A célzott támadások először 2009-ben váltak aktív viták tárgyává a világközösségben. Akkor vált ismertté a Stuxnet támadás. Talán azt mondhatjuk, hogy vele kezdődött közelmúltbeli történelem célzott kibertámadások. Mi ez a fajta kiberbűnözés, és hogyan fordulhatnak elő az ilyen támadások, részletesebben anyagunkban.

Mik azok a célzott támadások?

A célzott (vagy szándékos) támadások előre megtervezett akciók egy adott állam vagy nem állami struktúra vagy szervezet ellen. A célzott támadásokat végrehajtó kiberbűnözők általában profik, a hagyományos, megrendelésre autókat lopó támadókhoz hasonlíthatók: konkrét célpontjuk van, tanulmányozzák az autóvédelem eszközeit, hogy később sikeresen megkerüljék őket.

Napjainkban a hackerek tevékenysége egyre több jellegzetességet kölcsönöz a hagyományos üzletnek. Van egyfajta „fekete piac” a piacon – árnyéksémák és értékesítési helyek szoftver eszközök szükséges egy vállalat informatikai infrastruktúrájának megtámadásához. Vannak fix árfolyamok, amelyek könnyen megtalálhatók az interneten.

Akár már kialakult termékvonalakkal is találkozhatunk: a kiberbűnöző "cégek" bővítik az értékesítési tölcsért, a megoldások egyedi módosításait készítik elő, különböző célszegmenseket figyelembe véve. Vannak árak a botneteknek, aktívan hirdetik a trójaiak új verzióit. Akár célzott támadást is vásárolhat szolgáltatásként. A kibertámadók saját fejlesztési terveket készítenek, amelyeket szintén aktívan hirdetnek.

A bejelentéseket általában zárt forrásból adják ki – mondja Andrey Arefiev, az InfoWatch termékfejlesztési vezetője. – Ennek ellenére elmondhatjuk, hogy a modern botnet-ipar minden olyan tulajdonsággal rendelkezik, mint a teljes értékű kereskedelmi termékek. Független kutatások szerint az elmúlt években tízszeresére nőtt a botnetek építésére használt közművek száma.

Ráadásul a támadások jellege is jelentősen megváltozott az elmúlt években: nagyon kifinomulttá váltak. A mai támadások elágazóbbá váltak: a támadó fél igyekszik alkalmazkodni a cég saját infrastruktúrájához, és a lehető legláthatatlanabbá tenni a támadást. A támadást vagy a lehető legkésőbb észlelni kell, vagy egyáltalán nem észlelhető. Ezért az ilyen támadások általában időben meghosszabbodnak, és csak akkor válnak észrevehetővé, amikor eljön az ideje, hogy aktívan megnyilvánuljanak.

Az IT-infrastruktúra elleni célzott támadások a következő jellemzőkkel rendelkeznek:

  • Tanulmányozzák a vállalat védelmi rendszerét, és megkerülik azt.
  • A támadások jellege többlépcsőssé vált: a titkárnő számítógépén indulhatnak el, a végső cél pedig a könyvelő számítógépe lesz – például a támadók feladata lehet rosszindulatú programok telepítése oda.

Köztes eredményként megjegyezhető, hogy ha nem észleli a cég IT-infrastruktúrája elleni támadás látható jeleit, az nem jelenti azt, hogy nem támadják meg – összegzi Andrej Arefjev.

Példák célzott támadásokra

Számos nyílt forrás szerint egy trójai vírusprogram bevezetésénél a „belépési pont” gyakran a hűtlen céges alkalmazottak bennfentes tevékenysége. Hasonló példát nem is olyan régen lehetett megfigyelni Iránban.

A támadás fő célja az iráni nukleáris program megfékezése volt. Tudomásunk szerint a nukleáris dúsító centrifugákat szuverén állam ellenőrizte, és számos létesítményt szabadúszóként helyeztek el. A centrifugák gyorsan tönkrementek, javításuk időt és pénzt igényelt, ezért az urándúsítást elhalasztották. Mint kiderült, ezt a támadást előre megtervezték, végrehajtották és hosszú ideig végrehajtották.

A támadás célja nem berendezések ellopása, hanem ipari létesítmények ellenőrzése volt. Elképzelni is szörnyű, mi történhet, ha valaki irányítani kezd egy atomerőművet: szabadúszó üzemmódba állítása legalább egy második Csernobillal fenyeget...

A támadók célpontja azonban nem csak stratégiai fontos tárgyakatés a nagyobb kormányzati szervezetek. A közelmúltban egy gazdálkodó szervezet egyik tulajdonosa saját szemével is meggyőződhetett erről. Kapcsolati sérülékenységekkel próbálták megfertőzni a cég szerverét – a cég tulajdonosának csak annyi szerencséje volt, hogy csak a könyvelő számítógépét támadták meg.

A rosszindulatú szoftver egy olyan program, amely lehetővé teszi a hozzáférést illetéktelen hozzáférés nak nek bizalmas információ sebezhetőségeken keresztül. Az ilyen programokat általában a vállalati hálózathoz való elsődleges hozzáférés megszerzésére használják. A rendszerinjektálás általában az adatokhoz való hozzáférést jelenti a rendszer újraindításakor. A végrehajtható modul "regisztrációja" ebben az esetben annak minden alkalommal történő újraindítása.

A cég alkalmazottjának számítógépére nemcsak az utóbbi rosszindulatú szándéka miatt kerülhetnek rosszindulatú szoftverek, hanem a hackerek által alkalmazott módszerek miatt is. szociális tervezés(például egy számítógépes bűnöző megkérheti az áldozatot, hogy kövessen egy adott linket, vagy látogasson el egy harmadik féltől származó forráshoz).

Ennek eredményeként az áldozat elérhetővé válik a támadás számára, és a támadók hozzáférnek az alkalmazott munkahelyi számítógépének operációs rendszeréhez. Most már elindíthat rosszindulatú fájlokat, hogy később átvehesse az irányítást a szervezet számítógépei felett. A fent felsorolt ​​műveleteket "nulladik napi támadásoknak" nevezik.

Milyen adatokat lopnak el leggyakrabban?

Ez nagyban függ a cég profiljától. A hackerek célja ipari titkok és zárt terv stratégiai fejlesztései, fizetési és személyes adatok lehetnek. Érdekes módon a kutatások szerint a válaszadók 63%-a érti, hogy a cégük elleni célzott támadás csak idő kérdése.

Módszerek a célzott támadások észlelésére:

aláírás elemzés.

Az aláíráselemzés azt jelenti, hogy az elemzőknek van egy vírus által érintett fájlja. Egy ilyen rosszindulatú program tanulmányozása lehetővé teszi az aláírás (digitális ujjlenyomat) eltávolítását. Miután az aláírás bekerült az adatbázisba, egyszerűen az aláírások összehasonlításával ellenőrizheti, hogy a fájl nem fertőzött-e ezzel a vírussal. Az aláíráselemzés előnye, hogy lehetővé teszi a támadás pontos diagnosztizálását. Ha van egy fájl egyező aláírással, akkor nyugodtan kijelenthetjük, hogy a számítógép érintett.

