταιρεία και το παρακάμπτουν.
  • Η φύση των επιθέσεων έχει γίνει πιο πολυεπίπεδη: μπορούν να ξεκινήσουν από τον υπολογιστή του γραμματέα και ο τελικός στόχος θα είναι ο υπολογιστής του λογιστή - για παράδειγμα, η αποστολή των εισβολέων μπορεί να είναι να εγκαταστήσουν κακόβουλο λογισμικό εκεί.

Ως ενδιάμεσο αποτέλεσμα, μπορεί να σημειωθεί ότι εάν δεν παρατηρήσετε ορατά σημάδια επίθεσης στην υποδομή πληροφορικής της εταιρείας, αυτό δεν σημαίνει ότι δεν δέχεται επίθεση, συνοψίζει ο Andrey Arefiev.

Παραδείγματα στοχευμένων επιθέσεων

Σύμφωνα με μια σειρά ανοιχτών πηγών, για την εισαγωγή ενός προγράμματος ιού Trojan, το «σημείο εισόδου» είναι συχνά η εσωτερική δραστηριότητα των άπιστων υπαλλήλων της εταιρείας. Ένα παρόμοιο παράδειγμα θα μπορούσε να παρατηρηθεί πριν από λίγο καιρό στο Ιράν.

Ο κύριος σκοπός αυτής της επίθεσης ήταν να περιοριστεί το ιρανικό πυρηνικό πρόγραμμα. Από ό,τι είναι γνωστό, ένα κυρίαρχο κράτος έλεγχε τις φυγόκεντρες πυρηνικού εμπλουτισμού και μια σειρά από εγκαταστάσεις τοποθετήθηκαν σε ανεξάρτητη βάση. Οι φυγόκεντροι χάλασαν γρήγορα, η επισκευή τους απαιτούσε χρόνο και χρήμα, έτσι ο εμπλουτισμός ουρανίου αναβλήθηκε. Όπως αποδείχθηκε, αυτή η επίθεση σχεδιάστηκε εκ των προτέρων, πραγματοποιήθηκε και πραγματοποιήθηκε για μεγάλο χρονικό διάστημα.

Ο σκοπός της επίθεσης δεν ήταν η κλοπή εξοπλισμού, αλλά ο έλεγχος βιομηχανικών εγκαταστάσεων. Είναι τρομερό να φανταστεί κανείς τι θα μπορούσε να συμβεί αν κάποιος αρχίσει να ελέγχει έναν πυρηνικό σταθμό ηλεκτροπαραγωγής: η μεταφορά του σε λειτουργία ελεύθερου επαγγελματία απειλεί τουλάχιστον ένα δεύτερο Τσερνόμπιλ ...

Ωστόσο, ο στόχος των επιτιθέμενων δεν είναι μόνο στρατηγικά σημαντικά αντικείμενακαι σημαντικούς κρατικούς οργανισμούς. Πρόσφατα, ένας ιδιοκτήτης μιας επιχειρηματικής οργάνωσης είχε την ευκαιρία να το δει μόνος του. Προσπάθησαν να μολύνουν τον διακομιστή της εταιρείας χρησιμοποιώντας τρωτά σημεία επαφής - ο ιδιοκτήτης της εταιρείας ήταν τυχερός μόνο που μόνο ο υπολογιστής του λογιστή δέχτηκε επίθεση.

Το κακόβουλο λογισμικό είναι ένα πρόγραμμα που σας επιτρέπει να αποκτήσετε μη εξουσιοδοτημένη πρόσβασηΠρος την εμπιστευτικές πληροφορίεςμέσω τρωτών σημείων. Τέτοια προγράμματα χρησιμοποιούνται συνήθως για την απόκτηση κύριας πρόσβασης στο εταιρικό δίκτυο. Συνήθως, η ένεση συστήματος αναφέρεται στην πρόσβαση σε δεδομένα κατά την επανεκκίνηση του συστήματος. Η «καταχώριση» του εκτελέσιμου module σε αυτή την περίπτωση είναι η επανεκκίνηση του κάθε φορά.

Κακόβουλο λογισμικό μπορεί να εισέλθει στον υπολογιστή ενός υπαλλήλου της εταιρείας όχι μόνο λόγω της κακόβουλης πρόθεσης του τελευταίου, αλλά και λόγω των μεθόδων που χρησιμοποιούν οι χάκερ. κοινωνική μηχανική(για παράδειγμα, ένας εγκληματίας στον κυβερνοχώρο μπορεί να ζητήσει από το θύμα να ακολουθήσει έναν συγκεκριμένο σύνδεσμο ή να επισκεφτεί έναν πόρο τρίτου μέρους).

Ως αποτέλεσμα, το θύμα γίνεται διαθέσιμο για επίθεση και οι εισβολείς αποκτούν πρόσβαση στο λειτουργικό σύστημα του υπολογιστή εργασίας του υπαλλήλου. Τώρα μπορείτε να εκκινήσετε κακόβουλα αρχεία για να αναλάβετε στη συνέχεια τον έλεγχο των υπολογιστών του οργανισμού. Οι ενέργειες που αναφέρονται παραπάνω ονομάζονται «επιθέσεις μηδενικής ημέρας».

Ποια δεδομένα κλέβονται συχνότερα;

Εξαρτάται σε μεγάλο βαθμό από το προφίλ της εταιρείας. Ο σκοπός των χάκερ μπορεί να είναι βιομηχανικά μυστικά και στρατηγικές εξελίξεις ενός κλειστού σχεδίου, πληρωμές και προσωπικά δεδομένα. Περιέργως, σύμφωνα με έρευνα, το 63% των ερωτηθέντων κατανοεί ότι μια στοχευμένη επίθεση στην εταιρεία τους είναι απλώς θέμα χρόνου.

Μέθοδοι για τον εντοπισμό στοχευμένων επιθέσεων:

ανάλυση υπογραφής.

Η ανάλυση υπογραφών υποδηλώνει ότι οι αναλυτές έχουν ένα αρχείο που έχει επηρεαστεί από ιό. Η μελέτη ενός τέτοιου κακόβουλου προγράμματος σάς επιτρέπει να αφαιρέσετε την υπογραφή του (ψηφιακό δακτυλικό αποτύπωμα). Μετά την εισαγωγή της υπογραφής στη βάση δεδομένων, μπορείτε να ελέγξετε το αρχείο για μόλυνση από αυτόν τον ιό, απλά συγκρίνοντας τις υπογραφές. Το πλεονέκτημα της ανάλυσης υπογραφής είναι ότι σας επιτρέπει να διαγνώσετε με ακρίβεια μια επίθεση. Εάν υπάρχει ένα αρχείο με αντίστοιχη υπογραφή, τότε μπορούμε να πούμε με ασφάλεια ότι επηρεάζεται ο υπολογιστής.

Η ανάλυση υπογραφών έχει μια σειρά από πλεονεκτήματα:

  • Μπορεί να χρησιμοποιηθεί όχι μόνο για σάρωση ιών, αλλά και για φιλτράρισμα κυκλοφορίας συστήματος.
  • Μπορείτε να «καθίσετε» στην πύλη και να ελέγξετε την παρουσία ορισμένων μη επαληθευμένων υπογραφών.
  • Σας επιτρέπει να πραγματοποιείτε διαγνωστικά συγκροτήματα για την αντιμετώπιση επιθέσεων με μεγάλη ακρίβεια.

Ένα σημαντικό μειονέκτημα της ανάλυσης υπογραφών είναι η ανάγκη ενημέρωσης της βάσης δεδομένων υπογραφών. Οι περισσότερες εταιρείες αναγκάζονται να ενημερώνουν τη βάση δεδομένων υπογραφών κάθε 15 λεπτά. Ταυτόχρονα, κάθε μισή ώρα στον κόσμο εμφανίζεται νέος ιός. Στη συνέχεια ακολουθεί μια μακρά διαδικασία εγγραφής και μελέτης του και μόνο μετά από αυτό εισάγεται η υπογραφή στη βάση δεδομένων. Όλη την ώρα μέχρι αυτό το σημείο, η εταιρεία είναι ανυπεράσπιστη απέναντι σε έναν νέο ιό.

Μια άλλη μέθοδος μελέτης κακόβουλου λογισμικού που εντοπίστηκε προηγουμένως είναι να ευρετική ανάλυση.

Η λειτουργία της ευρετικής ανάλυσης είναι ο έλεγχος του εκτελέσιμου κώδικα για την παρουσία ύποπτης δραστηριότητας, τυπικής για τη δραστηριότητα των ιών. Αυτή η τεχνική είναι καλή γιατί δεν εξαρτάται από τη συνάφεια οποιασδήποτε βάσης δεδομένων. Ωστόσο, η ευρετική ανάλυση έχει και τα μειονεκτήματά της.

Λόγω του γεγονότος ότι όλα τα κύρια προγράμματα προστασίας από ιούς είναι γνωστά και διαθέσιμα για χρήση από όλους, οι χάκερ μπορούν να δοκιμάσουν γραπτό λογισμικό και να το τροποποιήσουν μέχρι να παρακάμψει όλα τα γνωστά εργαλεία. προστασία από ιούς. Έτσι, η αποτελεσματικότητα των κύριων ευρετικών αλγορίθμων μειώνεται σε τίποτα.

Μια άλλη μέθοδος για τον εντοπισμό στοχευμένων επιθέσεων περιλαμβάνει τη χρήση των λεγόμενων τείχη προστασίας επόμενης γενιάς, τα οποία, εκτός από τις παραδοσιακές δυνατότητες, σας επιτρέπουν επίσης να φιλτράρετε την κυκλοφορία. Το κύριο μειονέκτημα των τείχη προστασίας είναι η υπερβολική «υποψία» τους, παράγουν μεγάλο αριθμό ψευδώς θετικών. Επιπλέον, τα τείχη προστασίας χρησιμοποιούν τεχνολογίες που μπορούν να παραπλανηθούν (sandboxing, ευρετική ανάλυση και ανάλυση υπογραφών).

