Cielené útoky sa prvýkrát stali predmetom aktívnych diskusií vo svetovej komunite už v roku 2009. Potom sa dozvedeli o útoku Stuxnet. Možno by sme mohli povedať, že to začalo ňou nedávna história cielené kybernetické útoky. Čo je to za typ počítačovej kriminality a ako môžu takéto útoky dopadnúť, podrobnejšie v našom materiáli.

Čo sú to cielené útoky?

Cielené (alebo účelové) útoky sú vopred naplánované akcie proti konkrétnej štátnej alebo neštátnej štruktúre alebo organizácii. Kyberzločinci zapojení do cielených útokov sú spravidla profesionáli, možno ich prirovnať k tradičným útočníkom, ktorí kradnú autá na objednávku: majú konkrétny cieľ, študujú prostriedky ochrany áut, aby ich neskôr úspešne obišli.

Činnosť hackerov dnes nadobúda čoraz viac čŕt tradičného podnikania. Na trhu existuje akýsi „čierny trh“ – tieňové schémy a miesta na implementáciu softvérových nástrojov potrebných na útok na IT infraštruktúru firmy. Existujú pevné sadzby, ktoré sa dajú ľahko nájsť na internete.

Dokonca môžete nájsť už vytvorené produktové rady: kyberzločinecké „firmy“ rozširujú predajný lievik, pripravujú individuálne modifikácie riešení s prihliadnutím na rôzne cieľové segmenty. Existujú ceny za botnety, aktívne sa oznamujú nové verzie trójskych koní. Môžete si dokonca zakúpiť cielený útok ako službu. Kybernetickí útočníci si vytvárajú vlastné plány rozvoja, ktoré sú tiež aktívne oznamované.

Oznámenia sa spravidla poskytujú v uzavretých zdrojoch, - hovorí Andrey Arefiev, manažér vývoja produktov v InfoWatch. – Napriek tomu však môžeme povedať, že moderný botnetový priemysel má všetky vlastnosti plnohodnotných komerčných produktov. Podľa nezávislého výskumu sa počet utilít používaných na budovanie botnetov za posledné roky desaťnásobne zvýšil.

Povaha útokov sa navyše v posledných rokoch výrazne zmenila: stali sa veľmi sofistikovanými. Dnešné útoky sú rozvetvenejšie: útočiaca strana sa snaží prispôsobiť vlastnej infraštruktúre spoločnosti a urobiť útok čo najviac neviditeľným. Útok by sa mal buď odhaliť čo najneskôr, alebo by sa nemal odhaliť vôbec. Preto sa takéto útoky spravidla predlžujú v čase a prejavia sa až vtedy, keď príde čas, aby sa aktívne prejavili.

Cielené útoky na IT infraštruktúru majú tieto vlastnosti:

  • Naštudujú si systém ochrany, ktorý firma má a obchádzajú ho.
  • Charakter útokov sa stal viacstupňovým: môžu začať na počítači sekretárky a konečným cieľom bude počítač účtovníka – úlohou útočníkov môže byť napríklad nainštalovať tam malvér.

Ako medzivýsledok možno poznamenať, že ak nespozorujete viditeľné známky útoku na IT infraštruktúru spoločnosti, neznamená to, že nie je napadnutá, zhŕňa Andrey Arefiev.

Príklady cielených útokov

Podľa mnohých otvorených zdrojov je pre zavedenie vírusového programu trójskych koní „vstupným bodom“ často vnútorná aktivita nelojálnych zamestnancov spoločnosti. Podobný príklad bolo možné pozorovať nie tak dávno v Iráne.

Hlavným účelom tohto útoku bolo obmedziť iránsky jadrový program. Pokiaľ je známe, suverénny štát kontroloval jadrové obohacovacie centrifúgy a množstvo zariadení bolo umiestnených na voľnej nohe. Centrifúgy sa rýchlo pokazili, ich oprava si vyžiadala čas a peniaze, preto sa obohacovanie uránu odkladalo. Ako sa ukázalo, tento útok bol vopred naplánovaný, vykonaný a realizovaný dlho.

Účelom útoku nebolo ukradnúť vybavenie, ale ovládnuť priemyselné objekty. Je strašné predstaviť si, čo by sa mohlo stať, keby niekto začal ovládať jadrovú elektráreň: jej prechod do režimu na voľnej nohe ohrozuje minimálne druhý Černobyľ...

Cieľ útočníkov však nie je len strategický dôležité predmety a veľké vládne organizácie. Nedávno sa o tom mal možnosť presvedčiť jeden majiteľ obchodnej organizácie. Pokúsili sa infikovať server spoločnosti pomocou kontaktných zraniteľností - majiteľ spoločnosti mal len šťastie, že bol napadnutý iba počítač účtovníka.

Škodlivý softvér je program, ktorý vám umožňuje získať nepovolený prístup do dôverné informácie cez zraniteľnosti. Takéto programy sa zvyčajne používajú na získanie primárneho prístupu do podnikovej siete. Vloženie systému sa zvyčajne týka prístupu k údajom pri reštarte systému. "Registráciou" spustiteľného modulu je v tomto prípade jeho reštart zakaždým.

Škodlivý softvér sa môže dostať do počítača zamestnanca spoločnosti nielen kvôli jeho nekalým úmyslom, ale aj kvôli metódam, ktoré používajú hackeri. sociálne inžinierstvo(napríklad kyberzločinec môže požiadať obeť, aby nasledovala konkrétny odkaz alebo navštívila zdroj tretej strany).

V dôsledku toho sa obeť stane dostupnou pre útok a útočníci získajú prístup k operačnému systému pracovného počítača zamestnanca. Teraz môžete spustiť škodlivé súbory, aby ste následne prevzali kontrolu nad počítačmi organizácie. Vyššie uvedené akcie sa nazývajú „útoky nultého dňa“.

Aké údaje sa najčastejšie kradnú?

Do veľkej miery to závisí od profilu spoločnosti. Účelom hackerov môžu byť priemyselné tajomstvá a strategický vývoj uzavretého plánu, platieb a osobných údajov. Je zvláštne, že podľa výskumu 63 % opýtaných chápe, že cielený útok na ich firmu je len otázkou času.

Metódy detekcie cielených útokov:

analýza podpisov.

Analýza podpisu znamená, že analytici majú súbor napadnutý vírusom. Štúdium takéhoto škodlivého programu vám umožňuje odstrániť jeho podpis (digitálny odtlačok prsta). Po zadaní podpisu do databázy môžete skontrolovať súbor na infekciu týmto vírusom jednoduchým porovnaním podpisov. Výhodou analýzy podpisov je, že vám umožňuje presne diagnostikovať útok. Ak existuje súbor so zodpovedajúcim podpisom, potom môžeme s istotou povedať, že počítač je ovplyvnený.