Az aláíráselemzésnek számos előnye van:

  • Nemcsak víruskeresésre, hanem rendszerforgalom szűrésére is használható.
  • „Leülhet” az átjáróra, és ellenőrizheti bizonyos ellenőrizetlen aláírások jelenlétét.
  • Lehetővé teszi diagnosztikai komplexumok végrehajtását a támadások nagy pontosságával.

Az aláíráselemzés jelentős hátránya, hogy frissíteni kell az aláírás-adatbázist. A legtöbb vállalat kénytelen 15 percenként frissíteni az aláírási adatbázist. Ugyanakkor a világon minden fél órában megjelenik új vírus. Ezután hosszú regisztrációs és tanulmányozási folyamat következik, és csak ezt követően kerül be az aláírás az adatbázisba. Eddig a pontig a cég védtelen egy új vírus ellen.

A korábban azonosított rosszindulatú programok tanulmányozásának másik módja a heurisztikus elemzés.

A heurisztikus elemzés feladata, hogy a végrehajtható kódban ellenőrizze a vírusok aktivitására jellemző gyanús tevékenységet. Ez a technika jó, mert nem függ az adatbázisok relevanciájától. A heurisztikus elemzésnek azonban vannak hátrányai is.

Tekintettel arra, hogy az összes főbb vírusirtó ismert és mindenki számára elérhető, a hackerek tesztelhetik az írott szoftvereket, és addig módosíthatják azokat, amíg az megkerül minden ismert eszközt. vírusvédelem. Így a fő heurisztikus algoritmusok hatékonysága a semmire csökken.

A célzott támadások észlelésének másik módszere az úgynevezett következő generációs tűzfalak használata, amelyek a hagyományos képességek mellett a forgalom szűrését is lehetővé teszik. A tűzfalak fő hátránya a túlzott "gyanússáguk", nagyszámú téves pozitív eredményt generálnak. Ezenkívül a tűzfalak olyan technológiákat használnak, amelyek megtéveszthetők (sandboxing, heurisztikus elemzés és aláírás elemzés).

Van egy másik biztonsági módszer is az alkalmazások futtatásához. Az ötlet nagyon egyszerű: az állomás csak egyedi alkalmazásokat tud futtatni (ezt hívják WhiteListeningnek). Hátránya, hogy egy ilyen "fehér listán" kivétel nélkül minden alkalmazást tartalmaznia kell, amire a felhasználónak szüksége lehet. A gyakorlatban ez a módszer természetesen meglehetősen megbízható, de nagyon kényelmetlen, mivel lelassítja a munkafolyamatokat.

Végül van egy újonnan kifejlesztett technológia a dinamikus támadásészleléshez, amelyet az InfoWatch Targeted Attack Detector termékben használnak, mondja Andrey Arefiev. - Ez a technológia azon alapul, hogy a behatolók tevékenysége elkerülhetetlenül a vállalati informatikai rendszerek módosításához vezet. Ezért az InfoWatch megoldás időszakonként átvizsgálja a szervezet informatikai rendszerét, és információkat gyűjt a kritikus objektumok állapotáról. A kapott adatokat összehasonlítják a korábbi szkennelések eredményeivel, majd a bekövetkezett változások intellektuális elemzését végzik el az anomáliák jelenlétére. Amikor ismeretlen rosszindulatú programokat észlel, a vállalat elemzője részt vesz a tevékenységének és a vállalati infrastruktúrát érő esetleges károk elemzésében.

- Melyik szakaszban lehet egy támadást célzottnak minősíteni?

Valójában az anomália észlelése az elsődleges jele annak, hogy a rendszerben problémák vannak, ez pedig közvetett jele annak, hogy a vállalatot támadás éri. Ugyanakkor a támadásnak nem kell Red October-szintű vírust érintenie. A gyakorlat azt mutatja, hogy elég egy kis trójai, amelyet rendszeresen továbbítanak. Ez elvileg elég ahhoz, hogy pénzt hozzon a konkrét kibertámadóknak.

Általánosságban szeretném megjegyezni, hogy a célzott támadások a befolyásolás hatékony eszközei vállalati politika nagy kormányzati és kereskedelmi szervezetek. Ezért szükséges szisztematikusan és körültekintően fellépni az ilyen típusú kiberbűnözés ellen.

Jelena Kharlamova

Aki nem tudja mi az a "célzott" támadás, annak podcastot kérek :)

Célzott támadás - ez egy folyamatos jogosulatlan tevékenység a megtámadott rendszer infrastruktúrájában, manuálisan, valós időben, távolról irányítva.

E meghatározás alapján a következő pontokra hívom fel a figyelmet:
1) Először is pontosan ez a folyamat - tevékenység idővel néhányat művelet,és nem csak egyszeri technikai akció.
2) Másodszor, a folyamatot úgy tervezték, hogy egy adott infrastruktúrában működjön, bizonyos biztonsági mechanizmusokat, bizonyos termékeket leküzdjön, és konkrét alkalmazottakat vonjon be az interakcióba.

Jelentős különbség van a megközelítésben tömeges küldemények szabványos rosszindulatú programok, amikor a támadók teljesen más célokat követnek, valójában egy külön végpont feletti irányítást szereznek. Célzott támadás esetén az áldozat alá építik.

Az alábbi ábra egy célzott támadás négy fázisát mutatja, bemutatva azt életciklus. Fogalmazzuk meg röviden mindegyik fő célját:

  1. Kiképzés. Az első fázis fő feladata egy célpont megtalálása, kellően részletes privát információ gyűjtése róla, ami alapján azonosítani lehet az infrastruktúra gyenge pontjait. Építsen fel támadási stratégiát, vegye fel a feketepiacon elérhető, korábban elkészített eszközöket, vagy fejlessze ki a szükségeseket saját maga. Általában a tervezett behatolási lépéseket alaposan tesztelik, beleértve a szabványos információbiztonsági eszközök általi nem észlelést is.
  2. Behatolás - egy célzott támadás aktív fázisa különféle social engineering technikákat és nulladik napi sebezhetőséget használva a cél kezdeti megfertőzésére és belső felderítés végrehajtására. A felderítés végén és a fertőzött gazdagép (szerver/munkaállomás) tulajdonjogának megállapítása után egy támadó parancsára egy további rosszindulatú kód.
  3. Terítés- az infrastruktúrán belüli javítás fázisa, főként az áldozat kulcsgépein. Amennyire csak lehetséges, kibővítse az ellenőrzést, szükség esetén javítsa ki a rosszindulatú kódokat a vezérlőközpontokon keresztül.
  4. Cél elérése- a célzott támadás kulcsfázisa.
Egyes számítógépes támadások kivizsgálására egy virtuális standot fejlesztettek ki a számítógépes támadások információs és távközlési hálózat elemeire gyakorolt ​​hatásának tanulmányozására.