Υπάρχει επίσης μια άλλη μέθοδος ασφαλείας που χρησιμοποιείται για την εκτέλεση εφαρμογών. Η ιδέα του είναι πολύ απλή: ο σταθμός μπορεί να τρέξει μόνο μεμονωμένες εφαρμογές (αυτό ονομάζεται WhiteListening). Το μειονέκτημα είναι ότι μια τέτοια «λευκή λίστα» πρέπει να περιέχει όλες τις εφαρμογές, ανεξαιρέτως, που μπορεί να χρειαστεί ο χρήστης. Στην πράξη, αυτή η μέθοδος είναι, φυσικά, αρκετά αξιόπιστη, αλλά πολύ άβολη, καθώς επιβραδύνει τις ροές εργασίας.

Τέλος, υπάρχει μια νέα τεχνολογία για δυναμική ανίχνευση επιθέσεων, η οποία χρησιμοποιείται στο προϊόν InfoWatch Targeted Attack Detector, λέει ο Andrey Arefiev. - Αυτή η τεχνολογίαβασίζεται στο γεγονός ότι οι ενέργειες των εισβολέων οδηγούν αναπόφευκτα στην τροποποίηση των συστημάτων πληροφορικής των επιχειρήσεων. Επομένως, η λύση InfoWatch σαρώνει περιοδικά το σύστημα πληροφορικής του οργανισμού, συλλέγοντας πληροφορίες σχετικά με την κατάσταση των κρίσιμων αντικειμένων. Τα δεδομένα που ελήφθησαν συγκρίνονται με τα αποτελέσματα προηγούμενων σαρώσεων και, στη συνέχεια, πραγματοποιείται μια διανοητική ανάλυση των αλλαγών που έχουν συμβεί για την παρουσία ανωμαλιών. Όταν εντοπίζεται άγνωστο κακόβουλο λογισμικό, ένας αναλυτής της εταιρείας εμπλέκεται στην ανάλυση των ενεργειών της και πιθανής βλάβης στην υποδομή της επιχείρησης.

- Σε ποιο στάδιο είναι δυνατόν να χαρακτηριστεί μια επίθεση ως στοχευμένη;

Στην πραγματικότητα, ο εντοπισμός ανωμαλιών είναι το κύριο σημάδι ότι το σύστημά σας αντιμετωπίζει προβλήματα, είναι ένα έμμεσο σημάδι ότι η εταιρεία δέχεται επίθεση. Ταυτόχρονα, η επίθεση δεν χρειάζεται να περιλαμβάνει έναν ιό σε επίπεδο Κόκκινου Οκτωβρίου. Αρκετά, όπως δείχνει η πρακτική, ένα μικρό Trojan, που προωθείται περιοδικά περαιτέρω. Κατ 'αρχήν, αυτό είναι αρκετό για να φέρει χρήματα σε συγκεκριμένους εισβολείς στον κυβερνοχώρο.

Γενικά, θα ήθελα να σημειώσω ότι οι στοχευμένες επιθέσεις είναι ένα ισχυρό εργαλείο επιρροής εταιρική πολιτικήμεγάλους κυβερνητικούς και εμπορικούς οργανισμούς. Γι' αυτό είναι απαραίτητο να αντιμετωπιστεί συστηματικά και προσεκτικά αυτού του είδους τα εγκλήματα στον κυβερνοχώρο.

Έλενα Χαρλάμοβα

Για όσους δεν ξέρουν τι είναι "στοχευμένη" επίθεση, ζητώ ένα podcast :)

Στοχευμένη επίθεση - Πρόκειται για μια συνεχή διαδικασία μη εξουσιοδοτημένης δραστηριότητας στην υποδομή του επιτιθέμενου συστήματος, που ελέγχεται χειροκίνητα εξ αποστάσεως σε πραγματικό χρόνο.

Με βάση αυτόν τον ορισμό, εφιστώ την προσοχή σας στα ακόλουθα σημεία:
1) Πρώτον, αυτή είναι ακριβώς η διαδικασία - δραστηριότηταμε τον καιρό, μερικά λειτουργία,και όχι μόνο μια εφάπαξ τεχνική ενέργεια.
2) Δεύτερον, η διαδικασία έχει σχεδιαστεί για να λειτουργεί σε μια συγκεκριμένη υποδομή, έχει σχεδιαστεί για να ξεπερνά συγκεκριμένους μηχανισμούς ασφαλείας, ορισμένα προϊόντα και να εμπλέκει συγκεκριμένους υπαλλήλους στην αλληλεπίδραση.

Υπάρχει σημαντική διαφορά στην προσέγγιση μαζικές αποστολέςτυπικό κακόβουλο λογισμικό, όταν οι εισβολείς επιδιώκουν εντελώς διαφορετικούς στόχους, στην πραγματικότητα, αποκτώντας τον έλεγχο σε ένα ξεχωριστό τελικό σημείο. Σε περίπτωση στοχευμένης επίθεσης, χτίζεται κάτω από το θύμα.

Το παρακάτω σχήμα δείχνει τις τέσσερις φάσεις μιας στοχευμένης επίθεσης, αποδεικνύοντάς το κύκλος ζωής. Ας διατυπώσουμε συνοπτικά τον κύριο σκοπό καθενός από αυτούς:

  1. Παρασκευή. Το κύριο καθήκον της πρώτης φάσης είναι η εύρεση ενός στόχου, η συλλογή επαρκών λεπτομερών ιδιωτικών πληροφοριών σχετικά με αυτόν, βάσει των οποίων θα εντοπιστούν οι αδυναμίες στην υποδομή. Δημιουργήστε μια στρατηγική επίθεσης, επιλέξτε εργαλεία που έχετε δημιουργήσει προηγουμένως διαθέσιμα στη μαύρη αγορά ή αναπτύξτε μόνοι σας τα απαραίτητα. Συνήθως, τα προγραμματισμένα βήματα διείσδυσης θα ελέγχονται διεξοδικά, συμπεριλαμβανομένης της μη ανίχνευσης από τυπικά εργαλεία ασφάλειας πληροφοριών.
  2. διείσδυση -η ενεργός φάση μιας στοχευμένης επίθεσης που χρησιμοποιεί διάφορες τεχνικές κοινωνικής μηχανικής και τρωτά σημεία μηδενικής ημέρας για να μολύνει αρχικά τον στόχο και να διεξάγει εσωτερική αναγνώριση. Στο τέλος της αναγνώρισης και μετά τον προσδιορισμό της ιδιοκτησίας του μολυσμένου κεντρικού υπολογιστή (διακομιστής/σταθμός εργασίας), κατόπιν εντολής ενός εισβολέα, ένα επιπλέον κακόβουλος κώδικας.
  3. Διάδοση- η φάση της στερέωσης εντός της υποδομής, κυρίως στα βασικά μηχανήματα του θύματος. Επεκτείνοντας τον έλεγχο σας όσο το δυνατόν περισσότερο, διορθώνοντας εκδόσεις κακόβουλου κώδικα μέσω κέντρων ελέγχου, εάν είναι απαραίτητο.
  4. Επίτευξη Στόχου- η βασική φάση της στοχευμένης επίθεσης.
Προκειμένου να διερευνηθούν ορισμένες επιθέσεις υπολογιστή, αναπτύχθηκε μια εικονική βάση για τη μελέτη του αντίκτυπου των επιθέσεων υπολογιστή σε στοιχεία ενός δικτύου πληροφοριών και τηλεπικοινωνιών.

Αυτή η βάση (πολύγωνο) που αποτελείται από:

1. Μοντέλα του ανοιχτού τμήματος του δικτύου πληροφοριών και τηλεπικοινωνιών.

2. μοντέλα του κλειστού τμήματος του δικτύου πληροφοριών και τηλεπικοινωνιών.

Το προσομοιωμένο δίκτυο αποτελείται από πολλά στοιχεία.

Στο ανοιχτό τμήμα, οι κεντρικοί υπολογιστές (PC1–PC7) συνδέονται σε ένα ενιαίο δίκτυο χρησιμοποιώντας δρομολογητές Cisco 3745 (c3745). Σε μεμονωμένες υποδιαιρέσεις, οι κεντρικοί υπολογιστές είναι δικτυωμένοι για μετάδοση δεδομένων χρησιμοποιώντας έναν διακόπτη (SW1). Σε αυτό το σχήμα, ο μεταγωγέας (διακόπτης) μεταφέρει δεδομένα μόνο από τη μια θύρα στην άλλη με βάση τις πληροφορίες που περιέχονται στο πακέτο, το οποίο ήρθε μέσω του δρομολογητή.

Σε ένα τμήμα κλειστού δικτύου, οι cryptorouters χρησιμοποιούνται για την κρυπτογράφηση πακέτων δεδομένων που θα μεταβούν από ένα κλειστό τμήμα δικτύου σε ένα ανοιχτό. Εάν ένας εισβολέας καταφέρει να υποκλέψει τα πακέτα των μεταδιδόμενων δεδομένων αυτού του δικτύου, τότε δεν θα μπορεί να εξαγάγει χρήσιμες πληροφορίες από αυτά τα δεδομένα.

Τα Windows XP, τα οποία αποτελούν μέρος του τμήματος του δικτύου πληροφοριών και τηλεπικοινωνιών, επιλέχθηκαν ως αντικείμενο επίθεσης. Αυτό το σύστημα είναι συνδεδεμένο στο cloud "Real network Exit" με διεύθυνση IP: 192.168.8.101

Εντάξει, ας ξεκινήσουμε την έρευνα. τοπικό δίκτυομε σκοπό τον καθορισμό στοιχείων δίκτυο υπολογιστώνγια μεταγενέστερη εκμετάλλευση. Ας χρησιμοποιήσουμε το Netdiscovery.

