Таргетовані чи атаки нульового дня. Таргетовані атаки: нове слово у світі загроз

Як боротися із цілеспрямованими атаками? Очевидно, що потрібне якесь технологічне рішення, в якому було б об'єднано найкращі ідеїщодо виявлення невідомих загроз. Але перш ніж говорити про нього, варто визначитися з тим, що вважати за цільову атаку, і розібрати, як вони працюють.

У новинах раз у раз миготить: «В результаті таргетованої атаки злочинцям вдалося вкрасти два мільярди доларів з 40 банків та фінансових організацій по всьому світу…», «…Жертвами атаки, спрямованої на промислові компанії, стали понад 500 енергетичних, металургійних та будівельних компаній більше ніж у 50 країнах…», «…Ефективні та грамотно розміщені шкідливі програми, призначені для реалізації атак на систему SWIFT, дозволили кіберзлочинцям вкрасти мільйони…» і так далі, і так далі.

Таргетовані атаки (вони ж APT) - справжній бич нашого часу, і на захисті від них вже збудовано не один багатомільйонний бізнес. Заглядаєш на будь-яку виставку, присвячену ІБ, і бачиш: для сторони APT, що продає, - це тепер важлива частина пропозиції, а для купівельної - одна з насущних проблем. Причому актуальна вона вже не лише для великого бізнесу, навченого гірким досвідом, але й для середнього та навіть малого. Якщо атакуючий хоче дістатися корпорації, то дрібний підрядник цілком може виявитися проміжною метою.

Не просто слова

На жаль, терміни «таргетована атака» та «цілеспрямована атака» некоректні. Чому? Згадаймо класичне визначення комп'ютерної атаки: «Комп'ютерна атака – цілеспрямований несанкціонований вплив на…». Стоп, стоп вже достатньо! Виходить, що мета має будь-яку атаку, а не тільки «таргетовану».

Відмінна риса цілеспрямованих атак полягає в тому, що атакуючий активно та інтелектуально підходить до вибору точки входу до конкретної інфраструктури, досить довго аналізує інформацію, що циркулює в її компонентах, і використовує зібрані дані для отримання доступу до цінної інформації.

Чую обурені крики із зали: «Люди гроші втрачають, а він до термінів чіпляється!» Однак академічна точність опису проблеми надзвичайно важлива для створення тієї самої «срібної кулі», універсального рішення, про яке писав Іван Новіков.

Дослідники зазвичай розглядають окремі аспекти атак та не проводять комплексний аналіз проблеми. Тому недосконалі й методи виявлення атак та боротьби з ними у вже скомпрометованому середовищі.

Наприклад, багато методів і систем безпеки засновані на статичних спискахшаблонів, тобто базах для евристичного аналізу, «білих списках», базах сигнатур тощо. Однак такі списки виявляються неефективними для визначення «нешаблонних» загроз, за яких зловмисники намагаються приховати свою присутність у скомпрометованій інфраструктурі.

Метод, який відповідно до вимог різних стандартів забезпечення ІБ гарантує відсутність у системі порушника, полягає у створення та підтримання замкнутих довірених програмно-апаратних середовищ. Саме так «паперова безпека» унеможливлює компрометацію на будь-якому етапі.

На жаль, з практичної точки зору цей метод є неефективним. Сучасні програмно-апаратні середовища зазвичай побудовані на основі обладнання та софту різних виробників, які використовують різні підходи під час розробки, різні методи оновлення та підтримки. Дослідити всі продукти, чи немає в них закладок, неможливо, а без цього ніяких довірених середовищ не вийде.

Інший метод захисту цінних ресурсів від цілеспрямованого несанкціонованого доступу заснований на фізичної ізоляції об'єктів, що захищаються. І він також неефективний у реальних умовах. Навіть якщо вдасться закрити всі побічні канали зв'язку, які можуть бути використані зловмисниками для виведення даних, залишається людський фактор. Нерідко побічні канали зв'язку створюють саме люди, взаємодіючи з системами, - ненавмисно або навмисне.

Проблема вирішення

Виходить, що уникнути ризику компрометації практично неможливо. Відповідно, потрібні системи виявлення невідомих атак у вже скомпрометованому середовищі. Цей клас рішень носить горду назву post-breach («після злому») і найчастіше вирішує завдання response/mitigation, тобто реагування та пом'якшення.