Ez az állvány (sokszög), amely a következőkből áll:

1. az információs és távközlési hálózat nyílt szegmensének modelljei;

2. az információs és távközlési hálózat zárt szegmensének modelljei.

A szimulált hálózat sok komponensből áll.

A nyílt szegmensben a gazdagépek (PC1–PC7) egyetlen hálózatba kapcsolódnak Cisco 3745 (c3745) útválasztókkal. Az egyes alterületeken a gazdagépek egy switch (SW1) segítségével vannak hálózatba kötve az adatátvitelhez. Ebben a sémában a switch (switch) csak a routeren keresztül érkezett csomagban található információk alapján továbbít adatokat egyik portról a másikra.

A zárt hálózati szegmensben a cryptoroutereket olyan adatcsomagok titkosítására használják, amelyek egy zárt hálózati szegmensből nyíltakká válnak. Ha a támadónak sikerül elfognia a hálózat továbbított adatainak csomagjait, akkor ezekből az adatokból nem tud hasznos információkat kinyerni.

Az információs és távközlési hálózat szegmensébe tartozó Windows XP-t választották támadott objektumnak. Ez a rendszer a "Real network Exit" felhőhöz csatlakozik ip-címmel: 192.168.8.101

Oké, kezdjük a kutatást. helyi hálózat elemek meghatározása céljából számítógép hálózat későbbi hasznosításra. Használjuk a Netdiscoveryt.

A megtámadott hálózat lehetséges sebezhetőségeinek felderítése érdekében átvizsgáljuk ezt a hálózatot hálózatfelderítő és biztonsági segédprogram – Nmap ("NetworkMapper") használatával.

A vizsgálat során megállapítottuk, hogy a rendszer rendelkezik nyitott portok, amelyek potenciális sebezhetőséget jelentenek.
Például a 445/TCPMICROSOFT-DS - használt Microsoft Windows 2000 és későbbi verziók közvetlen TCP/IP hozzáféréshez NetBIOS használata nélkül (például in Active Directory). Ezt a portot használjuk a rendszerhez való hozzáféréshez.

Most hálózati támadást hajtunk végre a Metasploit segítségével. Ez az eszköz lehetővé teszi a hálózati támadások szimulálását és a rendszer sebezhetőségeinek azonosítását, az IDS/IPS hatékonyságának ellenőrzését vagy új exploitok kifejlesztését, részletes jelentéssel.


Az exploit működni fog, de meg kell határozni, hogy mi fog történni a kihasználás után. Ehhez megnyitjuk a shellkódot, kihasználjuk a hasznos terhelést, amely hozzáférést biztosít számunkra egy parancshéjhoz egy számítógépes rendszerben.

Az LHOST-ban megadjuk annak a rendszernek az IP-címét, amelyről a támadást végrehajtják.

A szervezetek minden évben fejlesztik üzleti eszközeiket, új megoldásokat vezetnek be, miközben bonyolítják az informatikai infrastruktúrát. Most egy olyan helyzetben, amikor a cég lefagy levelezőszerver, fontos információk törlődnek a végső munkahelyekről, vagy megszakad a fizetési számlakészítés automatizált rendszerének munkája – egyszerűen leállnak az üzleti folyamatok.

Benjámin
Levcov

Alelnök, a Kaspersky Lab vállalati részlegének vezetője

Nicholas
Demidov

Információbiztonsági műszaki tanácsadó a Kaspersky Labnál

Felismerve az automatizált rendszerektől való növekvő függést, a vállalkozások is készek arra, hogy egyre többet foglalkozzanak az információbiztonsággal. Sőt, az információbiztonsági rendszer létrehozásának módja az adott szervezet helyzetétől – a megtörtént eseményektől, az egyes alkalmazottak meggyőződésétől – függ, és gyakran „alulról” alakul ki, az egyes információbiztonsági alrendszerektől a teljességig. kép. Ennek eredményeként egy többlépcsős, egy-az-egyben rendszer jön létre, amely különféle termékekből és szolgáltatásokból áll, általában összetett, minden vállalat számára egyedi, ahol az információbiztonsági szakemberek:

  • fájlok vizsgálata végpont biztonsági rendszerekkel;
  • levelek és webes forgalom szűrése átjárómegoldások segítségével;
  • figyelemmel kíséri a fájlok integritását és megváltoztathatatlanságát és rendszerbeállítások;
  • figyelemmel kíséri a felhasználói viselkedést, és reagál a normál forgalmi mintától való eltérésekre;
  • átvizsgálja a kerületet és belső hálózat sebezhetőségek és gyenge konfigurációk esetén;
  • azonosítási és hitelesítési rendszerek megvalósítása, meghajtók titkosítása és hálózati kapcsolatok;
  • fektessen be az SOC-ba, hogy összegyűjtse és korrelálja a fent említett alrendszerekből származó naplókat és eseményeket;
  • behatolási tesztek és egyéb szolgáltatások megrendelése a biztonsági szint felmérésére;
  • a rendszert összhangba hozni a szabványok követelményeivel, és tanúsítást végezni;
  • tanítsa meg a személyzetnek a számítógépes higiénia alapjait, és oldjon meg végtelen számú hasonló problémát.

De mindezek ellenére a sikeres, i.e. A céljukat elérő informatikai infrastruktúrák elleni támadások nem csökkennek, de az ezekből származó károk nőnek. Hogyan tudják a támadók legyőzni az összetett biztonsági rendszereket, amelyek általában összetételükben és felépítésükben egyedülállóak?

A célzott támadás fogalma

Ideje olyan meghatározást adni, amely pontosan tükrözi a célzott vagy célzott támadás fogalmát. A célzott támadás a megtámadott rendszer infrastruktúrájában végbemenő jogosulatlan tevékenység folyamatos folyamata, amelyet valós időben, manuálisan vezérelnek.

Először is, ez pontosan egy folyamat - egy időben végzett tevékenység, egy bizonyos művelet, és nem csak egyszeri technikai művelet.

Másodszor, a folyamat egy meghatározott infrastruktúrában való munkavégzésre irányul, amelyet úgy alakítottak ki, hogy leküzdjenek bizonyos biztonsági mechanizmusokat, bizonyos termékeket, és konkrét alkalmazottakat vonjanak be az interakcióba. Meg kell jegyezni, hogy jelentős különbség van a szabványos kártevők tömeges küldésének megközelítésében, amikor a támadók teljesen más célokat követnek – tulajdonképpen egy külön végpont feletti irányítást szereznek. Célzott támadás esetén az áldozat számára épül fel.