Για να ανακαλύψουμε πιθανά τρωτά σημεία του δικτύου που δέχεται επίθεση, σαρώνουμε αυτό το δίκτυοχρησιμοποιώντας ένα βοηθητικό πρόγραμμα εξερεύνησης και ασφάλειας δικτύου - Nmap ("NetworkMapper").

Κατά τη σάρωση, διαπιστώσαμε ότι το σύστημα έχει ανοιχτές θύρες, που αντιπροσωπεύουν πιθανές ευπάθειες.
Για παράδειγμα, 445/TCPMICROSOFT-DS - χρησιμοποιείται σε Microsoft Windows 2000 και μεταγενέστερες εκδόσειςγια άμεση πρόσβαση TCP/IP χωρίς χρήση NetBIOS (για παράδειγμα, σε Ενεργό αρχείο). Θα χρησιμοποιήσουμε αυτήν τη θύρα για να αποκτήσουμε πρόσβαση στο σύστημα.

Τώρα πραγματοποιούμε μια επίθεση δικτύου χρησιμοποιώντας το Metasploit. Αυτό το εργαλείο σάς επιτρέπει να προσομοιώσετε μια επίθεση δικτύου και να εντοπίσετε τρωτά σημεία του συστήματος, να ελέγξετε την αποτελεσματικότητα του IDS / IPS ή να αναπτύξετε νέα exploit, με μια λεπτομερή αναφορά.


Το exploit θα λειτουργήσει, αλλά πρέπει να καθορίσετε τι θα συμβεί μετά το exploit. Για να το κάνουμε αυτό, θα ανοίξουμε τον shellcode, θα τον χρησιμοποιήσουμε ως ωφέλιμο φορτίο εκμετάλλευσης που μας παρέχει πρόσβαση σε ένα κέλυφος εντολών σε ένα σύστημα υπολογιστή.

Στο LHOST, καθορίζουμε τη διεύθυνση IP του συστήματος από το οποίο θα εκτελεστεί η επίθεση.

Κάθε χρόνο, οι οργανισμοί βελτιώνουν τα επιχειρηματικά τους εργαλεία, εισάγοντας νέες λύσεις, ενώ ταυτόχρονα περιπλέκουν την υποδομή πληροφορικής. Τώρα σε μια κατάσταση που η εταιρεία παγώνει διακομιστή αλληλογραφίας, διαγράφονται σημαντικές πληροφορίες από τους τελικούς χώρους εργασίας ή διακόπτεται η εργασία του αυτοματοποιημένου συστήματος για τη δημιουργία τιμολογίων για πληρωμή - οι επιχειρηματικές διαδικασίες απλώς σταματούν.

Βενιαμίν
Λεβτσόφ

Αντιπρόεδρος, Επικεφαλής Εταιρικού Τμήματος, Kaspersky Lab

Νικόλαος
Demidov

Τεχνικός σύμβουλος για την ασφάλεια πληροφοριών στο Kaspersky Lab

Συνειδητοποιώντας την αυξανόμενη εξάρτηση από αυτοματοποιημένα συστήματα, οι επιχειρήσεις είναι επίσης έτοιμες να φροντίσουν όλο και περισσότερο για τη διασφάλιση της ασφάλειας των πληροφοριών. Επιπλέον, ο τρόπος δημιουργίας ενός συστήματος ασφάλειας πληροφοριών εξαρτάται από την κατάσταση σε αυτόν τον συγκεκριμένο οργανισμό - από τα περιστατικά που έχουν συμβεί, τις πεποιθήσεις συγκεκριμένων εργαζομένων - και συχνά διαμορφώνεται "από τα κάτω", από τα μεμονωμένα υποσυστήματα ασφάλειας πληροφοριών στο συνολικό εικόνα. Ως αποτέλεσμα, δημιουργείται ένα μοναδικό σύστημα πολλαπλών σταδίων, αποτελούμενο από διάφορα προϊόντα και υπηρεσίες, πολύπλοκα, κατά κανόνα, μοναδικά για κάθε εταιρεία, όπου οι ειδικοί στην ασφάλεια πληροφοριών μπορούν:

  • σάρωση αρχείων χρησιμοποιώντας συστήματα ασφαλείας τελικού σημείου.
  • φιλτράρισμα αλληλογραφίας και κυκλοφορίας ιστού χρησιμοποιώντας λύσεις πύλης.
  • παρακολουθεί την ακεραιότητα και την αμετάβλητη των αρχείων και ρυθμίσεις συστήματος;
  • παρακολουθεί τη συμπεριφορά των χρηστών και ανταποκρίνεται σε αποκλίσεις από το κανονικό μοτίβο κυκλοφορίας·
  • σαρώστε την περίμετρο και εσωτερικό δίκτυογια τρωτά σημεία και αδύναμες διαμορφώσεις.
  • εφαρμογή συστημάτων αναγνώρισης και ελέγχου ταυτότητας, κρυπτογράφηση μονάδων δίσκου και δικτυακές συνδέσεις;
  • επενδύουν σε SOC για τη συλλογή και τη συσχέτιση αρχείων καταγραφής και συμβάντων από τα προαναφερθέντα υποσυστήματα·
  • παραγγέλνουν δοκιμές διείσδυσης και άλλες υπηρεσίες για την αξιολόγηση του επιπέδου ασφάλειας·
  • ευθυγράμμιση του συστήματος με τις απαιτήσεις των προτύπων και πιστοποίηση συμπεριφοράς·
  • διδάσκουν στο προσωπικό τα βασικά της υγιεινής των υπολογιστών και λύνουν άπειρα παρόμοια προβλήματα.

Όμως παρ' όλα αυτά, ο αριθμός των επιτυχόντων, δηλ. Οι επιθέσεις σε υποδομές πληροφορικής που επιτυγχάνουν τον στόχο τους δεν μειώνονται, αλλά η ζημιά από αυτές αυξάνεται. Πώς καταφέρνουν οι επιτιθέμενοι να ξεπεράσουν πολύπλοκα συστήματα ασφαλείας, τα οποία, κατά κανόνα, είναι μοναδικά στη σύνθεση και τη δομή τους;

Έννοια της στοχευμένης επίθεσης

Ήρθε η ώρα να δώσουμε έναν ορισμό που να αντικατοπτρίζει με ακρίβεια την έννοια της στοχευμένης ή στοχευμένης επίθεσης. Μια στοχευμένη επίθεση είναι μια συνεχής διαδικασία μη εξουσιοδοτημένης δραστηριότητας στην υποδομή του συστήματος που δέχεται επίθεση, που ελέγχεται εξ αποστάσεως χειροκίνητα σε πραγματικό χρόνο.

Πρώτον, αυτή είναι ακριβώς μια διαδικασία - μια δραστηριότητα στο χρόνο, μια συγκεκριμένη λειτουργία, και όχι μόνο μια εφάπαξ τεχνική ενέργεια.

Δεύτερον, η διαδικασία στοχεύει στην εργασία σε μια συγκεκριμένη υποδομή, σχεδιασμένη να ξεπερνά συγκεκριμένους μηχανισμούς ασφαλείας, ορισμένα προϊόντα και να εμπλέκει συγκεκριμένους υπαλλήλους στην αλληλεπίδραση. Θα πρέπει να σημειωθεί ότι υπάρχει σημαντική διαφορά στην προσέγγιση των μαζικών αποστολών τυπικού κακόβουλου λογισμικού, όταν οι επιτιθέμενοι επιδιώκουν εντελώς διαφορετικούς στόχους - στην πραγματικότητα, αποκτώντας τον έλεγχο σε ένα ξεχωριστό τελικό σημείο. Σε περίπτωση στοχευμένης επίθεσης, είναι κατασκευασμένο για το θύμα.

Τρίτον, η επιχείρηση αυτή διευθύνεται συνήθως από μια οργανωμένη ομάδα επαγγελματιών, μερικές φορές διεθνείς, οπλισμένους με εξελιγμένα τεχνικά εργαλεία, ουσιαστικά μια συμμορία. Η δραστηριότητά τους είναι πράγματι πολύ παρόμοια με μια στρατιωτική επιχείρηση πολλαπλών περασμάτων. Για παράδειγμα, οι εισβολείς συντάσσουν μια λίστα με υπαλλήλους που θα μπορούσαν ενδεχομένως να γίνουν «πύλες εισόδου» στην εταιρεία, επικοινωνούν μαζί τους στα κοινωνικά δίκτυα και μελετούν τα προφίλ τους. Μετά από αυτό, επιλύεται το έργο της απόκτησης ελέγχου του υπολογιστή εργασίας του θύματος. Ως αποτέλεσμα, ο υπολογιστής του μολύνεται και οι εισβολείς προχωρούν στην κατάληψη του ελέγχου του δικτύου και απευθείας εμπλοκή σε εγκληματικές δραστηριότητες.

Σε κατάσταση στοχευμένης επίθεσης, συστήματα υπολογιστώνπολεμούν μεταξύ τους και οι άνθρωποι - άλλοι επιτίθενται, άλλοι - αποκρούουν μια καλά προετοιμασμένη επίθεση, λαμβάνοντας υπόψη αδύναμες πλευρέςκαι χαρακτηριστικά των συστημάτων αντιμέτρων.

Επί του παρόντος, ο όρος APT - Advanced Persistent Threat γίνεται πιο κοινός. Ας ρίξουμε μια ματιά στον ορισμό του. Το APT είναι ένας συνδυασμός βοηθητικών προγραμμάτων, κακόβουλου λογισμικού, εκμεταλλεύσεων zero-day και άλλων στοιχείων που έχουν σχεδιαστεί ειδικά για την υλοποίηση αυτής της επίθεσης. Η πρακτική δείχνει ότι τα APT χρησιμοποιούνται επανειλημμένα και επανειλημμένα στο μέλλον για την πραγματοποίηση επαναλαμβανόμενων επιθέσεων με παρόμοιο φορέα εναντίον άλλων οργανισμών. Η στοχευμένη ή στοχευμένη επίθεση είναι μια διαδικασία, μια δραστηριότητα. Το APT είναι ένα τεχνικό εργαλείο που σας επιτρέπει να εφαρμόσετε μια επίθεση.