А ось методів та побудованих на їх основі рішень для своєчасного детекту загроз (post-breach detection) насправді не так багато. Наприклад, один із них - це мережі пасток, які широко відомі як «ханіпоти».

Правильно зроблена пастка дійсно може допомогти виявити цілеспрямовану атаку на певній стадії. Але при цьому класичний ханіпіт навряд чи допоможе у виявленні інших точок присутності атакуючого.

Відомі способи адаптивного розгортання систем пасток, і навіть пошуку аномалій у функціонуванні компонентів системи. Набагато складніше знайти рекомендації, як вибирати параметри розгортання ханіпотів. Скільки потрібно фейкових робочих станцій у мережі? Які фейкові акаунти та на яких машинах створити? Ще складніше проаналізувати отримані в такий спосіб дані. «Окей, Google, хтось скористався фейковим обліком на комп'ютері нашого бухгалтера. Що тепер робити?"

Невідоме ≠ надприродне

Щоб не вносити термінологічну плутанину, використовуватимемо термін «невідома комп'ютерна атака». Вона може включати властивості цілеспрямованих атак, але не обмежуватися ними. Невідома комп'ютерна атака - це безперервна цілеспрямована несанкціонована дія за допомогою програмних або програмно-апаратних засобів з такими параметрами функціонування, які не дозволяють захисним рішенням його виявити в реальному часі.

Звучить складно? Насправді все зводиться до трьох ключовим особливостям: безперервності, цілеспрямованості та нетривіальності.

Безперервність- Характеристика, що визначає часовий інтервал, протягом якого атакуючий зберігає несанкціонований доступ до ресурсу або впливає на нього. Зокрема, цілеспрямовані атаки відрізняються тривалим контролем точок присутності у цільовій інформаційній системі.

Цілеспрямованість- характеристика, яка визначає ступінь ручної роботи з боку атакуючого для реалізації несанкціонованого доступу чи впливу та враховує індивідуальні особливості цільової інфраструктури.

Нетривіальністьдля систем виявлення атак - це характеристика, що визначає складність виявлення цього класу атак захисними системами об'єкта, що атакується. Пов'язана із цілеспрямованістю. Це ключова характеристика для оцінки ефективності методів та систем захисту.

Життєвий цикл атаки

Будь-яку кібератаку можна розділити на стадії, назви яких прийшли до нас із військової науки. Кожна стадія передбачає набір стратегій та методів реалізації. І для кожної зі стадій існують превентивні заходи та стратегії дій у відповідь.

Давай на прикладах розберемо кожну стадію життєвого циклу атаки та проілюструємо стратегії реалізації етапів. Назвемо атакуючого Василем.

Май на увазі, що ці сценарії лише окремий випадок з різноманіття тактик та засобів, які може використовувати атакуючий.

Розвідка, підготовка

Під час розвідки Василь намагається виявити точки входу до цільової інфраструктури. Для цього він уважно вивчає звіт свого сканера веб-уразливостей, який просканував публічний веб-додаток, що належить жертві.

Крім того, Вася, аналізуючи видачу пошукових систем, шукає експлуатабельні ресурси, IP яких входять у діапазон адрес цільової організації.

Василь знайшов профілі кількох співробітників організації у соціальних мережах та їх корпоративні email-адреси. На основі одержаних даних Василь підготував наступний план дій.

Спробувати скомпрометувати робочі станції виявлених працівників.
Якщо це не вдасться, Василь спробує використати публічні експлоїти, щоб атакувати сервери організації, доступні з інтернету, а також роутери Wi-Fi в офісах компанії.
Паралельно з першими двома кроками Василь шукатиме вразливості у публічному веб-додатку, сподіваючись, що скомпрометований додаток надасть йому доступ до внутрішньої інфраструктури.

Щоб реалізувати все це, Василь готує текст листа зі шкідливим вкладенням співробітникам, кастомізує знайдені експлоїти, а також запускає перебір пароля для адміністрування виявленого веб-ресурсу.

Доставка, експлуатація, закріплення

Як ти вважаєш, який із пунктів має більший шанс на успіх? Можливо, ти бачив звіти консалтингових компаній і скажеш, що це веб-додаток. Або згадаєш про людський фактор і некомпетентність персоналу в питаннях ІБ і припустиш, що переможе лист фішинга з вкладенням. Але Васі все одно, що ти думаєш, тому що він уже сидить з ноутбуком в офісі компанії і чекає на підключення мобільних пристроїв її співробітників.