Harmadszor, ezt a műveletet általában egy szervezett, esetenként nemzetközi, kifinomult technikai eszközökkel felfegyverzett szakembercsoport, lényegében egy banda irányítja. Tevékenységük valóban nagyon hasonlít egy több átjárós katonai művelethez. A támadók például összeállítanak egy listát azokról az alkalmazottakról, akik potenciálisan a vállalat "bejárati kapujává" válhatnak, kapcsolatba lépnek velük a közösségi oldalakon, és tanulmányozzák a profiljukat. Ezt követően megoldódik az áldozat működő számítógépe feletti irányítás megszerzésének feladata. Ennek eredményeként a számítógépe megfertőződött, a támadók pedig átveszik az irányítást a hálózat felett, és közvetlenül bűnözőket folytatnak.

Célzott támadási helyzetben számítógépes rendszerek harcolnak egymással, és az emberek - egyesek támadnak, mások - egy jól előkészített támadást, figyelembe véve, visszavernek gyenge oldalaiés az ellenintézkedési rendszerek jellemzői.

Jelenleg az APT – Advanced Persistent Threat kifejezés egyre gyakoribb. Vessünk egy pillantást a definíciójára. Az APT segédprogramok, rosszindulatú programok, nulladik napi exploitok és egyéb összetevők kombinációja, amelyeket kifejezetten ennek a támadásnak a végrehajtására terveztek. A gyakorlat azt mutatja, hogy az APT-ket a jövőben ismételten és ismételten használják hasonló vektorral más szervezetek elleni ismételt támadások végrehajtására. A célzott vagy célzott támadás egy folyamat, egy tevékenység. Az APT egy technikai eszköz, amely lehetővé teszi támadások végrehajtását.

Nyugodtan kijelenthetjük, hogy a célzott támadások aktív elterjedése többek között magának a támadásnak a megvalósítása során jelentkező költség- és munkaerőköltségek erőteljes csökkenésének köszönhető. Számos korábban kifejlesztett eszköz áll a hackercsoportok rendelkezésére, néha nincs sürgős szükség egzotikum létrehozására rosszindulatú a semmiből. A modern célzott támadások túlnyomórészt korábban létrehozott exploitokra és kártevőkre épülnek, csak kis részük használ teljesen új technikákat, amelyek elsősorban az APT-osztályú fenyegetésekhez kapcsolódnak. Néha teljesen legális, „békés” céllal létrehozott segédprogramokat is használnak a támadás részeként – erre a kérdésre alább még visszatérünk.

A célzott támadás szakaszai

Ebben az anyagban egy célzott támadás főbb állomásait hangoztatjuk, bemutatjuk az általános modell vázát és az alkalmazott behatolási módszerek különbségeit. A szakértői közösségnek az az elképzelése, hogy egy célzott támadás rendszerint 4 fázison megy keresztül a fejlődés során (1. ábra).


ábrán. Az 1. ábra egy célzott támadás 4 fázisát mutatja, bemutatva annak életciklusát. Fogalmazzuk meg röviden mindegyik fő célját:

1. Felkészülés - az első szakasz fő feladata a célpont megtalálása, kellően részletes privát információ gyűjtése róla, amely alapján azonosítani kell az infrastruktúra gyenge pontjait. Építsen fel támadási stratégiát, vegye fel a feketepiacon elérhető, korábban elkészített eszközöket, vagy fejlessze ki a szükségeseket saját maga. Általában a tervezett behatolási lépéseket alaposan tesztelik, beleértve a szabványos információbiztonsági eszközök általi nem észlelést is.

2. Áthatolás – a célzott támadás aktív fázisa, különféle social engineering technikák és nulladik napi sebezhetőségek felhasználásával a célpont kezdeti megfertőzésére és belső felderítés végrehajtására. A felderítés befejezése és a fertőzött gazdagép (szerver/munkaállomás) tulajdonjogának megállapítása után további rosszindulatú kódok tölthetők le a vezérlőközponton keresztül a támadó parancsára.

3. Elosztás - az infrastruktúrán belüli rögzítés fázisa, főleg az áldozat kulcsgépein. Amennyire csak lehetséges, kibővítse az ellenőrzést, szükség esetén javítsa ki a rosszindulatú kódokat a vezérlőközpontokon keresztül.

4. A cél elérése a célzott támadás kulcsfázisa, a választott stratégiától függően használhatja:

  • minősített információ ellopása;
  • minősített információ szándékos megváltoztatása;
  • a vállalat üzleti folyamatainak manipulálása.

Minden szakaszban teljesül egy kötelező feltétel, hogy elrejtse a célzott támadás tevékenységének nyomait. Amikor egy támadás véget ér, gyakran előfordul, hogy a kiberbűnözők létrehoznak maguknak egy „Visszatérési pontot”, amely lehetővé teszi számukra, hogy a jövőben visszatérjenek.

Célzott támadás 1. fázis – Felkészülés

Cél azonosítás

Sikeresek száma, i.e. A céljukat elérő informatikai infrastruktúrák elleni támadások nem csökkennek, de az ezekből származó károk nőnek. Hogyan tudják a támadók legyőzni az összetett biztonsági rendszereket, amelyek általában összetételükben és felépítésükben egyedülállóak?
A válasz meglehetősen rövid: komplex támadások előkészítésével és végrehajtásával, amelyek figyelembe veszik a célrendszer jellemzőit.

Bármely szervezet válhat támadás célpontjává. És minden egy parancsból, vagy általános intelligenciából, pontosabban megfigyelésből indul ki. A globális üzleti környezet folyamatos nyomon követése során a hackercsoportok olyan nyilvánosan elérhető eszközöket használnak, mint az RSS-hírcsatornák, a cégek hivatalos Twitter-fiókjai, speciális fórumok, ahol a különböző alkalmazottak információt cserélnek. Mindez segít meghatározni az áldozatot és a támadás céljait, majd a csoport erőforrásai az aktív felderítés szakaszába kerülnek.

Információgyűjtés

Nyilvánvaló okokból egyetlen cég sem ad tájékoztatást arról, hogy miről technikai eszközökkel használja, beleértve az információk védelmét, a belső szabályzatokat és így tovább. Ezért az áldozattal kapcsolatos információgyűjtés folyamatát felderítésnek nevezik. A titkosszolgálat fő feladata az áldozatról célzott privát információk gyűjtése. Itt minden apró dolog fontos, ami segít azonosítani a lehetséges gyengeségeket. A zárt elsődleges adatok megszerzésére a legnem triviálisabb megközelítések használhatók, például a social engineering. Bemutatunk több, a gyakorlatban használt social engineering technikát és egyéb intelligenciamechanizmust.

Kutatási módszerek:

1. Belül.

A célzott támadás a megtámadott rendszer infrastruktúrájában zajló jogosulatlan tevékenység folyamatos folyamata, amelyet valós időben, manuálisan, távolról irányítanak.

