Информация превращается в новую валюту, за которой разворачивается настоящая охота. Для достижения желаемой цели, хакеры придумывают все более изощренные способы и методы проведения кибератак.
С целью подрыва репутации компаний, конкурентами заказываются разработка и создание вредоносного софта, направленного на получение незаконного доступа к финансовым активам Компании. Заражение локальной сети способно парализовать работу целой корпорации.
Типов киберпреступлений множество – незаконный доступ, перехват, вмешательство в данные, атаки с целью вызова отказа системы. Средства защиты совершенствуются, но и развитие угроз не стоит на месте. Вирусы могут месяцами оставаться незамеченными, находясь в «анабиозе», не проявляя никакой активности прежде чем атакуют целевую инфраструктуру. А бывают и зловреды, которые блуждают по локальным сетям в поисках цели, не причиняя «устройствам-переносчикам» никакого ущерба.
Сложность при проведении расследований киберпреступлений – в определении злоумышленника и сборе доказательной базы. Большая часть серьезных заражений носит случайный характер. Хакеров, стоящих за целенаправленными атаками, вычислить зачастую почти невозможно, так как они никогда не действуют напрямую и не оставляют следов. Шанс есть, если вовремя заметить атаку. Но зафиксировав вмешательство в компьютерную сеть или инфраструктуру, можно так и не определить, чью вину доказывать в суде. Компьютерной криминалистикой занимается отдельная прикладная наука – форензика. Но сейчас ускоряющаяся эволюция эксплойтов не дает унифицировать всевозможные атаки, чтобы «подогнать» их под единый классификатор цифровых преступлений.
Разновидности совершаемых атак
Самыми распространенными средствами атаки были и остаются массовые вирусы, которые все время гуляют по сети: черви, трояны, фишинговые письма и другие. Их жертвами становятся компании, которые вовремя не позаботились о своей «кибергигиене». Большинство браузеров уже научилось определять потенциальные угрозы безопасности, но по-прежнему существуют специальные программы, генерирующие «зловредные URL» для нелегитимных целей. Глядя на копию известного сетевого ресурса, не всегда поймешь, что перед тобой «фейк». Достаточно просто зайти на поддельную страницу, и ты уже заражен. Чуть более защищены в этом плане приложения, в которых на этапе разработки закладывается ряд проверок. Однако этого не всегда можно сказать о веб-приложениях. По данным компании Positive Technologies, за 2019 год 9 из 10 веб-приложений демонстрируют уязвимости, которые преступники могут использовать при проведении атак. Получение полного контроля над системой возможно практически через каждое 6-ое такое веб-приложение, а проникновение в локальную сеть – через каждое 17-ое. Угроза утечки и перехвата информации присутствует в 7 из 10 веб-приложений. И это, не говоря уже о том, что утечка может произойти по неосторожности сотрудника.
Одна атака на тысячу – это пример наиболее искусного целевого преступления, направленного на конкретную организацию. Такие атаки попадают в историю, а за «головы» их инициаторов предлагают миллионы долларов. Говорят, эти атаки нужно еще заслужить!
ГРУППИРОВКА «LAZARUS»
Большинство совершаемых атак построено на невнимательности пользователей, хакеры прекрасно знают, что человек – это самое уязвимое звено в системе кибербезопасности. Используя «человеческий фактор» кибергруппировка LAZARUS взломала систему центробанка Бангладеша. Вирус был активирован одним из сотрудников банка на его компьютере с последующим внедрением в локальную сеть. Хакеры видели транзакции, собирали данные и выводили деньги со счетов.
Ранее членами группировки также была совершена атака на кинокомпанию Sony Pictures. LAZARUS угрожала терактами в случае выпуска фильма, крала кошельки из электронных платежных систем с помощью троянцев, ставила вирус-вымогатель WannaCry, который шантажировал пользователей на деньги. Целью данной атаки был подрыв финансового и репутационного благосостояния компании.
Кстати, от вируса WannaCry пострадали не только банки и коммерческие организации, но и больницы, аэропроты а также заводы по всему миру. Этот вирус шифрует данные, требуя от пользователя выкуп в криптовалюте за их дешифровку.
ТИПЫ АТАК
Самая лучшая атака – это та, при которой не понимаешь, что тебя взломали.
Организация может «подцепить» вирус от сотрудника, который возвращается из командировки или из отпуска и подключает к корпоративной сети устройство, с помощью которого он выходил в сеть в отеле. Тогда-то и начинается операция взлома под названием «Dark Hotel»! Это одна из немногих, но очень серьезных причин, почему в компаниях с высоким уровнем информационной безопасности строго запрещают подключать любые персональные устройства и флеш-накопители к корпоративной сети.