Μπορούμε με σιγουριά να πούμε ότι η ενεργός εξάπλωση των στοχευμένων επιθέσεων οφείλεται, μεταξύ άλλων, σε έντονη μείωση του κόστους και του κόστους εργασίας στην υλοποίηση της ίδιας της επίθεσης. Ένας μεγάλος αριθμός εργαλείων που έχουν αναπτυχθεί προηγουμένως είναι διαθέσιμα σε ομάδες χάκερ, μερικές φορές δεν υπάρχει επείγουσα ανάγκη δημιουργίας εξωτικών κακόβουλο λογισμικόαπό την αρχή. Ως επί το πλείστον, οι σύγχρονες στοχευμένες επιθέσεις βασίζονται σε εκμεταλλεύσεις και κακόβουλο λογισμικό που δημιουργήθηκαν προηγουμένως, μόνο ένα μικρό μέρος χρησιμοποιεί εντελώς νέες τεχνικές, οι οποίες σχετίζονται κυρίως με απειλές κατηγορίας APT. Μερικές φορές, ως μέρος της επίθεσης χρησιμοποιούνται επίσης εντελώς νόμιμα βοηθητικά προγράμματα που δημιουργούνται για "ειρηνικούς" σκοπούς - θα επιστρέψουμε σε αυτό το ζήτημα παρακάτω.

Στάδια στοχευμένης επίθεσης

Σε αυτό το υλικό θα ανακοινωθούν τα κύρια στάδια μιας στοχευμένης επίθεσης, θα παρουσιαστεί ο σκελετός του γενικού μοντέλου και οι διαφορές στις μεθόδους διείσδυσης που χρησιμοποιούνται. Η κοινότητα των ειδικών έχει την ιδέα ότι μια στοχευμένη επίθεση, κατά κανόνα, περνάει από 4 φάσεις στην ανάπτυξή της (Εικ. 1).


Στο σχ. 1 δείχνει 4 φάσεις μιας στοχευμένης επίθεσης, που δείχνει τον κύκλο ζωής της. Ας διατυπώσουμε συνοπτικά τον κύριο σκοπό καθενός από αυτούς:

1. Προετοιμασία - το κύριο καθήκον της πρώτης φάσης είναι η εύρεση του στόχου, η συλλογή επαρκών λεπτομερών ιδιωτικών πληροφοριών σχετικά με αυτόν, βάσει των οποίων, ο εντοπισμός αδυναμιών στην υποδομή. Δημιουργήστε μια στρατηγική επίθεσης, επιλέξτε εργαλεία που έχετε δημιουργήσει προηγουμένως διαθέσιμα στη μαύρη αγορά ή αναπτύξτε μόνοι σας τα απαραίτητα. Συνήθως, τα προγραμματισμένα βήματα διείσδυσης θα ελέγχονται διεξοδικά, συμπεριλαμβανομένης της μη ανίχνευσης από τυπικά εργαλεία ασφάλειας πληροφοριών.

2. Διείσδυση - η ενεργή φάση μιας στοχευμένης επίθεσης, με χρήση διαφόρων τεχνικών κοινωνικής μηχανικής και τρωτών σημείων μηδενικής ημέρας για να μολύνει αρχικά τον στόχο και να διεξάγει εσωτερική αναγνώριση. Αφού ολοκληρωθεί η αναγνώριση και προσδιοριστεί η ιδιοκτησία του μολυσμένου κεντρικού υπολογιστή (διακομιστής/σταθμός εργασίας), μπορεί να γίνει λήψη πρόσθετου κακόβουλου κώδικα μέσω του κέντρου ελέγχου κατόπιν εντολής του εισβολέα.

3. Διανομή - η φάση της στερέωσης εντός της υποδομής, κυρίως στα βασικά μηχανήματα του θύματος. Επεκτείνοντας τον έλεγχο σας όσο το δυνατόν περισσότερο, διορθώνοντας εκδόσεις κακόβουλου κώδικα μέσω κέντρων ελέγχου, εάν είναι απαραίτητο.

4. Η επίτευξη του στόχου είναι η βασική φάση μιας στοχευμένης επίθεσης, ανάλογα με την επιλεγμένη στρατηγική, μπορεί να χρησιμοποιήσει:

  • κλοπή απόρρητων πληροφοριών·
  • σκόπιμη αλλαγή διαβαθμισμένων πληροφοριών·
  • χειραγώγηση των επιχειρηματικών διαδικασιών της εταιρείας.

Σε όλα τα στάδια, πληρούται μια υποχρεωτική προϋπόθεση για την απόκρυψη ιχνών της δραστηριότητας μιας στοχευμένης επίθεσης. Όταν μια επίθεση τελειώνει, συμβαίνει συχνά οι κυβερνοεγκληματίες να δημιουργούν ένα «Σημείο Επιστροφής» για τον εαυτό τους, επιτρέποντάς τους να επιστρέψουν στο μέλλον.

Στοχευμένη επίθεση Φάση 1 - Προετοιμασία

Αναγνώριση στόχου

Αριθμός επιτυχών, π.χ. Οι επιθέσεις σε υποδομές πληροφορικής που επιτυγχάνουν τον στόχο τους δεν μειώνονται, αλλά η ζημιά από αυτές αυξάνεται. Πώς καταφέρνουν οι επιτιθέμενοι να ξεπεράσουν πολύπλοκα συστήματα ασφαλείας, τα οποία, κατά κανόνα, είναι μοναδικά στη σύνθεση και τη δομή τους;
Η απάντηση είναι αρκετά σύντομη: προετοιμάζοντας και πραγματοποιώντας σύνθετες επιθέσεις που λαμβάνουν υπόψη τα χαρακτηριστικά του συστήματος στόχου.

Οποιοσδήποτε οργανισμός μπορεί να γίνει στόχος επίθεσης. Και όλα ξεκινούν με μια εντολή, ή γενική ευφυΐα, ή, ακριβέστερα, παρακολούθηση. Κατά τη διάρκεια της συνεχούς παρακολούθησης του παγκόσμιου επιχειρηματικού τοπίου, οι ομάδες χάκερ χρησιμοποιούν δημόσια διαθέσιμα εργαλεία όπως ροές RSS, επίσημους λογαριασμούς εταιρειών στο Twitter, εξειδικευμένα φόρουμ όπου διάφοροι υπάλληλοι ανταλλάσσουν πληροφορίες. Όλα αυτά βοηθούν στον προσδιορισμό του θύματος και των στόχων της επίθεσης, μετά την οποία οι πόροι της ομάδας μετακινούνται στο στάδιο της ενεργούς αναγνώρισης.

Συλλογή πληροφοριών

Για προφανείς λόγους, καμία εταιρεία δεν παρέχει πληροφορίες για το τι τεχνικά μέσαχρησιμοποιεί, μεταξύ άλλων για την προστασία των πληροφοριών, εσωτερικούς κανονισμούς και ούτω καθεξής. Επομένως, η διαδικασία συλλογής πληροφοριών για το θύμα ονομάζεται αναγνώριση. Το κύριο καθήκον των πληροφοριών είναι να συλλέγει στοχευμένες ιδιωτικές πληροφορίες για το θύμα. Εδώ, όλα τα μικρά πράγματα είναι σημαντικά που θα βοηθήσουν στον εντοπισμό πιθανών αδυναμιών. Οι πιο μη τετριμμένες προσεγγίσεις μπορούν να χρησιμοποιηθούν στην εργασία για τη λήψη κλειστών πρωτογενών δεδομένων, για παράδειγμα, κοινωνική μηχανική. Θα παρουσιάσουμε αρκετές τεχνικές κοινωνικής μηχανικής και άλλους μηχανισμούς νοημοσύνης που χρησιμοποιούνται στην πράξη.

Μέθοδοι εξερεύνησης:

1. Μέσα.

Μια στοχευμένη επίθεση είναι μια συνεχής διαδικασία μη εξουσιοδοτημένης δραστηριότητας στην υποδομή του συστήματος που δέχεται επίθεση, που ελέγχεται χειροκίνητα εξ αποστάσεως σε πραγματικό χρόνο.

Υπάρχει μια προσέγγιση με την αναζήτηση πρόσφατα απολυμένων υπαλλήλων της εταιρείας. Ένας πρώην υπάλληλος της εταιρείας λαμβάνει πρόσκληση για μια τακτική συνέντευξη για μια πολύ δελεαστική θέση. Γνωρίζουμε ότι ένας έμπειρος ψυχολόγος πρόσληψης είναι σε θέση να μιλήσει με σχεδόν οποιονδήποτε εργαζόμενο που διαγωνίζεται για μια θέση. Από τέτοιους ανθρώπους, λαμβάνεται ένας αρκετά μεγάλος όγκος πληροφοριών για την προετοιμασία και την επιλογή ενός φορέα επίθεσης: από την τοπολογία του δικτύου και τα μέσα προστασίας που χρησιμοποιούνται μέχρι πληροφορίες για την ιδιωτική ζωή άλλων εργαζομένων.

Συμβαίνει ότι οι εγκληματίες του κυβερνοχώρου καταφεύγουν στη δωροδοκία των ανθρώπων που χρειάζονται παρέα με αυτούς που κατέχουν πληροφορίες ή εισέρχονται στον κύκλο εμπιστοσύνης μέσω φιλικής επικοινωνίας σε δημόσιους χώρους.

2. Ανοιχτές πηγές.

Σε αυτό το παράδειγμα, οι χάκερ χρησιμοποιούν την αδίστακτη στάση των εταιρειών απέναντι στα χαρτιά που πετιούνται στα σκουπίδια χωρίς την κατάλληλη καταστροφή· αναφορές και εσωτερικές πληροφορίες μπορούν να βρεθούν ανάμεσα στα σκουπίδια ή, για παράδειγμα, ιστότοπους εταιρειών που περιέχουν τα πραγματικά ονόματα εργαζομένων στο δημόσια πρόσβαση. Τα δεδομένα που λαμβάνονται μπορούν να συνδυαστούν με άλλες τεχνικές κοινωνικής μηχανικής.