Van egy megközelítés a cég nemrégiben elbocsátott alkalmazottainak felkutatására. A cég egy volt alkalmazottja rendszeres interjúra kap meghívást egy nagyon csábító pozícióra. Tudjuk, hogy egy tapasztalt toborzópszichológus szinte minden olyan munkatárssal képes beszélni, aki egy pozícióért versenyez. Az ilyen emberektől kellően nagy mennyiségű információ nyerhető a támadási vektor előkészítéséhez és kiválasztásához: a hálózati topológiától és az alkalmazott védelmi eszközöktől a többi alkalmazott magánéletére vonatkozó információkig.

Előfordul, hogy a kiberbűnözők megvesztegetik a szükséges embereket olyan társaságában, akik információval rendelkeznek, vagy nyilvános helyeken barátságos kommunikációval belépnek a bizalmi körbe.

2. Nyílt források.

Ebben a példában a hackerek a cégek gátlástalan hozzáállását alkalmazzák a szemétbe dobott papírokkal szemben, megfelelő megsemmisítés nélkül, a szemét között találhatók jelentések, belső információk, vagy például olyan céges weboldalak, amelyeken az alkalmazottak valódi nevei szerepelnek. nyilvános hozzáférés. A kapott adatok más social engineering technikákkal kombinálhatók.

Célzott támadási helyzetben nem számítógépes rendszerek harcolnak egymással, hanem emberek: egyesek támadnak, mások visszaverik a jól előkészített támadást, figyelembe véve az ellenintézkedési rendszerek gyengeségeit, sajátosságait.

E munka eredményeként a támadás szervezői meglehetősen teljes körű információkkal rendelkezhetnek az áldozatról, beleértve:

  • alkalmazottak neve, e-mail cím, telefon;
  • a cég részlegeinek munkarendje;
  • belső információk a vállalat folyamatairól;
  • információ az üzleti partnerekről.

Az állami közbeszerzési portálok is jó információforrást jelentenek a megrendelő által megvalósított megoldásokról, beleértve az információbiztonsági rendszereket is.

Első pillantásra ez a példa jelentéktelennek tűnhet, de valójában nem az. A fenti információkat sikeresen alkalmazzák a social engineering módszerekben, lehetővé téve a hacker számára, hogy könnyen elnyerje a bizalmat a kapott információk felhasználásával.

3. Social engineering.

A social engineering használatával jelentős sikereket érhet el a vállalati információk megszerzésében: például abban az esetben telefon hívás a támadó bemutatkozhat egy információs szolgáltató nevében, felteheti a megfelelő kérdéseket, vagy megkérheti, hogy futtassa le a megfelelő parancsot a számítógépen. A közösségi hálózatok jók abban, hogy meghatározzák a megfelelő személy baráti körét és érdeklődési körét, az ilyen információk segíthetnek a kiberbűnözőknek kidolgozni a megfelelő stratégiát a jövőbeli áldozatokkal való kommunikációhoz.

Stratégia kidolgozása

A stratégia kötelező egy sikeres célzott támadás végrehajtása során, figyelembe veszi a teljes cselekvési tervet a támadás minden szakaszában:

  • a támadás szakaszainak leírása: behatolás, fejlődés, célok elérése;
  • social engineering módszerek, használt sebezhetőségek, a szabványos biztonsági eszközök megkerülése;
  • a támadás kidolgozásának szakaszai, figyelembe véve a lehetséges vészhelyzeteket;
  • belüli konszolidáció, a privilégiumok eszkalációja, a kulcsfontosságú erőforrások feletti ellenőrzés;
  • adatkinyerés, nyomok eltávolítása, romboló akciók.

Állvány készítése

Az összegyűjtött információk alapján a támadók egy csoportja létrehoz egy standot a használt szoftver azonos verzióival. Teszthely, amely lehetővé teszi a behatolási szakaszok tesztelését már működő modellen. Különféle technikák kidolgozása a szabványos információbiztonsági eszközök rejtett megvalósítására és megkerülésére. Lényegében az állvány a fő híd az áldozat infrastruktúrájába való beszivárgás passzív és aktív szakasza között. Fontos megjegyezni, hogy egy ilyen állvány létrehozása nem olcsó a hackerek számára. A sikeres célzott támadás végrehajtásának költsége minden szakaszban növekszik.

Eszközkészlet fejlesztése

A kiberbűnözők nehéz választás előtt állnak: fontos dönteniük a kész eszközök árnyékpiaci vásárlásának pénzügyi költségei és a saját készítésének munkaerő-költsége és ideje között. Az árnyékpiac meglehetősen széles választékot kínál a különböző műszerekből, ami jelentősen csökkenti az időt, kivéve az egyedi eseteket. Ez a második lépés, amely jelentősen kiemeli a célzott támadást, mint az egyik legerőforrás-igényesebb kibertámadást.

Nézzünk meg egy eszközkészletet részletesen: az eszközkészlet általában három fő összetevőből áll:

1. Command center, vagy Command and Irányító központ(C&C).

A támadók infrastruktúrája a C&C irányítási és vezérlőközpontokon alapul, amelyek biztosítják a parancsok továbbítását az ellenőrzött rosszindulatú modulokhoz, ahonnan begyűjtik a munka eredményét. A támadás középpontjában a támadást végrehajtó emberek állnak. Leggyakrabban a központok az interneten találhatók olyan szolgáltatókkal, amelyek hosting, helymegosztás és bérleti szolgáltatásokat nyújtanak. virtuális gépek. A frissítési algoritmus, mint minden „gazdagépekkel” való interakciós algoritmus, dinamikusan változhat a rosszindulatú modulokkal együtt.

2. Áthatoló eszközök, problémamegoldás a megtámadott távoli gazdagép "ajtójának kinyitása":

  • exploit (Exploit) – rosszindulatú kód, amely biztonsági réseket használ fel szoftver;
  • validátor - egy rosszindulatú kód, amelyet elsődleges fertőzés esetén használnak, és képes információkat gyűjteni a gazdagépről, átadni a C&C-nek, hogy további döntéseket hozhasson a támadás kifejlesztéséről vagy annak teljes megszüntetéséről egy adott gépen;
  • Letöltő - Cseppentős szállítási modul; a betöltőt rendkívül gyakran használják social engineering támadásoknál, mellékletként elküldve mail üzenetek;
  • A Dropper kézbesítő modul egy rosszindulatú program (általában trójai), amelynek feladata a fő Payload vírus eljuttatása az áldozat fertőzött gépére. Úgy tervezték, hogy:
    • javítás a fertőzött gépen belül, rejtett automatikus betöltés, folyamatok injektálása a gép újraindítása után;
    • Injektáljon be egy legitim folyamatba a Payload vírus letöltéséhez és aktiválásához egy titkosított csatornán, vagy bontsa ki és futtassa a Payload vírus titkosított másolatát a lemezről.

A kódvégrehajtás rendszerjogosultságokkal rendelkező, beinjektált legitim folyamatban történik, az ilyen tevékenységet a szokásos biztonsági eszközökkel rendkívül nehéz észlelni.