Так чи інакше, підсумок цієї стадії: відстук завантаженого шкідливого коду на сервер Василя, що управляє.

Дія

Ось тут починається все найцікавіше. Насправді часто виявляється так, що зловмисник змушений проводити цілу спецоперацію та створювати нові точки присутності для того, щоб забезпечити собі постійний контроль (persistent). Йому доведеться проводити розвідку всередині скомпрометованої інфраструктури та переміщатися до цінних ресурсів. Це називається lateral movement: навряд чи отриманий доступ до комп'ютера бухгалтера задовольнить замовників Василя - їх цікавить інтелектуальна власність компанії. Ну і зрештою Васі потрібно буде провести непомітний висновок даних (exfiltration).

Протидія

Звісно, етап протидії має починатися раніше, а чи не після всіх описаних стадій. Але іноді буває так, що Василя починають шукати вже після того, як він зник із цінними даними. І найчастіше це відбувається не тільки через некомпетентність сторони, що захищається. Просто Василь мав достатньо часу, щоб вивчити жертву, перш ніж розпочав якісь активні дії, і добре знав про всі захисні системи. Та й василіїв часто багато, а деякі з них ховаються і серед внутрішніх співробітників.

Саме з описаних вище причин ми постараємося дізнатися про Вас та його наміри ще до того, як він реалізує всі стадії своєї атаки. Для цього потрібно навчитися вчасно визначати його появу у нашій інфраструктурі. Тому, як це робити, я присвячую наступні випуски моєї колонки.

29.03.2013, Пт, 13:03, Мск

Шкідливі програми, що використовуються в комплексних таргетованих загрозах (англ. advanced persistent threats, скор. APT), постійно вдосконалюються. Тепер вони можуть таємно проникати в мережі, нерідко слідуючи по п'ятах за робочими місцями та знімними носіями. Сьогодні, коли робочі місця стають все більш мобільними та виходять з-під контролю інфраструктури корпоративної ІТ-безпеки, проблема лише посилюється.

Прикладом такої загрози є черв'як Flame – нова зброя кібервійн, яка атакувала іранський енергетичний сектор і тепер поширюється Близьким Сходом. Шкідлива програма Flame1, виявлена фахівцями "Лабораторії Касперського", відома як "одна із найскладніших загроз усіх часів". І хоча спочатку вірус Flame мав саботувати ядерну програму Ірану, він досі не дає спокою експертам з безпеки. Справа в тому, що зараз він поширився за межі цільової інфраструктури, заражаючи корпоративні системив усьому світі.

Його попередником був вірус Stuxnet, який був розроблений спеціально для зараження та порушення роботи систем диспетчерського контролю та збору даних (SCADA), які керували іранськими центрифугами для збагачення урану. Успіх цієї шкідливої програми перевершив очікування її творців: обладнання перейшло у неконтрольований режим роботи з курсом на самознищення. На жаль, Stuxnet теж вийшов за межі цільових об'єктів Ірану і став заражати системи SCADA в Німеччині, а потім і в інших країнах світу.

І Flame, і Stuxnet відносяться до комплексних загроз, що таргетують. Це зброя нового покоління для військових операцій під контролем уряду, терористів і кіберзлочинних синдикатів, що добре фінансуються. Ці шкідливі програми, оснащені безліччю функцій приховування своєї діяльності, передусім спрямовані на крадіжку інтелектуальної власності, планів військових організацій та інші цінні корпоративні активи.

Однак жертвами цієї війни стануть, швидше за все, середні та невеликі підприємства, які опиняться під перехресним вогнем, якщо не розгорнуть комплексну безпекову інфраструктуру для захисту кінцевих точок. Минули дні, коли середні та великі компанії могли насолоджуватися відносною анонімністю або економити на засобах безпеки. Комплексні таргетовані погрози та атаки "нульового дня" стають повсюдними та нещадними.

Еволюція погроз

Колись погрози розсилалися масово, як правило, електронною поштою. Жертву заманювали в пастку за допомогою фішингового повідомлення, нібито відправленого закордонним фінансистом або родичом, який давно зник. І хоча ці погрози були потенційно небезпечними, вони розсилалися без розбору. Крім того, їх можна було виявити та запобігти за допомогою базових коштівбезпеки. Ці види атак, як і раніше, переважають в інтернеті. Однак останнім часом рівень складності загроз значно підвищився: тепер все частіше трапляються комплексні таргетовані загрози та атаки "нульового дня", які породжують страх та занепокоєння користувачів.