Σε μια κατάσταση στοχευμένης επίθεσης, δεν είναι τα συστήματα υπολογιστών που πολεμούν μεταξύ τους, αλλά οι άνθρωποι: κάποιοι επιτίθενται, άλλοι αποκρούουν μια καλά προετοιμασμένη επίθεση, λαμβάνοντας υπόψη τις αδυναμίες και τα χαρακτηριστικά των συστημάτων αντιμέτρων.

Ως αποτέλεσμα αυτής της εργασίας, οι διοργανωτές της επίθεσης μπορούν να έχουν αρκετά πλήρεις πληροφορίες για το θύμα, συμπεριλαμβανομένων:

  • ονόματα εργαζομένων, e-mail, τηλέφωνο.
  • πρόγραμμα εργασίας των τμημάτων της εταιρείας·
  • εσωτερικές πληροφορίες σχετικά με τις διαδικασίες στην εταιρεία·
  • πληροφορίες σχετικά με τους επιχειρηματικούς εταίρους.

Οι πύλες κρατικών προμηθειών αποτελούν επίσης καλή πηγή πληροφοριών σχετικά με τις λύσεις που εφαρμόζει ο πελάτης, συμπεριλαμβανομένων των συστημάτων ασφάλειας πληροφοριών.

Με την πρώτη ματιά, αυτό το παράδειγμα μπορεί να φαίνεται ασήμαντο, αλλά στην πραγματικότητα δεν είναι. Οι παραπάνω πληροφορίες χρησιμοποιούνται με επιτυχία σε μεθόδους κοινωνικής μηχανικής, επιτρέποντας σε έναν χάκερ να κερδίσει εύκολα την εμπιστοσύνη χρησιμοποιώντας τις πληροφορίες που έλαβε.

3. Κοινωνική μηχανική.

Χρησιμοποιώντας την κοινωνική μηχανική, μπορείτε να επιτύχετε σημαντική επιτυχία στη λήψη πληροφοριών εταιρείας: για παράδειγμα, στην περίπτωση τηλεφωνική κλήσηένας εισβολέας μπορεί να συστηθεί για λογαριασμό ενός υπαλλήλου της υπηρεσίας πληροφοριών, να κάνει τις σωστές ερωτήσεις ή να του ζητήσει να εκτελέσει τη σωστή εντολή στον υπολογιστή. Τα κοινωνικά δίκτυα βοηθούν στον προσδιορισμό του κύκλου των φίλων και των ενδιαφερόντων του κατάλληλου ατόμου, τέτοιες πληροφορίες μπορούν να βοηθήσουν τους εγκληματίες του κυβερνοχώρου να αναπτύξουν τη σωστή στρατηγική για την επικοινωνία με ένα μελλοντικό θύμα.

Ανάπτυξη Στρατηγικής

Η στρατηγική είναι υποχρεωτική στην υλοποίηση μιας επιτυχημένης στοχευμένης επίθεσης, λαμβάνει υπόψη ολόκληρο το σχέδιο δράσης σε όλα τα στάδια της επίθεσης:

  • περιγραφή των σταδίων της επίθεσης: διείσδυση, ανάπτυξη, επίτευξη στόχων.
  • μέθοδοι κοινωνικής μηχανικής, χρησιμοποιούμενα τρωτά σημεία, παρακάμπτοντας τυπικά εργαλεία ασφαλείας.
  • στάδια ανάπτυξης επίθεσης, λαμβάνοντας υπόψη πιθανές καταστάσεις έκτακτης ανάγκης·
  • ενοποίηση εντός, κλιμάκωση προνομίων, έλεγχος βασικών πόρων.
  • εξαγωγή δεδομένων, αφαίρεση ιχνών, καταστροφικές ενέργειες.

Δημιουργία περίπτερου

Με βάση τις πληροφορίες που συλλέχθηκαν, μια ομάδα επιτιθέμενων προχωρά στη δημιουργία μιας βάσης με πανομοιότυπες εκδόσεις του λογισμικού που χρησιμοποιείται. Μια περιοχή δοκιμών που καθιστά δυνατή τη δοκιμή των σταδίων διείσδυσης ήδη σε ένα μοντέλο εργασίας. Να επεξεργαστεί διάφορες τεχνικές κρυφής εφαρμογής και παράκαμψης τυπικών εργαλείων ασφάλειας πληροφοριών. Ουσιαστικά, το περίπτερο λειτουργεί ως η κύρια γέφυρα μεταξύ της παθητικής και της ενεργητικής φάσης διείσδυσης στην υποδομή του θύματος. Είναι σημαντικό να σημειωθεί ότι η δημιουργία μιας τέτοιας βάσης δεν είναι φθηνή για τους χάκερ. Το κόστος εκτέλεσης μιας επιτυχημένης στοχευμένης επίθεσης αυξάνεται με κάθε στάδιο.

Ανάπτυξη ενός συνόλου εργαλείων

Οι εγκληματίες του κυβερνοχώρου αντιμετωπίζουν μια δύσκολη επιλογή: είναι σημαντικό για αυτούς να αποφασίσουν μεταξύ του οικονομικού κόστους της αγοράς έτοιμων εργαλείων στη σκιώδη αγορά και του κόστους εργασίας και του χρόνου για να δημιουργήσουν τα δικά τους. Η σκιώδης αγορά προσφέρει μια αρκετά μεγάλη γκάμα διαφορετικών οργάνων, γεγονός που μειώνει σημαντικά τον χρόνο, εκτός από μοναδικές περιπτώσεις. Αυτό είναι το δεύτερο βήμα, το οποίο αναδεικνύει σημαντικά τη στοχευμένη επίθεση ως μία από τις πιο εντατικές σε πόρους μεταξύ των κυβερνοεπιθέσεων.

Ας δούμε αναλυτικά ένα σύνολο εργαλείων: ένα σύνολο εργαλείων αποτελείται συνήθως από τρία κύρια στοιχεία:

1. Κέντρο εντολών ή Command and Κέντρο ελέγχου(C&C).

Η υποδομή των επιτιθέμενων βασίζεται σε κέντρα εντολών και ελέγχου C&C, τα οποία διασφαλίζουν τη μετάδοση εντολών σε ελεγχόμενες κακόβουλες μονάδες από τις οποίες συλλέγουν τα αποτελέσματα της εργασίας. Το κέντρο της επίθεσης είναι οι άνθρωποι που διεξάγουν την επίθεση. Τις περισσότερες φορές, τα κέντρα βρίσκονται στο Διαδίκτυο με παρόχους που παρέχουν υπηρεσίες φιλοξενίας, συνεγκατάστασης και ενοικίασης. εικονικές μηχανές. Ο αλγόριθμος ενημέρωσης, όπως όλοι οι αλγόριθμοι αλληλεπίδρασης με "κεντρικούς υπολογιστές", μπορεί να αλλάξει δυναμικά μαζί με κακόβουλες λειτουργικές μονάδες.

2. Εργαλεία διείσδυσης, επίλυση προβλήματος"άνοιγμα της πόρτας" του επιτιθέμενου απομακρυσμένου οικοδεσπότη:

  • exploit (Exploit) - κακόβουλος κώδικας που χρησιμοποιεί τρωτά σημεία στο λογισμικό;
  • επικυρωτής - ένας κακόβουλος κώδικας που χρησιμοποιείται σε περιπτώσεις πρωτογενούς μόλυνσης, είναι σε θέση να συλλέγει πληροφορίες σχετικά με τον κεντρικό υπολογιστή, να τον μεταφέρει στο C&C για περαιτέρω λήψη αποφάσεων σχετικά με την ανάπτυξη μιας επίθεσης ή την πλήρη ακύρωσή της σε ένα συγκεκριμένο μηχάνημα.
  • Downloader - Μονάδα παράδοσης με σταγονόμετρο. ο φορτωτής χρησιμοποιείται εξαιρετικά συχνά σε επιθέσεις κοινωνικής μηχανικής, αποστέλλονται ως συνημμένο ταχυδρομικά μηνύματα;
  • Η μονάδα παράδοσης Dropper είναι ένα κακόβουλο πρόγραμμα (συνήθως Trojan) του οποίου η αποστολή είναι να παραδώσει τον κύριο ιό Payload στο μολυσμένο μηχάνημα του θύματος. Έχει σχεδιαστεί για:
    • στερέωση μέσα στο μολυσμένο μηχάνημα, κρυφή αυτόματη φόρτωση, διεργασίες έγχυσης μετά την επανεκκίνηση του μηχανήματος.
    • Εισάγετε μια νόμιμη διαδικασία λήψης και ενεργοποίησης του ιού Payload μέσω κρυπτογραφημένου καναλιού ή εξαγωγή και εκτέλεση κρυπτογραφημένου αντιγράφου του ιού Payload από το δίσκο.

Η εκτέλεση κώδικα λαμβάνει χώρα σε μια εγχυόμενη νόμιμη διαδικασία με δικαιώματα συστήματος, μια τέτοια δραστηριότητα είναι εξαιρετικά δύσκολο να εντοπιστεί από τυπικά εργαλεία ασφαλείας.

3. Σώμα ιού ωφέλιμου φορτίου. Η κύρια κακόβουλη μονάδα σε μια στοχευμένη επίθεση, που φορτώνεται σε έναν μολυσμένο κεντρικό υπολογιστή από το Dropper, μπορεί να αποτελείται από πολλά λειτουργικά πρόσθετα. ενότητες, καθεμία από τις οποίες θα εκτελέσει τη λειτουργία της:

Το APT (Advanced Persistent Threat) είναι ένας συνδυασμός βοηθητικών προγραμμάτων, κακόβουλου λογισμικού, exploits zero-day και άλλων στοιχείων που έχουν σχεδιαστεί ειδικά για την υλοποίηση αυτής της επίθεσης.