3. Payload vírus test. A célzott támadások fő rosszindulatú modulja, amelyet a Dropper tölt be a fertőzött gazdagépre, több funkcionális bővítményből állhat. modulok, amelyek mindegyike ellátja funkcióját:

Az APT (Advanced Persistent Threat) segédprogramok, rosszindulatú programok, nulladik napi exploitok és egyéb összetevők kombinációja, amelyeket kifejezetten a támadás végrehajtására terveztek.

  • billentyűzet kém;
  • képernyőrögzítés;
  • távoli hozzáférés;
  • elosztó modul az infrastruktúrán belül;
  • interakció a C&C-vel és frissítés;
  • Titkosítás;
  • tevékenység nyomainak tisztítása, önpusztítás;
  • olvasás helyi posta;
  • információk keresése a lemezen.

Amint látjuk, a vizsgált eszközkészletben rejlő lehetőségek lenyűgözőek, az alkalmazott modulok és technikák funkcionalitása pedig a célzott támadás tervétől függően igen eltérő lehet. Ez a tény hangsúlyozza az ilyen támadások egyediségét.

Összegzés

Fontos megemlíteni a különböző piaci szektorokban működő vállalatok elleni célzott támadások növekedését (a 2. ábrán az egyéb kockázatokat mutatjuk be), felderítésük bonyolultságát és az intézkedéseikből eredő hatalmas károkat, amelyek észlelése nem garantálható, ha a 2. ábrán. hosszú idő. A célzott támadást átlagosan 200 nappal az aktiválása után fedezik fel 1 , ami azt jelenti, hogy a támadók nem csak elérték a céljukat, de több mint fél évig irányították is. Ezenkívül azok a szervezetek, amelyek az APT jelenlétét azonosították az infrastruktúrájukban, nem képesek megfelelően reagálni és minimalizálni a kockázatokat, és semlegesíteni a tevékenységet: az információbiztonságért felelős személyzet egyszerűen nem képezi ezt ki. Ennek eredményeként minden harmadik vállalat egy hétnél hosszabb időre felfüggeszti működését, hogy visszaszerezze az irányítást saját infrastruktúrája felett, majd az incidensek bonyolult kivizsgálási folyamatával kell szembenéznie.


Egy nagy incidensből eredő veszteség világszerte átlagosan 551 000 dollárt tesz ki egy vállalat számára, beleértve az elveszett üzleti lehetőségeket és a rendszerleállást, valamint a professzionális kárelhárítási szolgáltatások költségeit 2 .

A támadás fejlődéséről, a szabványos védelmi eszközök megkerülésének módszereiről és a nulladik napi fenyegetések kihasználásáról, a social engineeringről, a nyomok terjesztéséről és elrejtéséről a kulcsfontosságú információk ellopása esetén, és még sok minden másról – az Anatomy of a Targeted Attack sorozat következő cikkeiben.

___________________________________________
1 A Kaspersky Lab statisztikái alapján.
2 Vizsgálati adatok " Információ biztonság a Kaspersky Lab és a B2B International által 2015-ben végzett kutatás. A tanulmányban több mint 5500 informatikai szakember vett részt 26 országból, köztük Oroszországból.

A rosszindulatú programok már régóta nem olyan apró huncutságok elkövetésének eszközei, amelyek célja egy botnet megszervezése kéretlen levelek küldésére, vagy szélsőséges esetekben a felhasználó internetes banki jelszavának ellopása jogosulatlan művelet végrehajtása érdekében. A vállalatok számára a gyakori vírusok „kisebb szabotázsnak” tekinthetők, komolyabb kockázatok nélkül. Viszont a támadóknak ez a módszer a profit nem különösebben érdekelt, tk. Számos védelem áll rendelkezésre (vírusirtó eszközök, fokozott pénzügyi ellenőrzési intézkedésekkel rendelkező alkalmazások stb.), amelyek nem teszik lehetővé a bűnözők számára, hogy kihasználják a támadást.

A cél szentesíti az eszközt
Niccolo Machiavelli

A teljes informatizálás és a technológiai fejlődés korszakában, amikor dollármilliárdokat tárolnak az e-kereskedelmi rendszerekben, naivitás lenne azt feltételezni, hogy nincs olyan magasan képzett bűnöző, aki ne akarná ellopni ezeket az alapokat. Napjainkban világosan körülhatárolható és növekvő tendencia figyelhető meg a közép- és nagyvállalatok infrastruktúrái elleni célzott támadások alkalmazásában.

Célzott (célzott) támadások (APT, Advanced Persistent Threats) támadások (rosszindulatú szoftverek), amelyek meghatározott objektumok vagy iparágak ellen irányulnak. Figyelembe veszik annak a cégnek a sajátosságait, amelyre jelentkeznek, vagy a vállalat egészének tevékenységi körét.

Minden ilyen típusú támadás számos funkciót tartalmaz:

    Iparági fókusz (a vírust/támadást egy bizonyos iparágban használják, egy másik iparágban irreleváns lesz);

    "Nem triviális" programozási kód. Mint korábban említettük, magasan képzett szakemberek foglalkoznak egyedi vírusok írásával. Íráskor figyelembe veszik a legtöbb árnyalatot, amely működhet szabvány azt jelenti védelem. Emiatt például az aláírás-alapú víruskereső eszközök nagy valószínűséggel nem fogják tudni rosszindulatúként észlelni az ilyen programkódokat. Emiatt a támadó hosszú ideig észrevétlen maradhat a rendszerekben, és összegyűjtheti a szükséges statisztikákat a támadás sikeres befejezéséhez.

A támadók általában nulladik napi exploitokat használnak a célzott fenyegetések megvalósítására.

0 nap- a kijavítatlan sebezhetőségeket, valamint az olyan rosszindulatú programokat jelölő kifejezés, amelyek ellen még nem fejlesztettek ki védelmi mechanizmusokat.

Az exploit legfontosabb feladata, hogy észrevétlenül bejusson a vállalati körzetbe, megvesse a lábát, lehetőség szerint kiküszöbölve vírusellenes szer, és húzza fel a támadó összes felszerelését a kényelmes és "produktív" munkához.

Amint azt a 2013-2014-es statisztikák mutatják, az ebben az irányban támadók hatalmas győzelmeket arattak. Először Zeusz, majd Carberp Oroszországban és szerte a világon igazi csapássá vált. A csak e két víruscsalád felhasználásával elkövetett lopások összege az évben több milliárd dollárt tett ki. Az oroszországi pénzügyi szektorban egy vállalat ellen sikeresen végrehajtott támadás átlagosan az volt 30 millió rubel.

Ilyen gyanús tevékenység utóbbi években egy olyan történethez kapcsolódik, amely egy nagyon „jó minőségű” rosszindulatú szoftver forrásának a hálózatba való kiszivárgásáról szól.