Analýza podpisov má niekoľko výhod:

  • Dá sa použiť nielen na kontrolu vírusov, ale aj na filtrovanie systémovej prevádzky.
  • Môžete si „sadnúť“ na bránu a kontrolovať prítomnosť určitých neoverených podpisov.
  • Umožňuje vám vykonávať diagnostické komplexy na boj proti útokom s veľkou presnosťou.

Významnou nevýhodou analýzy podpisov je potreba aktualizovať databázu podpisov. Väčšina spoločností je nútená aktualizovať databázu podpisov každých 15 minút. Zároveň sa na svete objaví každá polhodina nový vírus. Potom nasleduje dlhý proces jeho registrácie a štúdia a až potom sa podpis vloží do databázy. Po celú dobu až do tohto bodu je spoločnosť bezbranná voči novému vírusu.

Ďalšou metódou štúdia predtým identifikovaného škodlivého softvéru je heuristická analýza.

Funkciou heuristickej analýzy je skontrolovať spustiteľný kód na prítomnosť podozrivej aktivity, ktorá je typická pre aktivitu vírusov. Táto technika je dobrá, pretože nezávisí od relevantnosti žiadnej databázy. Heuristická analýza má však aj svoje nevýhody.

Vzhľadom na to, že všetky hlavné antivírusy sú známe a dostupné pre každého, hackeri môžu testovať napísaný softvér a upravovať ho, kým neobíde všetky známe nástroje. antivírusová ochrana. Efektívnosť hlavných heuristických algoritmov je teda znížená na nulu.

Ďalší spôsob odhaľovania cielených útokov zahŕňa použitie takzvaných firewallov novej generácie, ktoré okrem tradičných možností umožňujú aj filtrovanie prevádzky. Hlavnou nevýhodou firewallov je ich prílišná „podozrievavosť“, generujú veľké množstvo falošných poplachov. Firewally navyše používajú technológie, ktoré sa dajú oklamať (sandboxing, heuristická analýza a analýza podpisov).

Na spustenie aplikácií sa používa aj iná metóda zabezpečenia. Jeho myšlienka je veľmi jednoduchá: stanica môže spúšťať iba jednotlivé aplikácie (toto sa nazýva WhiteListening). Nevýhodou je, že takýto „biely zoznam“ by mal obsahovať všetky aplikácie bez výnimky, ktoré používateľ môže potrebovať. V praxi je táto metóda samozrejme celkom spoľahlivá, no veľmi nepohodlná, keďže spomaľuje pracovné postupy.

Nakoniec je tu novo vyvinutá technológia na dynamickú detekciu útokov, ktorá sa používa v produkte InfoWatch Targeted Attack Detector, hovorí Andrey Arefiev. - Táto technológia vychádza zo skutočnosti, že akcie narušiteľov nevyhnutne vedú k úprave podnikových IT systémov. Preto riešenie InfoWatch pravidelne kontroluje IT systém organizácie a zhromažďuje informácie o stave kritických objektov. Získané údaje sa porovnajú s výsledkami predchádzajúcich skenov, potom sa vykoná intelektuálna analýza zmien, ktoré sa vyskytli, na prítomnosť anomálií. Keď sa zistí neznámy malvér, analytik spoločnosti je zapojený do analýzy jeho akcií a možného poškodenia podnikovej infraštruktúry.

- V akom štádiu je možné klasifikovať útok ako cielený?

V skutočnosti je detekcia anomálií primárnym znakom toho, že váš systém má problémy, je to nepriamy znak, že spoločnosť je pod útokom. Útok zároveň nemusí zahŕňať vírus na úrovni Červeného októbra. Dosť, ako ukazuje prax, malý trójsky kôň, pravidelne posielaný ďalej. V zásade to stačí na prinesenie peňazí konkrétnym kybernetickým útočníkom.

Vo všeobecnosti by som rád poznamenal, že cielené útoky sú silným nástrojom na ovplyvňovanie firemná politika veľké vládne a komerčné organizácie. Preto je potrebné proti týmto typom počítačovej kriminality bojovať systematicky a opatrne.

Elena Kharlamová

Pre tých, ktorí nevedia, čo je to "cielený" útok, poprosím o podcast :)

Cielený útok - ide o nepretržitý proces neoprávnenej činnosti v infraštruktúre napadnutého systému, ručne ovládaný na diaľku v reálnom čase.

Na základe tejto definície dávam do pozornosti nasledujúce body:
1) Po prvé, toto je presne ten proces - činnosťčasom, niektorí operácia, a nie len jednorazovú technickú akciu.
2) Po druhé, proces je navrhnutý tak, aby fungoval v špecifickej infraštruktúre, je navrhnutý tak, aby prekonal špecifické bezpečnostné mechanizmy, určité produkty a zapojil konkrétnych zamestnancov do interakcie.

Podstatný rozdiel je v prístupe hromadné zásielkyštandardný malvér, kedy útočníci sledujú úplne iné ciele, v skutočnosti získavajú kontrolu nad samostatným koncovým bodom. V prípade cieleného útoku sa stavia pod obeť.

Na obrázku nižšie sú znázornené štyri fázy cieleného útoku životný cyklus. Stručne sformulujme hlavný účel každého z nich:

  1. Školenie. Hlavnou úlohou prvej fázy je nájsť cieľ, zozbierať o ňom dostatok podrobných súkromných informácií, na základe ktorých sa dajú identifikovať slabé miesta v infraštruktúre. Zostavte si stratégiu útoku, zoberte si predtým vytvorené nástroje dostupné na čiernom trhu alebo si potrebné vyviňte sami. Plánované penetračné kroky sa zvyčajne dôkladne otestujú, vrátane neodhalenia pomocou štandardných nástrojov informačnej bezpečnosti.
  2. penetrácia - aktívna fáza cieleného útoku s použitím rôznych techník sociálneho inžinierstva a zero-day zraniteľností na prvotnú infikovanie cieľa a vykonanie interného prieskumu. Na konci prieskumu a po určení vlastníctva infikovaného hostiteľa (server/pracovná stanica), na príkaz útočníka, ďalší škodlivý kód.
  3. Rozširovanie, šírenie- fáza fixácie v rámci infraštruktúry, hlavne na kľúčových strojoch obete. Rozšírte svoju kontrolu čo najviac, v prípade potreby opravte verzie škodlivého kódu prostredníctvom riadiacich centier.
  4. Dosiahnutie cieľa- kľúčová fáza cieleného útoku.
S cieľom preskúmať niektoré počítačové útoky bol vyvinutý virtuálny stojan na štúdium vplyvu počítačových útokov na prvky informačnej a telekomunikačnej siete.