  • κατάσκοπος πληκτρολογίου?
  • εγγραφή οθόνης?
  • απομακρυσμένη πρόσβαση;
  • μονάδα διανομής εντός της υποδομής·
  • αλληλεπίδραση με C&C και ενημέρωση.
  • κρυπτογράφηση?
  • ίχνη καθαρισμού δραστηριότητας, αυτοκαταστροφή.
  • ΑΝΑΓΝΩΣΗ τοπική αλληλογραφία;
  • αναζήτηση πληροφοριών στο δίσκο.

Όπως μπορούμε να δούμε, οι δυνατότητες του εξεταζόμενου συνόλου εργαλείων είναι εντυπωσιακές και η λειτουργικότητα των μονάδων και των τεχνικών που χρησιμοποιούνται μπορεί να ποικίλλει σημαντικά ανάλογα με τα σχέδια της στοχευμένης επίθεσης. Το γεγονός αυτό τονίζει τη μοναδικότητα τέτοιων επιθέσεων.

Συνοψίζοντας

Είναι σημαντικό να σημειωθεί η αύξηση των στοχευμένων επιθέσεων κατά εταιρειών σε διάφορους τομείς της αγοράς (άλλοι κίνδυνοι φαίνονται στο Σχήμα 2), η υψηλή πολυπλοκότητα του εντοπισμού τους και η τεράστια ζημιά από τις ενέργειές τους, η οποία δεν είναι εγγυημένη ότι θα εντοπιστεί μετά από πολύς καιρός. Κατά μέσο όρο, μια στοχευμένη επίθεση ανακαλύπτεται 200 ​​ημέρες αφότου ήταν ενεργή 1 , πράγμα που σημαίνει ότι όχι μόνο οι επιτιθέμενοι πέτυχαν τους στόχους τους, αλλά είχαν τον έλεγχο για περισσότερο από μισό χρόνο. Επίσης, οι οργανισμοί που έχουν εντοπίσει την παρουσία APT στην υποδομή τους δεν είναι σε θέση να ανταποκριθούν σωστά και να ελαχιστοποιήσουν τους κινδύνους και να εξουδετερώσουν τη δραστηριότητα: το προσωπικό που είναι υπεύθυνο για την ασφάλεια πληροφοριών απλά δεν το εκπαιδεύει. Ως αποτέλεσμα, κάθε τρίτη εταιρεία αναστέλλει τις δραστηριότητές της για περισσότερο από μία εβδομάδα σε μια προσπάθεια να ανακτήσει τον έλεγχο της δικής της υποδομής, και στη συνέχεια αντιμετωπίζει μια περίπλοκη διαδικασία διερεύνησης περιστατικών.


Οι ζημίες που προκύπτουν από ένα σημαντικό περιστατικό κατά μέσο όρο 551.000 $ παγκοσμίως για μια εταιρεία, συμπεριλαμβανομένων των χαμένων επιχειρηματικών ευκαιριών και του χρόνου διακοπής λειτουργίας του συστήματος, καθώς και του κόστους των επαγγελματικών υπηρεσιών αποκατάστασης 2 .

Σχετικά με τον τρόπο ανάπτυξης της επίθεσης, τις μεθόδους παράκαμψης τυπικών εργαλείων προστασίας και την εκμετάλλευση απειλών μηδενικής ημέρας, την κοινωνική μηχανική, τη διάδοση και την απόκρυψη ιχνών όταν κλέβονται βασικές πληροφορίες και πολλά άλλα - στα ακόλουθα άρθρα της σειράς Anatomy of a Targeted Attack.

___________________________________________
1 Με βάση τα στατιστικά στοιχεία της Kaspersky Lab.
2 Δεδομένα μελέτης Ασφάλεια Πληροφοριών business» που διεξήχθη από την Kaspersky Lab και την B2B International το 2015. Στη μελέτη συμμετείχαν περισσότεροι από 5.500 επαγγελματίες πληροφορικής από 26 χώρες, συμπεριλαμβανομένης της Ρωσίας.

Τα κακόβουλα προγράμματα έχουν πάψει εδώ και πολύ καιρό να είναι ένα εργαλείο για τη διάπραξη μικροκαμώσεων που στοχεύει στην οργάνωση ενός botnet για αποστολή ανεπιθύμητων μηνυμάτων ή, σε ακραίες περιπτώσεις, στην κλοπή του κωδικού πρόσβασης διαδικτυακής τραπεζικής ενός χρήστη για να πραγματοποιήσει μια μη εξουσιοδοτημένη λειτουργία. Για τις εταιρείες, οι κοινοί ιοί μπορούν να θεωρηθούν ως «μικρό σαμποτάζ» χωρίς μεγάλους κινδύνους. Με τη σειρά τους, για τους επιτιθέμενους αυτή τη μέθοδοτο κέρδος δεν έχει ιδιαίτερο ενδιαφέρον, tk. Υπάρχουν πολλές διαθέσιμες προστασίες (εργαλεία κατά των ιών, εφαρμογές με ενισχυμένα μέτρα οικονομικού ελέγχου κ.λπ.) που δεν επιτρέπουν στον εγκληματία να εκμεταλλευτεί την επίθεση.

Το τέλος αγιάζει τα μέσα
Νικολό Μακιαβέλι

Στην εποχή της συνολικής πληροφορικής και της τεχνολογικής προόδου, όταν δισεκατομμύρια δολάρια αποθηκεύονται σε συστήματα ηλεκτρονικού εμπορίου, θα ήταν αφελές να υποθέσουμε ότι δεν υπάρχουν εγκληματίες υψηλής ειδίκευσης που δεν θα ήθελαν να κλέψουν αυτά τα κεφάλαια. Σήμερα, υπάρχει μια σαφώς καθορισμένη και αυξανόμενη τάση χρήσης στοχευμένων επιθέσεων στις υποδομές μεσαίων και μεγάλων επιχειρήσεων.

Στοχευμένες (στοχευμένες) επιθέσεις (APT, Advanced Persistent Threats)είναι επιθέσεις (κακόβουλο λογισμικό) που στοχεύουν σε συγκεκριμένα αντικείμενα ή βιομηχανίες. Λαμβάνουν υπόψη τις ιδιαιτερότητες της εταιρείας για την οποία ισχύουν ή του τομέα δραστηριότητας της εταιρείας συνολικά.

Όλες οι επιθέσεις αυτού του είδους περιέχουν μια σειρά από χαρακτηριστικά:

    Εστίαση στον κλάδο (ο ιός/επίθεση χρησιμοποιείται σε έναν συγκεκριμένο κλάδο, θα είναι άσχετος για κάποιον άλλο).

    "Μη τετριμμένο" κώδικα προγραμματισμού. Όπως αναφέρθηκε προηγουμένως, ειδικοί υψηλής ειδίκευσης ασχολούνται με τη σύνταξη προσαρμοσμένων ιών. Όταν γράφουν, λαμβάνουν υπόψη τις περισσότερες αποχρώσεις που μπορούν να λειτουργήσουν τυπικά μέσαΠΡΟΣΤΑΣΙΑ. Για αυτόν τον λόγο, για παράδειγμα, τα εργαλεία προστασίας από ιούς που βασίζονται σε υπογραφές πιθανότατα δεν θα μπορούν να ανιχνεύσουν τέτοιον κώδικα προγράμματος ως κακόβουλο. Για το λόγο αυτό, ένας εισβολέας μπορεί να παραμείνει απαρατήρητος στα συστήματα για μεγάλο χρονικό διάστημα και να συλλέξει τα απαραίτητα στατιστικά στοιχεία για να ολοκληρώσει με επιτυχία την επίθεση.

Συνήθως, οι εισβολείς χρησιμοποιούν εκμεταλλεύσεις zero-day για να εφαρμόσουν στοχευμένες απειλές.

0ημέρα- ένας όρος που υποδηλώνει μη επιδιορθωμένα τρωτά σημεία, καθώς και κακόβουλα προγράμματα έναντι των οποίων δεν έχουν αναπτυχθεί ακόμη μηχανισμοί προστασίας.

Το πιο σημαντικό καθήκον του exploit είναι να μπει μέσα στην εταιρική περίμετρο απαρατήρητο, να αποκτήσει βάση, εξαλείφοντας αν είναι δυνατόν αντιικό παράγοντα, και τραβήξτε όλο τον εξοπλισμό του επιτιθέμενου για άνετη και «παραγωγική» δουλειά.

Όπως δείχνουν τα στατιστικά για το 2013-2014, οι επιθετικοί προς αυτή την κατεύθυνση έχουν πετύχει τεράστιες νίκες. Πρώτα ο Δίας και μετά ο Κάρμπερπ, τόσο στη Ρωσία όσο και σε όλο τον κόσμο, έγιναν πραγματική μάστιγα. Το ποσό της κλοπής μόνο με χρήση αυτών των δύο οικογενειών ιών για το έτος ανήλθε σε αρκετά δισεκατομμύρια δολάρια. Ο μέσος όρος επιτυχώς εφαρμοσμένης επίθεσης σε μια εταιρεία του χρηματοπιστωτικού τομέα στη Ρωσία ήταν 30 εκατομμύρια ρούβλια.

Τέτοια ύποπτη δραστηριότητα τα τελευταία χρόνιασχετίζεται με μια ιστορία σχετικά με μια πηγή κακόβουλου λογισμικού «υψηλής ποιότητας» που έχει διαρρεύσει στο δίκτυο.