Частой практикой «черных» хакеров является «Deface» – подмена контента на сайтах компаний или даже заражение с помощью компрометированного контента устройств посетителей сайта. Дефейсами пользуются инициаторы атак на государственные веб-сервисы и крупные холдинги. Нередко хакеры внедряют в веб-системы межсайтовый скрипт (XSS) - вредоносный контент, автоматически прикрываемый надежностью всей веб-системы. С помощью этого скрипта хакер повышает свои привилегии, собирает cookies и другую информацию о пользователе, который зашел на зараженный сетевой ресурс. Самые популярные атаки такого типа прошлись практически по всем из известных социальных сетей.
В последнее время набирают обороты атаки типа «BOTNET» – разновидность DDoS-атак, принцип которых основан на несанкционированном использовании мощностей армии зараженных устройств, разбросанных по миру, для вызова отказа в обслуживании целевых компьютерных ресуров или систем. Самое безобидное, для чего используется BOTNET, – это майнинг криптовалюты. Криптомайнинг вызывает значительную просадку вычислительных мощностей зараженных устройств.
Ботнет стал набирать популярность с 2016 года. В то время орудовал один из самых нашумевших вирусов такого плана – MIRAI – ботнет интернета вещей. Когда MIRAI находился на пике своего распространения, в СМИ ходили лозунги «Тостеры наступают!». Тем не менее, основную массу зараженных устройств составляли ip-камеры, а тостеры вовсе не участвовали в атаке.
«Черные» и «белые» хакеры
Как понять, кто стоит за атаками? Хакеры скрываются в сети, используя не только VPN, но и цепочки proxy-серверов, подменяют MAC-адреса сетевых карт, – делают все для того, чтобы запутать следы. Однако при этом они часто используют одни и те же строчки кода и сценарии атак. Стиль работы хакерских группировок становится узнаваем по одинаковым фрагментам кода.
Меры уже предпринимаются. На рынке широко пользуются спросом услуги информационной безопасности. В организациях нередко меры информационной безопасности ограничиваются лишь антивирусом. Но одного антивируса уже давно недостаточно. Комплекс мер по обеспечению безопасности ИТ-инфраструктуры и содержащихся в ней данных очень обширный.
Довольно частая практика – заказать «репетицию» взлома собственной инфраструктуры с целью проверки ее на наличие уязвимостей, которые могут стать решающими при попытке реального взлома. Такая услуга уже давно пользуется не только доверием, но и большим спросом со стороны бизнеса: «белые хакеры» осуществляют тестирование на проникновение (PenTest).
Сейчас с автоматизированным интеллектуальным анализом информационной безопасности занимаются SIEM-системы, агрегирующие данные со всего оборудования и ПО для настройки комплексного анализа ИБ и поиска спрятанных уязвимостей. Но без квалифицированного специалиста, способного настраивать системы, их приобретение – невыгодная инвестиция.
СТАТИСТИКА
2019 год пестрит инцидентами информационной безопасности. От атак страдали финансовые организации, ритейл, промышленность. Нередко уязвимости содержатся в веб-приложениях, используемых в корпоративных целях. Эксперты обнаружили недостаточность аутентификации в 45% исследуемых веб-приложениях. Одним только паролем уже не обойтись. Парольную защиту обходят с помощью BruteForce – программ для перебора.
По данным годового отчета компании Check Point, в 2019 году особенно отличились криптомайнеры. От их деятельности пострадали 37% компаний по всему миру несмотря на то, что стоимость криптовалюты падала в течение года. С развитием интернета вещей, растет и рынок бонтета. 28% компаний в 2019 году (против 18% в 2018 году) подверглись атакам ботнетов. В 2019 вирус проявил себя еще один «штамм» ботнета – «Emotet».
Навели шороху в 2019 году и атаки Megacart, способные внедрять в веб-сайты онлайн-магазинов вредоносный код, который крадет платежные данные клиентов.
Условия меняются как внутри компаний, так и вовне, появляется множество новых угроз. Хакеры поделились на два лагеря – на тех, кто выполняет заказы по взлому в корыстных целях и тех, кто «взламывает», чтобы помочь защитить инфраструктуру. «Белые» хакеры – сотрудники информационной безопасности крупных IT-компаний – атакуют информационные системы в рамках законодательства по запросу клиента. PenTest становится очень востребованной услугой. «Белый» хакер – это профессионал, понимающий тонкости работы компьютерных систем. После грамотной и комплексной работы «пентестеров» можно убедиться в защищенности инфраструктуры и выявить проблемные точки. Однако важно понимать, что информационная безопасность – это не «разовая акция», а продолжительная работа, которая должна идти в ногу с организацией любой сферы бизнеса!