Tento stojan (polygón) pozostáva z:

1. modely otvoreného segmentu informačnej a telekomunikačnej siete;

2. modely uzavretého segmentu informačnej a telekomunikačnej siete.

Simulovaná sieť pozostáva z mnohých komponentov.

V otvorenom segmente sú hostitelia (PC1–PC7) prepojení do jednej siete pomocou smerovačov Cisco 3745 (c3745). V jednotlivých divíziách sú hostitelia zosieťovaní na prenos dát pomocou prepínača (SW1). V tejto schéme prepínač (prepínač) iba prenáša údaje z jedného portu do druhého na základe informácií obsiahnutých v pakete, ktorý prišiel cez smerovač.

V uzavretom segmente siete sa kryptoroutery používajú na šifrovanie dátových paketov, ktoré prechádzajú z uzavretého segmentu siete do otvoreného. Ak sa útočníkovi podarí zachytiť pakety prenášaných dát tejto siete, nebude môcť z týchto dát vytiahnuť užitočné informácie.

Ako napadnutý objekt bol zvolený Windows XP, ktorý je súčasťou segmentu informačnej a telekomunikačnej siete. Tento systém je pripojený ku cloudu „Real network Exit“ s IP adresou: 192.168.8.101

Dobre, začnime skúmať. lokálna sieť s cieľom určiť prvky počítačovej siete pre následné využitie. Využime Netdiscovery.

Ak chcete zistiť možné zraniteľnosti napadnutej siete, skenujme túto sieť pomocou nástroja Nmap ("NetworkMapper") na prieskum a bezpečnosť siete.

Počas skenovania sme zistili, že systém má otvorené porty, ktoré predstavujú potenciálne zraniteľné miesta.
Napríklad 445/TCPMICROSOFT-DS – používa sa v Microsoft Windows 2000 a neskoršie verzie pre priamy TCP/IP prístup bez použitia NetBIOS (napríklad v Aktívny adresár). Tento port použijeme na získanie prístupu do systému.

Teraz vykonáme sieťový útok pomocou Metasploit. Tento nástroj vám umožňuje simulovať sieťový útok a identifikovať slabiny systému, kontrolovať efektivitu IDS / IPS alebo vyvíjať nové exploity s podrobnou správou.


Exploit bude fungovať, ale musíte špecifikovať, čo sa stane, keď bude exploit fungovať. Aby sme to urobili, otvoríme shell kód, použijeme ho ako exploit, ktorý nám poskytuje prístup k príkazovému shellu v počítačovom systéme.

V LHOST zadávame IP adresu systému, z ktorého bude útok vykonaný.

Organizácie každoročne zlepšujú svoje obchodné nástroje, zavádzajú nové riešenia a zároveň komplikujú IT infraštruktúru. Teraz, v situácii, keď poštový server vo firme visí, z koncových pracovných staníc sú vymazané dôležité informácie alebo je narušená prevádzka automatizovaného fakturačného systému, sa obchodné procesy jednoducho zastavia.

Benjamin
Levtsov

Viceprezident, vedúci podnikovej divízie, Kaspersky Lab

Mikuláša
Demidov

Technický konzultant pre bezpečnosť informácií v spoločnosti Kaspersky Lab

Podniky, ktoré si uvedomujú rastúcu závislosť na automatizovaných systémoch, sú tiež pripravené venovať čoraz väčšiu pozornosť zaisteniu informačnej bezpečnosti. Spôsob vytvorenia IS systému navyše závisí od situácie v tejto konkrétnej organizácii – od incidentov, ktoré sa udiali, presvedčenia konkrétnych zamestnancov – a často sa formuje „zdola“, od jednotlivých subsystémov IS až po celkový obraz. Výsledkom je vytvorenie viacstupňového jedinečného systému pozostávajúceho z rôznych produktov a služieb, komplexných, spravidla jedinečných pre každú spoločnosť, kde môžu špecialisti informačnej bezpečnosti:

  • skenovanie súborov pomocou systémov zabezpečenia koncových bodov;
  • filtrovať poštu a webovú prevádzku pomocou riešení brán;
  • monitorovať integritu a nemennosť súborov a systémové nastavenia;
  • monitorovať správanie používateľov a reagovať na odchýlky od bežného modelu premávky;
  • skenovanie perimetra a internej siete pre slabé miesta a slabé konfigurácie;
  • implementovať identifikačné a autentifikačné systémy, šifrovať disky a sieťové pripojenia;
  • investovať do SOC na zber a koreláciu protokolov a udalostí z vyššie uvedených subsystémov;
  • objednať penetračné testy a ďalšie služby na posúdenie úrovne bezpečnosti;
  • uviesť systém do súladu s požiadavkami noriem a vykonávať certifikáciu;
  • naučiť zamestnancov základom počítačovej hygieny a vyriešiť nekonečné množstvo podobných problémov.

No napriek tomu všetkému počet úspešných, t.j. útoky na IT infraštruktúry, ktoré dosahujú svoj cieľ, neklesajú, ale škody z nich narastajú. Ako sa útočníkom podarí prekonať zložité bezpečnostné systémy, ktoré sú spravidla jedinečné svojim zložením a štruktúrou?

Koncept cieleného útoku

Je čas poskytnúť definíciu, ktorá presne odráža koncepciu cieleného alebo cieleného útoku. Cielený útok je nepretržitý proces neoprávnenej aktivity v infraštruktúre napadnutého systému, diaľkovo ovládaný manuálne v reálnom čase.

Po prvé, je to práve proces - činnosť v čase, určitá operácia, a nie len jednorazová technická akcia.

Po druhé, proces je zameraný na prácu v špecifickej infraštruktúre, určenej na prekonanie špecifických bezpečnostných mechanizmov, určitých produktov a zapojenie konkrétnych zamestnancov do interakcie. Treba si uvedomiť, že podstatný rozdiel je v prístupe hromadných mailingov štandardného malvéru, kedy útočníci sledujú úplne iné ciele – v skutočnosti získať kontrolu nad samostatným koncovým bodom. V prípade cieleného útoku je stavaný pre obeť.