«Οι πηγές του διάσημου τραπεζικού trojan Carberp διέρρευσαν ανοιχτή πρόσβαση. Οι πηγαίοι κώδικες Carberp σε ένα αρχείο RAR 1,88 GB βρίσκονται πλέον εύκολα από την Google. Όταν αποσυσκευαστεί, το έργο περιέχει περίπου 5 GB αρχείων με λεπτομερή λίστα. Προφανώς, τώρα μπορούμε να περιμένουμε ένα νέο κύμα δημιουργικότητας από αρχάριους και συνεχιζόμενους συγγραφείς ιών. Κάποιος μάλιστα αστειεύτηκε: «Η διαρροή του Δία ήταν σαν ένα δωρεάν μηχάνημα. Η διαρροή Carberp είναι ήδη ένας δωρεάν εκτοξευτής πυραύλων»…», ειδικός του IS, συγγραφέας του περιοδικού Hacker, Denis Mirkov

«Λοιπόν, τι να κάνουμε τώρα;» - Μια ερώτηση που κυλά άθελά της στον λαιμό οποιουδήποτε σεκιουριτάς. Αυτό θυμίζει ένα απόσπασμα που είπε ο Emanuel Lasker το 1899, «Ο μόνος τρόπος για να γίνεις εξυπνότερος είναι να παίξεις με έναν ισχυρότερο αντίπαλο». Οι τεχνολογίες και οι προγραμματιστές δεν μένουν στάσιμοι, αν υπάρχει ζήτηση, θα υπάρξει μια άξια προσφορά. Το κύριο πρόβλημα στον εντοπισμό απειλών μηδενικής ημέρας είναι η αδυναμία εύρεσης γνωστών υπογραφών κατά την ανάλυση του κώδικα. Αυτό όμως δεν σημαίνει ότι η συμπεριφορά οποιουδήποτε αρχείου δεν μπορεί να εντοπιστεί, να ελεγχθεί με τη μέθοδο του «μαύρου κουτιού» και να εξαχθούν τα κατάλληλα συμπεράσματα!

Η ανάλυση συμπεριφοράς στο sandbox είναι μακράν η μεγαλύτερη αποτελεσματικός τρόποςανάλυση και ανίχνευση απειλών μηδενικής ημέρας και στοχευμένων επιθέσεων. Διάφοροι κατασκευαστέςπροσφέρουν τις λύσεις τους, υποστηρίζοντας ότι το προϊόν τους είναι το πιο παραγωγικό και ακριβές. Ωστόσο, αυτό δεν ισχύει, το κύριο πρόβλημα τέτοιων λύσεων είναι οι ψευδείς συναγερμοί (false positive), οι οποίοι μπορούν να ακυρώσουν ολόκληρο το έργο της υπηρεσίας ασφαλείας. Η επιλεγμένη λύση θα πρέπει να είναι ευαίσθητη μόνο σε σοβαρές απειλές. Η εφαρμογή μιας τέτοιας ιδέας είναι ήδη επαγγελματισμός και εμπειρία που έπρεπε να μεταφερθεί σε πολύπλοκους αλγόριθμους και να εφαρμοστεί στο τελικό προϊόν.

29/03/2013, Παρασκευή, 13:03, ώρα Μόσχας

Τα κακόβουλα προγράμματα που χρησιμοποιούνται σε προηγμένες μόνιμες απειλές (συντομογραφία APT) βελτιώνονται συνεχώς. Τώρα μπορούν να διεισδύσουν κρυφά σε δίκτυα, συχνά υστερούντες εργασίες και αφαιρούμενα μέσα. Σήμερα, καθώς οι χώροι εργασίας γίνονται όλο και πιο κινητοί και εκτός ελέγχου της εταιρικής υποδομής ασφάλειας πληροφορικής, το πρόβλημα επιδεινώνεται.

Ένα παράδειγμα τέτοιας απειλής είναι το σκουλήκι Flame, ένα νέο όπλο κυβερνοπολέμου που έχει επιτεθεί στον ενεργειακό τομέα του Ιράν και τώρα εξαπλώνεται σε όλη τη Μέση Ανατολή. Το κακόβουλο λογισμικό Flame1, που ανακαλύφθηκε από ειδικούς της Kaspersky Lab, είναι γνωστό ως «μία από τις πιο περίπλοκες απειλές όλων των εποχών». Και παρόλο που ο ιός Flame αρχικά υποτίθεται ότι σαμποτάρει το πυρηνικό πρόγραμμα του Ιράν, εξακολουθεί να στοιχειώνει τους ειδικούς σε θέματα ασφάλειας. Γεγονός είναι ότι πλέον έχει εξαπλωθεί πέρα ​​από την υποδομή-στόχο, μολύνοντας εταιρικά συστήματαΠαγκόσμιος.

Ο προκάτοχός του ήταν ο ιός Stuxnet, ο οποίος σχεδιάστηκε ειδικά για να μολύνει και να διαταράσσει τα συστήματα Εποπτικού Ελέγχου και Απόκτησης Δεδομένων (SCADA) που έλεγχαν τις φυγόκεντρες εμπλουτισμού ουρανίου του Ιράν. Η επιτυχία αυτού του κακόβουλου προγράμματος ξεπέρασε τις προσδοκίες των δημιουργών του: ο εξοπλισμός πέρασε σε ανεξέλεγκτο τρόπο λειτουργίας με μια πορεία αυτοκαταστροφής. Δυστυχώς, και το Stuxnet ξεπέρασε τους ιρανικούς στόχους και άρχισε να μολύνει συστήματα SCADA στη Γερμανία και στη συνέχεια σε άλλες χώρες του κόσμου.

Τόσο το Flame όσο και το Stuxnet είναι σύνθετες στοχευμένες απειλές. Αυτό είναι ένα όπλο επόμενης γενιάς για στρατιωτικές επιχειρήσεις που ελέγχονται από την κυβέρνηση, τρομοκράτες και καλά χρηματοδοτούμενα συνδικάτα εγκλήματος στον κυβερνοχώρο. Εξοπλισμένα με πολλές δυνατότητες για να κρύψουν τις δραστηριότητές τους, αυτά τα κακόβουλα προγράμματα στοχεύουν κυρίως στην κλοπή πνευματικής ιδιοκτησίας, σχεδίων στρατιωτικών οργανισμών και άλλων πολύτιμων εταιρικών περιουσιακών στοιχείων.

Ωστόσο, τα θύματα αυτού του πολέμου πιθανότατα θα είναι μεσαίες και μικρές επιχειρήσεις που θα βρεθούν στα διασταυρούμενα πυρά εάν δεν αναπτυχθούν πολύπλοκες υποδομέςασφάλεια για την προστασία των τελικών σημείων. Οι εποχές που οι μεσαίες και μεγάλες εταιρείες μπορούσαν να απολαμβάνουν σχετική ανωνυμία ή να τσιγκουνεύονται την ασφάλεια, έχουν περάσει. Οι σύνθετες στοχευμένες απειλές και οι επιθέσεις zero-day γίνονται πανταχού παρούσες και ανελέητες.

Η εξέλιξη των απειλών

Μια φορά κι έναν καιρό, οι απειλές στέλνονταν μαζικά, συνήθως από ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ. Το θύμα παρασύρθηκε σε μια παγίδα χρησιμοποιώντας ένα μήνυμα ηλεκτρονικού ψαρέματος, το οποίο φέρεται να στάλθηκε από έναν χρηματοδότη από το εξωτερικό ή έναν συγγενή που είχε χαθεί εδώ και καιρό. Και παρόλο που αυτές οι απειλές ήταν δυνητικά επικίνδυνες, αποστέλλονταν αδιακρίτως. Επιπλέον, θα μπορούσαν να εντοπιστούν και να αποτραπούν χρησιμοποιώντας βασικά εργαλεία ασφαλείας. Αυτού του είδους οι επιθέσεις εξακολουθούν να κυριαρχούν στο Διαδίκτυο. Ωστόσο, τα τελευταία χρόνια, το επίπεδο πολυπλοκότητας των απειλών έχει αυξηθεί σημαντικά: πλέον οι σύνθετες στοχευμένες απειλές και οι επιθέσεις zero-day είναι όλο και πιο συχνές, οι οποίες προκαλούν φόβο και άγχος στους χρήστες.

Τα τελευταία χρόνια, οι πιο υψηλές επιθέσεις που χρησιμοποιούν εξελιγμένες στοχευμένες απειλές έχουν επισκιάσει ακόμη και τα πιο απίθανα σενάρια. Επιχείρηση Aurora: επίθεση στην Google. Το 2009, κατά τη διάρκεια αυτής της επίθεσης κινεζικής προέλευσης, μέσω τρωτών σημείων σε Windows InternetΟ Explorer έχει ληφθεί πηγήκαι άλλα είδη πνευματικής ιδιοκτησίας της Google και περίπου 30 άλλων παγκόσμιων εταιρειών.

Επίθεση στο RSA. Το 2011, εγκληματίες του κυβερνοχώρου μπόρεσαν να διεισδύσουν στα συστήματα των στρατιωτικών εργολάβων των ΗΠΑ Lockheed Martin, Northrop Grumman και L3 Communications, χάρη σε αυτήν την επίθεση hacking στα κορυφαία κλειδιά SecurID της εταιρείας, για την αξιοπιστία για την οποία ο πάροχος λύσεων ασφαλείας ήταν τόσο περήφανος.

Εθνικό Εργαστήριο Oak Ridge. Το εργαστήριο DOE έπρεπε να τεθεί εκτός σύνδεσης όταν οι διαχειριστές ανακάλυψαν ότι μια επίθεση phishing ανέβαζε ευαίσθητα δεδομένα από τον διακομιστή.

δίχτυ φαντασμάτων. Αυτό το δίκτυο κυβερνοκατασκοπείας, αποτελούμενο από 1.295 μολυσμένους υπολογιστές σε 103 χώρες, στόχευσε αρκετούς υποστηρικτές του κινήματος ανεξαρτησίας του Θιβέτ, καθώς και άλλους μεγάλους οργανισμούς, όπως τοπικά υπουργεία, επιτροπές εξωτερικών υποθέσεων, πρεσβείες, διεθνείς και μη κυβερνητικές οργανώσεις.