„A híres banki trójai, a Carberp forrásai kiszivárogtak nyílt hozzáférésű. Az 1,88 GB-os RAR archívumban található Carberp forráskódokat a Google most könnyen megtalálja. Kicsomagolt állapotban a projekt körülbelül 5 GB fájlt tartalmaz részletes listával. Nyilvánvaló, hogy most a kreativitás új hullámára számíthatunk a kezdőktől és a folytatólagos vírusíróktól. Valaki még viccelődött is: „A Zeus-szivárgás olyan volt, mint egy ingyenes gép. A Carberp-szivárgás már egy ingyenes rakétavető”…”, IS-szakértő, a Hacker magazin szerzője, Denis Mirkov

– Akkor most mit csináljak? - Egy kérdés, ami akaratlanul is minden biztonsági őr torkára gurul. Ez Emanuel Lasker 1899-ben mondott idézetére emlékeztet: "Az egyetlen módja annak, hogy okosabbá váljunk, ha erősebb ellenféllel játszunk." A technológiák és a fejlesztők nem állnak meg, ha van kereslet, lesz méltó ajánlat. A nulladik napi fenyegetések észlelésének fő problémája az, hogy a kód elemzése során nem lehet ismerős aláírásokat találni. De ez nem jelenti azt, hogy egy fájl viselkedését ne lehetne nyomon követni, "fekete doboz" módszerrel tesztelni és levonni a megfelelő következtetéseket!

A homokozóban végzett viselkedéselemzés messze a legtöbb hatékony mód nulladik napi fenyegetések és célzott támadások elemzése és észlelése. Különféle gyártók kínálják megoldásaikat, azt állítva, hogy termékük a legproduktívabb és legpontosabb. Ez azonban nem így van, az ilyen megoldások fő problémája a téves riasztások (false pozitív), amelyek a biztonsági szolgálat teljes munkáját érvényteleníthetik. A választott megoldásnak csak a súlyos fenyegetésekre kell érzékenynek lennie. Egy ilyen koncepció megvalósítása már professzionalizmus és tapasztalat, amelyet összetett algoritmusokba kellett átültetni és a végtermékben megvalósítani.

2013.03.29., péntek, 13:03, moszkvai idő szerint

A fejlett, állandó fenyegetésekben (röv. APT) használt rosszindulatú programokat folyamatosan fejlesztik. Most már titokban beszivároghatnak a hálózatokba, gyakran lemaradva a munkákról és a cserélhető adathordozókról. Manapság, amikor a munkahelyek egyre mobilabbakká válnak, és kikerülnek a vállalati IT biztonsági infrastruktúra ellenőrzése alól, a probléma csak súlyosbodik.

Ilyen fenyegetés például a Flame féreg, egy új kiberhadviselési fegyver, amely megtámadta az iráni energiaszektort, és mostanra a Közel-Keleten terjed. A Kaspersky Lab szakértői által felfedezett Flame1 rosszindulatú program „minden idők egyik legösszetettebb fenyegetéseként” ismert. És bár a Flame vírusnak eredetileg Irán nukleáris programját kellett volna szabotálnia, a biztonsági szakértőket még mindig kísérti. Az tény, hogy mára a cél infrastruktúrán túlra terjedt, megfertőzve vállalati rendszerek világszerte.

Elődje a Stuxnet vírus volt, amelyet kifejezetten az iráni urándúsító centrifugákat irányító SCADA (Supervisory Control and Data Acquisition, SCADA) rendszer megfertőzésére és megzavarására terveztek. Ennek a rosszindulatú programnak a sikere felülmúlta az alkotók várakozásait: a berendezés ellenőrizetlen üzemmódba került, önpusztítással. Sajnos a Stuxnet is túllépett az iráni célokon, és elkezdte megfertőzni a SCADA rendszereket Németországban, majd a világ más országaiban is.

Mind a Flame, mind a Stuxnet összetett célzott fenyegetés. Ez egy következő generációs fegyver a kormány, a terroristák és a jól finanszírozott kiberbűnözők által irányított katonai műveletekhez. A tevékenységük elrejtésére szolgáló számos funkcióval felszerelve ezek a rosszindulatú programok elsősorban szellemi tulajdon, katonai szervezetek terveinek és egyéb értékes vállalati vagyon eltulajdonítására irányulnak.

A háború áldozatai azonban nagy valószínűséggel közép- és kisvállalkozások lesznek, amelyek kereszttűzbe kerülnek, ha nem vetik be őket. komplex infrastruktúra biztonság a végpontok védelme érdekében. Elmúltak azok az idők, amikor a közép- és nagyvállalatok viszonylagos névtelenséget élvezhettek, vagy spórolhattak a biztonsággal. Az összetett célzott fenyegetések és a nulladik napi támadások mindenütt jelen vannak és irgalmatlanok.

A fenyegetések evolúciója

Valamikor a fenyegetéseket tömegesen küldték, általában email. Az áldozatot adathalász üzenettel csalták csapdába, amelyet állítólag egy tengerentúli pénzember vagy egy rég nem látott rokon küldte. És bár ezek a fenyegetések potenciálisan veszélyesek voltak, válogatás nélkül küldték őket. Ezenkívül alapvető biztonsági eszközökkel észlelhetők és megelőzhetők. Az ilyen típusú támadások még mindig uralják az internetet. Az elmúlt években azonban a fenyegetések összetettsége jelentősen megnőtt: ma már egyre gyakoribbak az összetett célzott fenyegetések és a nulladik napi támadások, amelyek félelmet és szorongást keltenek a felhasználókban.

Az elmúlt néhány évben a kifinomult célzott fenyegetéseket alkalmazó legjelentősebb támadások a legvalószínűtlenebb forgatókönyveket is beárnyékolták. Aurora hadművelet: támadás a Google ellen. 2009-ben, a kínai eredetű támadás során a sebezhetőségeken keresztül Windows Internet Explorer érkezett forrás valamint a Google és mintegy 30 másik globális vállalat egyéb szellemi tulajdona.

Támadás az RSA ellen. 2011-ben a kiberbűnözők behatolhattak az amerikai katonai vállalkozók, a Lockheed Martin, a Northrop Grumman és az L3 Communications rendszereibe, köszönhetően a cég zászlóshajója SecurID kulcsai elleni hackertámadásnak, amelynek megbízhatóságára a biztonsági megoldások szolgáltatója oly büszke volt.

Oak Ridge Nemzeti Laboratórium. A DOE labort offline állapotba kellett kapcsolni, amikor a rendszergazdák felfedezték, hogy adathalász támadás érzékeny adatokat tölt fel a szerverről.

szellemháló. Ez a 103 országban 1295 fertőzött számítógépből álló kiberkémhálózat a tibeti függetlenségi mozgalom számos támogatóját, valamint más nagy szervezeteket, köztük helyi minisztériumokat, külügyi bizottságokat, nagykövetségeket, nemzetközi és nem kormányzati szervezeteket célozta meg.