Po tretie, túto operáciu zvyčajne riadi organizovaná skupina profesionálov, niekedy medzinárodných, vyzbrojených sofistikovanými technickými nástrojmi, v podstate gang. Ich činnosť je skutočne veľmi podobná viacprechodovej vojenskej operácii. Útočníci napríklad zostavujú zoznam zamestnancov, ktorí by sa potenciálne mohli stať „vstupnými bránami“ do firmy, kontaktujú ich na sociálnych sieťach a študujú ich profily. Potom je vyriešená úloha získať kontrolu nad pracovným počítačom obete. V dôsledku toho je jeho počítač infikovaný a útočníci pokračujú v ovládnutí siete a priamo sa zapájajú do kriminálnych aktivít.

V situácii cieleného útoku, počítačové systémy bojujú medzi sebou a ľudia - niektorí útočia, iní - odrážajú dobre pripravený útok, berúc do úvahy slabé stránky a vlastnosti protiopatrení systémov.

V súčasnosti sa čoraz častejšie skloňuje pojem APT – Advanced Persistent Threat. Poďme sa pozrieť na jeho definíciu. APT je kombináciou utilít, malvéru, zero-day exploitov a ďalších komponentov špeciálne navrhnutých na implementáciu tohto útoku. Prax ukazuje, že APT sa v budúcnosti používajú opakovane a opakovane na vykonávanie opakovaných útokov s podobným vektorom proti iným organizáciám. Cielený alebo cielený útok je proces, činnosť. APT je technický nástroj, ktorý umožňuje realizovať útok.

Môžeme smelo povedať, že aktívne šírenie cielených útokov je spôsobené okrem iného aj výrazným znižovaním nákladov a mzdových nákladov pri samotnej realizácii útoku. Skupiny hackerov majú k dispozícii veľké množstvo predtým vyvinutých nástrojov, niekedy nie je naliehavá potreba vytvárať exotický malvér od začiatku. Moderné cielené útoky sú z veľkej časti postavené na už skôr vytvorených exploitoch a malware, len malá časť využíva úplne nové techniky, ktoré súvisia najmä s hrozbami triedy APT. Niekedy sa v rámci útoku používajú aj úplne legálne utility vytvorené na „mierové“ účely – k tejto problematike sa vrátime nižšie.

Etapy cieleného útoku

V tomto materiáli budú oznámené hlavné fázy cieleného útoku, ukázaná kostra obecného modelu a rozdiely v použitých spôsoboch prieniku. Odborná obec má predstavu, že cielený útok spravidla prechádza vo svojom vývoji 4 fázami (obr. 1).


Na obr. 1 sú znázornené 4 fázy cieleného útoku s uvedením jeho životného cyklu. Stručne sformulujme hlavný účel každého z nich:

1. Príprava – hlavnou úlohou prvej fázy je nájsť cieľ, zhromaždiť o ňom dostatok podrobných súkromných informácií, na základe ktorých identifikovať slabé miesta v infraštruktúre. Zostavte si stratégiu útoku, zoberte si predtým vytvorené nástroje dostupné na čiernom trhu alebo si potrebné vyviňte sami. Plánované penetračné kroky sa zvyčajne dôkladne otestujú, vrátane neodhalenia pomocou štandardných nástrojov informačnej bezpečnosti.

2. Penetrácia – aktívna fáza cieleného útoku, využívajúca rôzne techniky sociálneho inžinierstva a zero-day zraniteľnosti na prvotné infikovanie cieľa a vykonanie interného prieskumu. Po dokončení prieskumu a určení vlastníctva infikovaného hostiteľa (servera/pracovnej stanice) je možné na príkaz útočníka stiahnuť ďalší škodlivý kód cez riadiace centrum.

3. Distribúcia - fáza fixácie v rámci infraštruktúry, hlavne na kľúčových strojoch obete. Rozšírte svoju kontrolu čo najviac, v prípade potreby opravte verzie škodlivého kódu prostredníctvom riadiacich centier.

4. Dosiahnutie cieľa je kľúčovou fázou cieleného útoku, v závislosti od zvolenej stratégie môže využiť:

  • krádež utajovaných informácií;
  • úmyselná zmena utajovaných skutočností;
  • manipulácia s obchodnými procesmi spoločnosti.

Vo všetkých fázach je splnená povinná podmienka na zakrytie stôp po aktivite cieleného útoku. Keď útok skončí, často sa stáva, že kyberzločinci si pre seba vytvoria „Point of Return“, ktorý im umožní vrátiť sa v budúcnosti.

Fáza 1 cieleného útoku – Príprava

Identifikácia cieľa

Počet úspešných, t.j. útoky na IT infraštruktúry, ktoré dosahujú svoj cieľ, neklesajú, ale škody z nich narastajú. Ako sa útočníkom podarí prekonať zložité bezpečnostné systémy, ktoré sú spravidla jedinečné svojim zložením a štruktúrou?
Odpoveď je pomerne krátka: prípravou a realizáciou zložitých útokov, ktoré zohľadňujú vlastnosti cieľového systému.

Terčom útoku sa môže stať akákoľvek organizácia. A všetko to začína objednávkou, alebo všeobecným spravodajstvom, alebo presnejšie sledovaním. V rámci neustáleho monitorovania globálneho podnikateľského prostredia využívajú hackerské skupiny verejne dostupné nástroje ako RSS kanály, oficiálne Twitter účty firiem, špecializované fóra, kde si rôzni zamestnanci vymieňajú informácie. To všetko pomáha určiť obeť a ciele útoku, po ktorom sa prostriedky skupiny presunú do fázy aktívneho prieskumu.

Zber informácií

Z pochopiteľných dôvodov žiadna spoločnosť neposkytuje informácie o čom technické prostriedky používa, a to aj na ochranu informácií, interné predpisy a pod. Preto sa proces zhromažďovania informácií o obeti nazýva rekognoskácia. Hlavnou úlohou spravodajstva je cielene zbierať súkromné ​​informácie o obeti. Tu sú dôležité všetky maličkosti, ktoré pomôžu identifikovať potenciálne slabiny. Na získanie uzavretých primárnych údajov možno v práci použiť najnetriviálnejšie prístupy, napríklad sociálne inžinierstvo. Predstavíme niekoľko techník sociálneho inžinierstva a ďalšie v praxi využívané spravodajské mechanizmy.

Metódy prieskumu:

1. Vo vnútri.

Cielený útok je nepretržitý proces neoprávnenej aktivity v infraštruktúre napadnutého systému, ručne ovládaný na diaľku v reálnom čase.

Existuje prístup s hľadaním nedávno prepustených zamestnancov spoločnosti. Bývalý zamestnanec firmy dostane pozvanie na pravidelný pohovor na veľmi lákavú pozíciu. Vieme, že skúsený náborový psychológ sa dokáže porozprávať takmer s každým zamestnancom, ktorý sa uchádza o pozíciu. Od takýchto ľudí sa získa dostatočne veľké množstvo informácií na prípravu a výber vektora útoku: od topológie siete a použitých prostriedkov ochrany až po informácie o súkromnom živote ostatných zamestnancov.