ShadyRat. Στο πλαίσιο αυτής της ηχηρής εκστρατείας, τα δίκτυα κυβερνητικών φορέων, μη κερδοσκοπικών οργανισμών και μεγάλων επιχειρήσεων σε 14 χώρες του κόσμου παραβιάστηκαν, συνολικά 70 επηρεάζονται οργανισμοί.

Κύρια χαρακτηριστικά

Αυτές τις μέρες, σύνθετες στοχευμένες απειλές και επιθέσεις μηδενικής ημέρας συμβαδίζουν και καλύπτονται ευρέως στα μέσα ενημέρωσης. Και όμως, τι είναι και σε τι διαφέρουν από απειλές όπως Trojans ή worms;

Είναι ασφαλές να πούμε ότι δεν πρόκειται για συνηθισμένες ερασιτεχνικές επιθέσεις. Από το όνομα είναι σαφές ότι τέτοιες απειλές λειτουργούν με βάση προηγμένες τεχνολογίες, καθώς και πολλές μεθόδους και φορείς για στοχευμένες επιθέσεις σε συγκεκριμένους οργανισμούς προκειμένου να ληφθούν εμπιστευτικές ή διαβαθμισμένες πληροφορίες.

Οι δημιουργοί πολύπλοκων στοχευμένων απειλών είναι πολύ διαφορετικοί από τους μικρούς σεναρίους που ξεκινούν επιθέσεις SQL ή από τον μέσο συγγραφέα κακόβουλου λογισμικού που πουλά botnet σε κάποιον που προσφέρει τα περισσότερα υψηλή τιμή. Συνήθως, αυτές οι προηγμένες απειλές σχεδιάζονται από μεγάλα, οργανωμένα συνδικάτα που έχουν ολόκληρες ομάδες ειδικών στη διάθεσή τους, με πολλαπλές τεχνολογίες συλλογής πληροφοριών στη διάθεσή τους. Επειδή αυτές οι απειλές είναι αργές, κρυφές και καλύπτουν τα ίχνη τους, προτιμώνται όλο και περισσότερο από κυβερνοεγκληματίες, εχθρικές κυβερνήσεις, τρομοκράτες και συνδικάτα εγκληματικότητας.

Σχέδιο εργασίας

Κατά την εφαρμογή πολύπλοκων στοχευμένων απειλών, οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν κακόβουλο λογισμικό για να αποκτήσουν εξατομικευμένες πληροφορίες που βοηθούν στην πραγματοποίηση του δεύτερου σταδίου της επίθεσης. Μετά από αυτό, χρησιμοποιούνται μεμονωμένες τεχνολογίες κοινωνικής μηχανικής, σκοπός των οποίων είναι να διεισδύσουν στον οργανισμό μέσω του πιο αδύναμου σημείου του: του τελικού χρήστη.

Σε αυτό το στάδιο της επίθεσης, οι στόχοι είναι άτομα που έχουν πρόσβαση στους απαραίτητους λογαριασμούς. Αυτό χρησιμοποιεί πειστικές επιστολές που υποτίθεται ότι προέρχονται από Ανθρώπινο Δυναμικό ή άλλη αξιόπιστη πηγή. Ένα απρόσεκτο κλικ σε ένα τέτοιο email και οι εγκληματίες του κυβερνοχώρου αποκτούν δωρεάν πρόσβαση στις πιο πολύτιμες πληροφορίες του οργανισμού, χωρίς καν να το υποψιάζεται κανείς. Έχοντας αποκτήσει πρόσβαση στο σύστημα, μια σύνθετη στοχευμένη απειλή χρησιμοποιεί μια ποικιλία από Trojans, ιούς και άλλα κακόβουλα προγράμματα. Μολύνουν το δίκτυο και δημιουργούν πολλά κενά που μπορούν να παραμείνουν σε σταθμούς εργασίας και διακομιστές επ' αόριστον. Όλο αυτό το διάστημα, η απειλή μετακινείται απαρατήρητη από τον έναν υπολογιστή στον άλλο σε αναζήτηση ενός δεδομένου στόχου.

Zero day exploits

Το αγαπημένο εργαλείο σύνθετων στοχευμένων απειλών είναι πάντα τα zero-day exploits. Αυτό το ευρύχωρο όνομα αποτυπώνει καλά την ουσία των απειλών που εκμεταλλεύονται τα τρωτά σημεία ασφαλείας στα προγράμματα προτού ο προμηθευτής τα διορθώσει ή ακόμη και μάθει για την ύπαρξή τους. Έτσι, περνάει λιγότερο από μία μέρα από την πρώτη επίθεση και τη διόρθωση - «μηδέν ημέρες». Ως αποτέλεσμα, οι εγκληματίες του κυβερνοχώρου έχουν πλήρη ελευθερία δράσης. Χωρίς να φοβούνται την ανταπόδοση, εκμεταλλεύονται μια επίθεση εναντίον της οποίας δεν υπάρχει γνωστή άμυνα.

Το κακόβουλο λογισμικό που εκμεταλλεύεται τις ευπάθειες zero-day μπορεί να προκαλέσει σοβαρή ζημιά σε έναν οργανισμό χωρίς να γίνει αντιληπτός. Στόχος τους είναι να κλέψουν ευαίσθητες πληροφορίες, όπως πηγαίο κώδικα, πνευματική ιδιοκτησία, σχέδια για στρατιωτικούς οργανισμούς, δεδομένα αμυντικής βιομηχανίας και άλλα κυβερνητικά μυστικά που χρησιμοποιούνται στην κατασκοπεία. Όταν η οργάνωση μαθαίνει για την επίθεση, γίνεται πραγματικός εφιάλτης για το τμήμα δημοσίων σχέσεων. Η ζημιά ανέρχεται σε εκατομμύρια, όχι μόνο για την επισκευή της υποδομής ασφαλείας, αλλά και για την καταβολή νομικών τελών και την αντιμετώπιση των συνεπειών της απόσυρσης πελατών. Για να μην αναφέρουμε πόσο κόπο, χρόνο και χρήμα ξοδεύονται για την αποκατάσταση της φήμης και της εμπιστοσύνης των πελατών.

Οι σύνθετες στοχευμένες απειλές και οι μηδενικές εκμεταλλεύσεις δεν είναι νέα φαινόμενα. Χρησιμοποιήθηκαν για πρώτη φορά πριν από αρκετά χρόνια, πολύ πριν μπουν αυτοί οι όροι στην ορολογία των επαγγελματιών ασφαλείας. Μέχρι τώρα, πολλοί οργανισμοί δεν έχουν καν συνειδητοποιήσει ότι πριν από αρκετούς μήνες (και μερικές φορές ακόμη και χρόνια) έπεσαν θύμα μιας κρυφής επίθεσης μηδενικής ημέρας. Σύμφωνα με την αναφορά παραβίασης δεδομένων της Verizon, το 2,44% αυτών των παραβιάσεων πνευματικής ιδιοκτησίας ανακαλύπτονται μετά από αρκετά χρόνια.

Παράδειγμα: μια έκθεση που δημοσιεύτηκε από το Christian Science Monitor3 διαπίστωσε ότι το 2008, τρεις εταιρείες πετρελαίου—ExxonMobil, Marathon Oil και ConocoPhilips—ήταν θύματα στοχευμένων επιθέσεων στον κυβερνοχώρο που πραγματοποιήθηκαν χρησιμοποιώντας περίπλοκες, στοχευμένες απειλές. Κατά τη διάρκεια των επιθέσεων (πιθανώς κινεζικής προέλευσης), ανέβασαν κυβερνοεγκληματίες απομακρυσμένος διακομιστήςκρισίμως σημαντικές πληροφορίεςσχετικά με τον αριθμό, την αξία και τη θέση των κοιτασμάτων πετρελαίου που ανακαλύφθηκαν στον κόσμο. Ωστόσο, το ίδιο το γεγονός της επίθεσης της εταιρείας ανακαλύφθηκε μόνο αφού το FBI ανέφερε την κλοπή εμπιστευτικών πληροφοριών από αυτούς.

Μέχρι το 2011, οι σύνθετες στοχευμένες απειλές δικαίως κατέλαβαν μια από τις πρώτες θέσεις μεταξύ των απειλών για την ασφάλεια. Εξαιτίας αυτών άλλωστε, εταιρείες όπως η Sony, η Epsilon, η HBGary και η DigiNotar υπέστησαν τεράστιες ζημιές φέτος. Για να μην αναφέρουμε το RSA, το οποίο έχασε σχεδόν 40 εκατομμύρια αρχεία από κωδικούς πρόσβασης μιας χρήσηςΓια ηλεκτρονικά κλειδιά. Συνολικά, η αποτυχία ασφαλείας RSA4 κόστισε στην εταιρεία περίπου 66 εκατομμύρια δολάρια, ενώ η Sony5 έχασε 170 εκατομμύρια δολάρια από την απώλεια 100 εκατομμυρίων δίσκων.

Στο τέλος του 2011, υπήρξαν τουλάχιστον 535 παραβιάσεις δεδομένων με αποτέλεσμα την απώλεια 30,4 εκατομμυρίων αρχείων. Πολλές εταιρείες έχουν πέσει θύματα μιας σειράς συγκλονιστικών επιθέσεων φέτος, σύμφωνα με το Privacy Rights Clearinghouse. Και αυτό είναι μόνο ένα μικρό μέρος των γνωστών παραβιάσεων, γιατί κάθε χρόνο υπάρχουν χιλιάδες παραβιάσεις ασφαλείας που δεν εντοπίζονται ή αποκαλύπτονται.

Είναι δυνατή και απαραίτητη η άμυνα έναντι πολύπλοκων στοχευμένων απειλών. Οι μέθοδοι προστασίας θα συζητηθούν στο άρθρο "Σύνθετες στοχευμένες απειλές: Εξασφάλιση προστασίας".