ShadyRat. A visszhangos kampány részeként a világ 14 országában törték fel a kormányzati szervek, non-profit szervezetek és nagyvállalatok hálózatait, összesen 70 érintett szervezetről van szó.

Főbb jellemzői

Napjainkban az összetett célzott fenyegetések és a nulladik napi támadások kéz a kézben járnak, és széles körben foglalkoznak velük a médiában. És mégis, mik ezek, és miben különböznek az olyan fenyegetésektől, mint a trójaiak vagy a férgek?

Nyugodtan kijelenthetjük, hogy ezek nem közönséges amatőr támadások. A névből egyértelműen kitűnik, hogy az ilyen fenyegetések fejlett technológiákon, valamint bizonyos szervezetek elleni célzott támadások számos módszerén és vektorán alapulnak, bizalmas vagy titkos információk megszerzése érdekében.

Az összetett célzott fenyegetések alkotói nagyon különböznek az SQL-támadásokat indító script gyerekektől, vagy az átlagos rosszindulatú programok íróitól, akik botneteket adnak el valakinek, aki a legtöbbet kínálja. magas ár. Ezeket a fejlett fenyegetéseket jellemzően nagy, szervezett szindikátusok tervezik, amelyek egész szakértői csapatokkal rendelkeznek, és többféle információgyűjtési technológiával rendelkeznek. Mivel ezek a fenyegetések lassúak, lopakodók és elfedik a nyomaikat, a kiberbűnözők, az ellenséges kormányok, a terroristák és a bűnszövetkezetek egyre inkább előnyben részesítik őket.

Munka séma

Az összetett célzott fenyegetések megvalósítása során a kiberbűnözők rosszindulatú programokat használnak, hogy személyre szabott információkat szerezzenek, amelyek elősegítik a támadás második szakaszának végrehajtását. Ezt követően egyéni social engineering technológiákat alkalmaznak, amelyek célja, hogy a szervezet leggyengébb pontján, a végfelhasználón keresztül beszivárogjanak a szervezetbe.

A támadás ezen szakaszában a célpontok olyan személyek, akik hozzáférnek a szükséges fiókokhoz. Ez olyan meggyőző leveleket használ, amelyek állítólag az Emberi Erőforrásoktól vagy más megbízható forrásból származnak. Egyetlen óvatlan kattintás egy ilyen e-mailre, és a kiberbűnözők ingyenesen hozzáférnek a szervezet legértékesebb információihoz, anélkül, hogy bárki is sejtené. A rendszerhez való hozzáférést követően egy összetett célzott fenyegetés különféle trójaiakat, vírusokat és egyéb rosszindulatú programokat használ. Megfertőzik a hálózatot, és számos kiskaput hoznak létre, amelyek a munkaállomásokon és a szervereken korlátlan ideig maradhatnak. Ez idő alatt a fenyegetés észrevétlenül mozog egyik számítógépről a másikra, egy adott célpontot keresve.

Zero day exploit

Az összetett célzott fenyegetések kedvenc eszköze mindig a nulladik napi exploit. Ez a tágas név jól megragadja azoknak a fenyegetéseknek a lényegét, amelyek kihasználják a programok biztonsági réseit, még mielőtt a gyártó kijavítaná azokat, vagy akár tudomást szerezne a létezésükről. Így az első támadás és a korrekció között kevesebb mint egy nap telik el - "nulla nap". Ennek eredményeként a kiberbűnözők teljes cselekvési szabadsággal rendelkeznek. Nem félnek a megtorlástól, kihasználnak egy olyan támadást, amely ellen nincs ismert védekezés.

A nulladik napi sebezhetőségeket kihasználó rosszindulatú programok észrevétlenül súlyos károkat okozhatnak a szervezetben. Céljuk az olyan érzékeny információk ellopása, mint a forráskód, a szellemi tulajdon, a katonai szervezetek tervei, a védelmi ipari adatok és a kémkedésben használt egyéb kormányzati titkok. Amikor a szervezet tudomást szerez a támadásról, az igazi rémálommá válik a PR-osztály számára. A kár milliós nagyságrendű, nemcsak a biztonsági infrastruktúra felújítása miatt, hanem az ügyvédi költségek kifizetése és az ügyfelek lemorzsolódásának következményei miatt is. Arról nem is beszélve, hogy mennyi erőfeszítést, időt és pénzt fordítanak az ügyfelek hírnevének és bizalmának helyreállítására.

Az összetett célzott fenyegetések és a nulladik napi kihasználások nem új jelenségek. Néhány évvel ezelőtt használták először, jóval azelőtt, hogy ezek a kifejezések bekerültek volna a biztonsági szakemberek szakzsargonjába. Mostanáig sok szervezet észre sem veszi, hogy hónapokkal (sőt néha évekkel) ezelőtt egy rejtett nulladik napi támadás áldozata lett. A Verizon Data Breach Report szerint a szellemi tulajdonjogok megsértésének 2,44%-át több év elteltével fedezik fel.

Példa: a Christian Science Monitor3 által közzétett jelentés szerint 2008-ban három olajtársaság – az ExxonMobil, a Marathon Oil és a ConocoPhilips – összetett, célzott fenyegetésekkel végrehajtott célzott kibertámadások áldozata lett. A támadások során (feltehetően kínai eredetűek) kiberbűnözők töltötték fel távoli szerver kritikusan fontos információ a világ felfedezett olajmezőinek számáról, értékéről és elhelyezkedéséről. A cég támadásának tényére azonban csak azután derült fény, hogy az FBI bejelentette, hogy bizalmas információkat loptak el tőlük.

2011-re a komplex célzott fenyegetések joggal foglalták el az első helyet a biztonsági fenyegetések között. Hiszen miattuk szenvedtek óriási veszteségeket idén olyan cégek, mint a Sony, az Epsilon, a HBGary és a DigiNotar. Nem is beszélve az RSA-ról, amely csaknem 40 millió fájlt veszített el egyszeri jelszavak számára elektronikus kulcsok. Az RSA4 biztonsági meghibásodása összesen mintegy 66 millió dollárjába került a cégnek, míg a Sony5 170 millió dollárt veszített a 100 milliós rekord elvesztése miatt.

2011 végén legalább 535 adatszivárgás történt, ami 30,4 millió rekord elvesztésével járt. A Privacy Rights Clearinghouse szerint sok cég esett áldozatul idén szenzációs támadások sorozatának. És ez csak egy kis része az ismert jogsértéseknek, mert minden évben több ezer olyan biztonsági megsértés történik, amelyet nem észlelnek vagy nyilvánosságra nem hoznak.

Lehetséges és szükséges a komplex célzott fenyegetések elleni védekezés. A védelmi módszerekről a „Komplex célzott fenyegetések: A védelem biztosítása” című cikkben lesz szó.