Stáva sa, že kyberzločinci sa uchyľujú k podplácaniu ľudí, ktorých potrebujú, v spoločnosti tých, ktorí vlastnia informácie alebo vstupujú do kruhu dôvery prostredníctvom priateľskej komunikácie na verejných miestach.

2. Otvorené zdroje.

Hackeri v tomto príklade využívajú bezohľadný prístup firiem k papierovým médiám, ktoré sa bez riadneho zničenia vyhadzujú do koša, medzi odpadkami možno nájsť správy a interné informácie, alebo napríklad webové stránky firiem, ktoré obsahujú skutočné mená zamestnancov v verejný prístup. Získané údaje je možné kombinovať s inými technikami sociálneho inžinierstva.

V situácii cieleného útoku medzi sebou nebojujú počítačové systémy, ale ľudia: niektorí útočia, iní odpudzujú dobre pripravený útok, berúc do úvahy slabé stránky a vlastnosti protiopatrení.

V dôsledku tejto práce môžu mať organizátori útoku pomerne úplné informácie o obeti, vrátane:

  • mená zamestnancov, e-mail, telefón;
  • rozvrh práce divízií spoločnosti;
  • interné informácie o procesoch v spoločnosti;
  • informácie o obchodných partneroch.

Dobrým zdrojom informácií o riešeniach realizovaných zákazníkom vrátane systémov informačnej bezpečnosti sú aj portály štátneho obstarávania.

Na prvý pohľad sa tento príklad môže zdať bezvýznamný, no v skutočnosti to tak nie je. Vyššie uvedené informácie sa úspešne používajú v metódach sociálneho inžinierstva, čo umožňuje hackerovi ľahko získať dôveru pomocou získaných informácií.

3. Sociálne inžinierstvo.

  • Telefonáty v mene interných zamestnancov.
  • Sociálne siete.

Pomocou sociálneho inžinierstva môžete dosiahnuť významný úspech pri získavaní dôverných informácií o spoločnosti: napríklad v prípade telefonátu sa útočník môže predstaviť v mene pracovníka informačnej služby, položiť správne otázky alebo vás požiadať o vykonanie správny príkaz na počítači. Sociálne siete dobre pomáhajú určiť okruh priateľov a záujmy tej správnej osoby, takéto informácie môžu pomôcť kyberzločincom vypracovať správnu stratégiu komunikácie s budúcou obeťou.

Rozvoj stratégie

Stratégia je povinná pri realizácii úspešného cieleného útoku, berie do úvahy celý akčný plán vo všetkých fázach útoku:

  • popis fáz útoku: prienik, rozvoj, dosiahnutie cieľov;
  • metódy sociálneho inžinierstva, používané zraniteľnosti, obchádzanie štandardných bezpečnostných nástrojov;
  • etapy vývoja útoku s prihliadnutím na možné núdzové situácie;
  • konsolidácia v rámci, eskalácia privilégií, kontrola nad kľúčovými zdrojmi;
  • extrakcia údajov, odstránenie stôp, deštruktívne akcie.

Vytvorenie stojana

Na základe zozbieraných informácií skupina útočníkov pristúpi k vytvoreniu stánku s identickými verziami používaného softvéru. Testovacie miesto, ktoré umožňuje testovať štádiá prieniku už na funkčnom modeli. Vypracovať rôzne techniky skrytej implementácie a obchádzania štandardných nástrojov informačnej bezpečnosti. Stojan v podstate slúži ako hlavný most medzi pasívnou a aktívnou fázou infiltrácie do infraštruktúry obete. Je dôležité poznamenať, že vytvorenie takéhoto stánku nie je pre hackerov lacné. Náklady na vykonanie úspešného cieleného útoku sa zvyšujú s každou fázou.

Vývoj sady nástrojov

Kyberzločinci čelia ťažkej voľbe: je pre nich dôležité rozhodnúť sa medzi finančnými nákladmi na nákup hotových nástrojov na tieňovom trhu a nákladmi na prácu a časom na vytvorenie vlastného. Tieňový trh ponúka pomerne širokú škálu rôznych nástrojov, čo výrazne skracuje čas, s výnimkou ojedinelých prípadov. Ide o druhý krok, ktorý výrazne zvýrazňuje cielený útok ako jeden z najnáročnejších na zdroje spomedzi kybernetických útokov.

Pozrime sa na sadu nástrojov podrobne: Sada nástrojov sa zvyčajne skladá z troch hlavných komponentov:

1. Command Center alebo Command and Control Center (C&C).

Infraštruktúra útočníkov je založená na veliteľských a riadiacich centrách C&C, ktoré zabezpečujú prenos príkazov do kontrolovaných škodlivých modulov, z ktorých zbierajú výsledky práce. Centrom útoku sú ľudia, ktorí útok vedú. Centrá sa najčastejšie nachádzajú na internete u poskytovateľov, ktorí poskytujú služby hostingu, kolokácie a prenájmu. virtuálne stroje. Algoritmus aktualizácie, rovnako ako všetky algoritmy na interakciu s „hostiteľmi“, sa môže dynamicky meniť spolu so škodlivými modulmi.

2. Penetračné nástroje, riešenie problémov"otváranie dverí" napadnutého vzdialeného hostiteľa:

  • exploit (Exploit) – škodlivý kód, ktorý využíva zraniteľnosti v softvéri;
  • validátor - škodlivý kód, ktorý sa používa v prípadoch primárnej infekcie, je schopný zbierať informácie o hostiteľovi, preniesť ich do C&C na ďalšie rozhodovanie o vývoji útoku alebo jeho úplnom zrušení na konkrétnom stroji;
  • Downloader – modul dodávania kvapkadla; loader sa extrémne často používa pri útokoch založených na metódach sociálneho inžinierstva, odosielaných ako príloha v e-mailových správach;
  • Modul doručovania dropperu je škodlivý program (zvyčajne trójsky kôň), ktorého úlohou je doručiť hlavný vírus Payload do infikovaného počítača obete. Je navrhnutý tak, aby:
    • oprava vnútri infikovaného počítača, skryté automatické načítanie, vstrekovanie procesov po reštarte počítača;
    • Vloženie do legitímneho procesu na stiahnutie a aktiváciu vírusu Payload cez šifrovaný kanál alebo extrahovanie a spustenie šifrovanej kópie vírusu Payload z disku.

Spúšťanie kódu prebieha v injektovanom legitímnom procese so systémovými právami, takúto aktivitu je extrémne ťažké odhaliť štandardnými bezpečnostnými nástrojmi.

3. Telo vírusu užitočného zaťaženia. Hlavný škodlivý modul v cielenom útoku, načítaný na infikovaný hostiteľ pomocou Dropper, môže pozostávať z niekoľkých funkčných doplnkov. moduly, z ktorých každý bude vykonávať svoju funkciu:

APT (Advanced Persistent Threat) je kombináciou nástrojov, malvéru, zero-day exploitov a ďalších komponentov špeciálne navrhnutých na implementáciu tohto útoku.

  • špión klávesnice;
  • nahrávanie obrazovky;
  • vzdialený prístup;
  • distribučný modul v rámci infraštruktúry;
  • interakcia s C&C a aktualizácia;
  • šifrovanie;
  • čistenie stôp činnosti, sebazničenie;
  • čítanie miestna pošta;
  • vyhľadávanie informácií na disku.

Ako vidíme, potenciál uvažovanej sady nástrojov je pôsobivý a funkčnosť použitých modulov a techník sa môže značne líšiť v závislosti od plánov cieleného útoku. Táto skutočnosť zdôrazňuje jedinečnosť takýchto útokov.

Zhrnutie

Je dôležité si všimnúť nárast cielených útokov proti spoločnostiam v rôznych sektoroch trhu (ďalšie riziká ukazuje obr. 2), vysokú náročnosť ich odhaľovania a enormné škody z ich konania, ktorých odhalenie nie je možné zaručiť po ukončení dlho. V priemere je cielený útok objavený 200 dní po tom, čo bol aktívny 1 , čo znamená, že útočníci nielenže dosiahli svoje ciele, ale mali ho pod kontrolou viac ako pol roka. Taktiež organizácie, ktoré identifikovali prítomnosť APT vo svojej infraštruktúre, nie sú schopné správne reagovať a minimalizovať riziká a neutralizovať aktivitu: pracovníci zodpovední za informačnú bezpečnosť to jednoducho netrénujú. Výsledkom je, že každá tretia spoločnosť preruší svoju činnosť na viac ako jeden týždeň v snahe získať späť kontrolu nad vlastnou infraštruktúrou a potom čelí zložitému procesu vyšetrovania incidentov.


Straty vyplývajúce z veľkého incidentu majú pre korporáciu celosvetovo v priemere 551 000 USD, vrátane stratených obchodných príležitostí a výpadkov systému, ako aj nákladov na profesionálne služby nápravy 2 .

O tom, ako sa útok vyvíja, o metódach na obchádzanie štandardných nástrojov ochrany a využívaní zero-day hrozieb, sociálnom inžinierstve, šírení a skrývaní stôp pri krádeži kľúčových informácií a mnoho ďalších – v nasledujúcich článkoch série Anatómia cieleného útoku.

___________________________________________
1 Na základe štatistík spoločnosti Kaspersky Lab.
2 Údaje o štúdiu “ Informačná bezpečnosť business“ realizovaný spoločnosťami Kaspersky Lab a B2B International v roku 2015. Štúdie sa zúčastnilo viac ako 5 500 IT profesionálov z 26 krajín vrátane Ruska.

Škodlivé programy už dávno nie sú nástrojom na páchanie drobných nekalostí, ktorých cieľom je zorganizovať botnet na rozosielanie spamu alebo v extrémnych prípadoch odcudzenie hesla používateľa do Internet bankingu na vykonanie neoprávnenej operácie. Pre firmy môžu byť bežné vírusy vnímané ako „menšia sabotáž“ bez väčších rizík. Na druhej strane, pre útočníkov tento spôsob zisku nie je zvlášť zaujímavý, pretože. K dispozícii je množstvo ochranných opatrení (antivírusové nástroje, aplikácie s vylepšenými opatreniami finančnej kontroly atď.), ktoré zločincovi neumožňujú využiť útok.

Koniec svätí prostriedky
Niccolo Machiavelli

V ére totálnej informatizácie a technologického pokroku, keď sú v systémoch elektronického obchodu uložené miliardy dolárov, by bolo naivné predpokladať, že neexistujú vysokokvalifikovaní zločinci, ktorí by tieto prostriedky nechceli ukradnúť. Dnes je jasne definovaný a rastúci trend využívania cielených útokov na infraštruktúry stredných a veľkých spoločností.

Cielené (cielené) útoky (APT, Advanced Persistent Threats) sú útoky (škodlivý softvér) zamerané na konkrétne objekty alebo odvetvia. Zohľadňujú špecifiká spoločnosti, na ktorú sa vzťahujú, alebo oblasti činnosti spoločnosti ako celku.

Všetky útoky tohto druhu obsahujú množstvo funkcií:

    Zameranie na odvetvie (vírus/útok sa používa v určitom odvetví, pre iné bude irelevantný);

    "Netriviálne" programovací kód. Ako už bolo spomenuté, vysokokvalifikovaní špecialisti sa zaoberajú písaním vlastných vírusov. Pri písaní berú do úvahy väčšinu nuancií, ktoré môžu fungovať štandardné prostriedky ochranu. Z tohto dôvodu napríklad antivírusové nástroje založené na signatúrach s najväčšou pravdepodobnosťou nedokážu odhaliť takýto programový kód ako škodlivý. Z tohto dôvodu môže útočník zostať dlho nepovšimnutý v systémoch a zbierať potrebné štatistiky na úspešné dokončenie útoku.

Útočníci zvyčajne používajú zero-day exploity na implementáciu cielených hrozieb.

0 deň- termín označujúci neopravené zraniteľnosti, ako aj škodlivé programy, proti ktorým ešte nie sú vyvinuté ochranné mechanizmy.

Hlavnou úlohou exploitu je dostať sa nepozorovane do korporátneho perimetra, presadiť sa odstránením antivírusového nástroja, ak je to možné, a vytiahnuť všetko útočníkovo vybavenie pre pohodlnú a „produktívnu“ prácu.

Ako ukazujú štatistiky za roky 2013-2014, útočníci v tomto smere dosiahli obrovské víťazstvá. Najprv Zeus a potom Carberp, v Rusku aj na celom svete, sa stali skutočnou pohromou. Množstvo krádeží len s použitím týchto dvoch rodín vírusov za rok predstavovalo niekoľko miliárd dolárov. Priemerný úspešne zrealizovaný útok na spoločnosť vo finančnom sektore v Rusku bol 30 miliónov rubľov.

Taká podozrivá aktivita v posledných rokoch spojené s príbehom o zdroji veľmi „kvalitného“ škodlivého softvéru, ktorý unikol do siete.

„Na verejnosť unikli zdroje známeho bankového trójskeho koňa Carberpa. Zdrojové kódy Carberp v 1,88 GB RAR archíve teraz Google ľahko nájde. Po rozbalení projekt obsahuje približne 5 GB súborov s podrobným výpisom. Je zrejmé, že teraz môžeme očakávať novú vlnu kreativity od začínajúcich a pokračujúcich autorov vírusov. Niekto dokonca žartoval: „Únik Zeus bol ako bezplatný stroj. Únik Carberp je už bezplatný raketomet“…“, odborník na IS, autor časopisu Hacker, Denis Mirkov

"Tak čo teraz robiť?!" - Otázka, ktorá sa mimovoľne valí do hrdla každého ochrankára. To pripomína citát, ktorý povedal Emanuel Lasker v roku 1899: "Jediný spôsob, ako sa stať múdrejším, je hrať so silnejším súperom." Technológie a vývojári nestoja, ak existuje dopyt, bude tu dôstojná ponuka. Hlavným problémom pri zisťovaní zero-day hrozieb je neschopnosť nájsť známe podpisy pri analýze kódu. To však neznamená, že správanie akéhokoľvek súboru nemožno vysledovať, otestovať metódou „čiernej skrinky“ a vyvodiť príslušné závery!

Analýza správania v pieskovisku je zďaleka najviac efektívnym spôsobom analýzu a detekciu zero-day hrozieb a cielených útokov. Rôzni výrobcovia ponúkajú svoje vlastné riešenia a tvrdia, že ich produkt je najproduktívnejší a najpresnejší. Nie je to však tak, hlavným problémom takýchto riešení sú falošné poplachy (false positive), ktoré môžu anulovať celú prácu bezpečnostnej služby. Zvolené riešenie by malo byť citlivé len na vážne ohrozenia. Implementovať takýto koncept je už profesionalita a skúsenosti, ktoré bolo potrebné preniesť do zložitých algoritmov a implementovať do finálneho produktu.

29.03.2013, Pia, 13:03 moskovského času

Škodlivé programy používané v pokročilých perzistentných hrozbách (skr. APT) sa neustále zdokonaľujú. Teraz môžu tajne preniknúť do sietí, pričom často zastavujú úlohy a vymeniteľné médiá. V súčasnosti, keď sa pracoviská stávajú čoraz mobilnejšími a vymykajú sa kontrole firemnej bezpečnostnej infraštruktúry IT, sa problém len prehlbuje.

Príkladom takejto hrozby je červ Flame, nová kybernetická vojnová zbraň, ktorá zaútočila na iránsky energetický sektor a teraz sa šíri po celom Blízkom východe. Malvér Flame1, ktorý objavili odborníci spoločnosti Kaspersky Lab, je známy ako „jedna z najkomplexnejších hrozieb všetkých čias“. A hoci mal vírus Flame pôvodne sabotovať iránsky jadrový program, stále prenasleduje bezpečnostných expertov. Faktom je, že sa teraz rozšíril mimo cieľovej infraštruktúry a infikoval podnikové systémy na celom svete.

Jeho predchodcom bol vírus Stuxnet, ktorý bol navrhnutý špeciálne na infikovanie a narušenie systémov dohľadu a získavania údajov (SCADA), ktoré ovládali iránske centrifúgy na obohacovanie uránu. Úspech tohto škodlivého programu prekonal očakávania jeho tvorcov: zariadenie prešlo do nekontrolovaného režimu prevádzky s priebehom sebadeštrukcie. Bohužiaľ, Stuxnet prekročil aj iránske ciele a začal infikovať SCADA systémy v Nemecku a potom aj v iných krajinách sveta.

Flame aj Stuxnet sú komplexné cielené hrozby. Ide o zbraň novej generácie pre vojenské operácie kontrolované vládou, teroristami a dobre financovanými syndikátmi pre počítačovú kriminalitu. Tieto škodlivé programy, vybavené mnohými funkciami na skrytie ich aktivít, sú primárne zamerané na krádeže duševného vlastníctva, plánov vojenských organizácií a iného cenného podnikového majetku.

Obeťami tejto vojny sa však s najväčšou pravdepodobnosťou stanú stredné a malé podniky, ktoré sa v prípade nenasadenia ocitnú v krížovej paľbe. komplexná infraštruktúra zabezpečenie na ochranu koncových bodov. Časy, keď sa stredné a veľké spoločnosti mohli tešiť z relatívnej anonymity alebo šetriť na bezpečnosti, sú preč. Komplexné cielené hrozby a zero-day útoky sa stávajú všadeprítomnými a nemilosrdnými.

Vývoj hrozieb

Kedysi sa vyhrážky posielali hromadne, zvyčajne od e-mail. Obeť bola nalákaná do pasce pomocou phishingovej správy, ktorú údajne poslal zámorský finančník alebo dlho stratený príbuzný. A hoci tieto hrozby boli potenciálne nebezpečné, boli posielané bez rozdielu. Okrem toho ich bolo možné odhaliť a zabrániť im pomocou základných bezpečnostných nástrojov. Tieto typy útokov stále dominujú na internete. V posledných rokoch sa však úroveň zložitosti hrozieb výrazne zvýšila: v súčasnosti sú čoraz bežnejšie komplexné cielené hrozby a útoky zero-day, ktoré medzi používateľmi vyvolávajú strach a úzkosť.

V posledných rokoch zatienili najslávnejšie útoky využívajúce sofistikované cielené hrozby aj tie najnepravdepodobnejšie scenáre. Operácia Aurora: útok na Google. V roku 2009, počas tohto útoku čínskeho pôvodu, prostredníctvom zraniteľností v Windows Internet Prieskumník bol prijatý zdroj a ďalšie typy duševného vlastníctva spoločnosti Google a približne 30 ďalších globálnych korporácií.

Útok na RSA. V roku 2011 dokázali kyberzločinci preniknúť do systémov amerických vojenských dodávateľov Lockheed Martin, Northrop Grumman a L3 Communications prostredníctvom tohto hackerského útoku na vlajkové kľúče spoločnosti SecurID, ktorých spoľahlivosť sa poskytovateľ bezpečnostných riešení pýšil.

Národné laboratórium Oak Ridge. Laboratórium DOE sa muselo prepnúť do režimu offline, keď správcovia zistili, že phishingový útok nahráva citlivé údaje zo servera.

sieť duchov. Táto kyberšpionážna sieť pozostávajúca z 1 295 infikovaných počítačov v 103 krajinách sa zamerala na množstvo priaznivcov tibetského hnutia za nezávislosť, ako aj na ďalšie veľké organizácie vrátane miestnych ministerstiev, komisií zahraničných vecí, veľvyslanectiev, medzinárodných a mimovládnych organizácií.

ShadyRat. V rámci tejto rezonančnej kampane boli hacknuté siete vládnych agentúr, neziskových organizácií a veľkých podnikov v 14 krajinách sveta, celkovo ide o 70 postihnutých organizácií.

Hlavné rysy

V súčasnosti idú komplexné cielené hrozby a útoky nultého dňa ruka v ruke a sú široko pokryté v médiách. A predsa, ktoré to sú a ako sa líšia od hrozieb, ako sú trójske kone alebo červy?

Dá sa povedať, že nejde o obyčajné amatérske útoky. Už z názvu je zrejmé, že takéto hrozby fungujú na báze pokročilých technológií, ako aj viacerých metód a vektorov pre cielené útoky na konkrétne organizácie s cieľom získať dôverné alebo utajované informácie.

Tvorcovia komplexných cielených hrozieb sa veľmi líšia od scenáristov, ktorí spúšťajú útoky SQL, alebo od priemerného autora škodlivého softvéru, ktorý predáva botnety niekomu, kto ponúka najviac vysoká cena. Tieto pokročilé hrozby zvyčajne plánujú veľké, organizované syndikáty, ktoré majú k dispozícii celé tímy odborníkov s viacerými technológiami na zhromažďovanie informácií. Keďže sú tieto hrozby pomalé, nenápadné a zakrývajú ich stopy, čoraz viac ich uprednostňujú kyberzločinci, nepriateľské vlády, teroristi a zločinecké syndikáty.

Schéma práce

Pri implementácii komplexných cielených hrozieb využívajú kyberzločinci malvér na získavanie personalizovaných informácií, ktoré pomáhajú uskutočniť druhú fázu útoku. Potom sa využívajú jednotlivé technológie sociálneho inžinierstva, ktorých účelom je infiltrovať sa do organizácie cez jej najslabšie miesto: koncového užívateľa.

V tejto fáze útoku sú cieľom jednotlivci, ktorí majú prístup k potrebným účtom. Používajú sa pritom presvedčivé listy, ktoré údajne pochádzajú z oddelenia ľudských zdrojov alebo z iného spoľahlivého zdroja. Jedno neopatrné kliknutie na takýto e-mail a kyberzločinci získajú bezplatný prístup k najcennejším informáciám organizácie bez toho, aby to niekto čo i len tušil. Po získaní prístupu do systému komplexná cielená hrozba využíva rôzne trójske kone, vírusy a iné škodlivé programy. Infikujú sieť a vytvárajú mnoho medzier, ktoré môžu zostať na pracovných staniciach a serveroch donekonečna. Celý ten čas sa hrozba nepozorovane presúva z jedného počítača na druhý pri hľadaní daného cieľa.

Zero day exploits

Obľúbeným nástrojom komplexných cielených hrozieb sú vždy zero-day exploity. Tento priestranný názov dobre vystihuje podstatu hrozieb, ktoré využívajú bezpečnostné slabiny v programoch skôr, ako ich predajca opraví alebo sa o ich existencii vôbec dozvie. Medzi prvým záchvatom a korekciou teda uplynie menej ako jeden deň – „nula dní“. V dôsledku toho majú počítačoví zločinci úplnú slobodu konania. Bez strachu z odplaty využívajú útok, proti ktorému nie je známa obrana.

Malvér, ktorý využíva zraniteľnosti zero-day, môže spôsobiť vážne škody organizácii bez toho, aby si to niekto všimol. Ich cieľom je ukradnúť citlivé informácie, ako sú zdrojový kód, duševné vlastníctvo, plány vojenských organizácií, údaje obranného priemyslu a ďalšie vládne tajomstvá používané pri špionáži. Keď sa organizácia dozvie o útoku, stane sa pre PR oddelenie skutočnou nočnou morou. Škody sú v miliónoch, nielen na generálnej oprave bezpečnostnej infraštruktúry, ale aj na zaplatenie právnych poplatkov a riešenie následkov odchodu zákazníkov. Nehovoriac o tom, koľko úsilia, času a peňazí je vynaložených na obnovenie dobrého mena a dôvery zákazníkov.

Komplexné cielené hrozby a zero-day exploity nie sú novým fenoménom. Prvýkrát boli použité pred niekoľkými rokmi, dávno predtým, ako sa tieto výrazy dostali do žargónu bezpečnostných profesionálov. Doteraz si mnohé organizácie ani neuvedomujú, že pred niekoľkými mesiacmi (a niekedy aj rokmi) sa stali obeťou skrytého zero-day útoku. Podľa správy Verizon Data Breach Report je 2,44 % týchto porušení duševného vlastníctva odhalených po niekoľkých rokoch.

Príklad: v správe publikovanej Christian Science Monitor3 sa zistilo, že v roku 2008 sa tri ropné spoločnosti – ExxonMobil, Marathon Oil a ConocoPhilips – stali obeťami cielených kybernetických útokov uskutočnených pomocou komplexných, cielených hrozieb. Pri útokoch, o ktorých sa predpokladá, že sú čínskeho pôvodu, kyberzločinci nahrali kritické informácie o počte, hodnote a umiestnení objavených ropných polí vo svete na vzdialený server. Samotná skutočnosť útoku spoločnosti sa však zistila až po tom, čo FBI nahlásila krádež dôverných informácií od nich.

Do roku 2011 komplexné cielené hrozby právom zaujali jedno z prvých miest medzi bezpečnostnými hrozbami. Veď práve kvôli nim tento rok utrpeli obrovské straty spoločnosti ako Sony, Epsilon, HBGary či DigiNotar. Nehovoriac o RSA, ktoré stratilo takmer 40 miliónov súborov jednorazové heslá pre elektronické kľúče. Celkovo stálo zlyhanie zabezpečenia RSA4 spoločnosť približne 66 miliónov dolárov, zatiaľ čo Sony5 stratilo 170 miliónov dolárov zo straty 100 miliónov záznamov.

Na konci roka 2011 došlo k najmenej 535 únikom údajov, ktoré viedli k strate 30,4 milióna záznamov. Mnoho spoločností sa tento rok stalo obeťou série senzačných útokov, uvádza Privacy Rights Clearinghouse. A to je len malá časť známych porušení, pretože každý rok existujú tisíce porušení bezpečnosti, ktoré nie sú odhalené alebo zverejnené.

Proti komplexným cieleným hrozbám je možné a potrebné brániť sa. Metódy ochrany budú diskutované v článku "Komplexné cielené hrozby: Zabezpečenie ochrany".