В останні кілька років найгучніші атаки із застосуванням комплексних таргетованих загроз затьмарюють навіть найнеймовірніші сценарії. Операція Aurora: атака на Google У 2009 р. під час цієї атаки китайського походження через уразливості у Windows Internet Explorer було отримано вихідний код та інші види інтелектуальної власності Google та близько 30 інших глобальних корпорацій.

Атака на RSA. Завдяки цій атаці зі зломом провідної розробки компанії, ключів SecurID, надійністю яких так пишався постачальник рішень безпеки, у 2011 р. кіберзлочинці змогли впровадитись у системи підрядників військових відомств США: Lockheed Martin, Northrop Grumman та L3 Communications.

Національна лабораторія Окріджа. Лабораторію Міністерства енергетики довелося перевести в автономний режим, коли адміністратори виявили, що в результаті атаки фішинга з сервера вивантажувалися конфіденційні дані.

GhostNet. Ця мережа для кібершпигунства, що складається з 1295 інфікованих комп'ютерів у 103 країнах, була націлена на низку прихильників руху за незалежність Тибету, а також інші великі організації, включаючи місцеві міністерства, комісії із закордонних справ, посольства, міжнародні та неурядові організації.

ShadyRat. У рамках цієї резонансної кампанії було зламано мережі державних органів, некомерційних організацій та великих підприємств у 14 країнах світу, всього налічується 70 постраждалих організацій.

Основні ознаки

У наші дні комплексні таргетовані погрози та атаки "нульового дня" йдуть пліч-о-пліч і широко висвітлюються в ЗМІ. І все ж, що вони являють собою і чим відрізняються від таких загроз, як троянці чи черв'яки?

Можна впевнено сказати, що це не звичайні аматорські атаки. З назви ясно, що такі загрози працюють на основі передових технологій, а також кількох методів та векторів для цілеспрямованих атак на конкретні організації з метою отримання конфіденційної чи секретної інформації.

Творці комплексних таргетованих загроз сильно відрізняються від авторів загроз виду скрипт-кідді, які запускають SQL-атаки, або середньостатистичного автора шкідливого ПЗ, що здає ботнети тому, хто запропонує найвищу ціну. Зазвичай такі передові загрози плануються великими організованими синдикатами, які мають у своєму розпорядженні цілі команди експертів, які мають безліч технологій збору розвідувальних даних. Оскільки ці загрози діють поступово, не привертаючи уваги, і вміють приховувати сліди своєї діяльності, їх все частіше віддають перевагу кіберзлочинцям, вороже настроєним урядам, терористам і злочинним синдикатам.

Схема роботи

У реалізації комплексних таргетованих погроз кіберзлочинці використовують шкідливі програми для отримання персоналізованої інформації, яка допомагає здійснити другий етап атаки. Після цього йдуть у хід індивідуальні технології соціальної інженерії, Мета яких - впровадитися в організацію через її найслабше місце: кінцевого користувача.

На цьому етапі атаки метою є особи, які мають доступ до потрібних облікових записів. При цьому використовуються переконливі листи, які нібито надіслано з відділу кадрів чи іншого надійного джерела. Одне необережне клацання мишею в такому листі – і кіберзлочинці отримують вільний доступ до найцінніших відомостей організації, але ніхто про це навіть не підозрює. Отримавши доступ до системи, комплексна загроза, що таргетує, задіяє різноманітні троянці, віруси та інші шкідливі програми. Вони заражають мережу та створюють безліч "лазівок", які можуть невизначено довго залишатися на робочих станціях та серверах. Весь цей час загроза непоміченої переміщається з одного комп'ютера на інший у пошуках заданої мети.

Експлойти "нульового дня"

Улюбленим інструментом комплексних загроз, що таргетують, незмінно є експлойти "нульового дня". Ця ємна назва добре відображає суть загроз, які мають уразливості безпеки в програмах до того, як постачальник усуне їх або хоча б дізнається про їх існування. Таким чином, між першою атакою та виправленням проходить менше одного дня – "нуль днів". У результаті кіберзлочинці набувають повної свободи дій. Не боячись відплати вони використовують переваги атаки, від якої немає відомих способів захисту.

Шкідливі програми, що використовують вразливість "нульового дня", можуть непомітно завдати серйозної шкоди організації. Вони націлені на крадіжку інформації, що захищається, такий, як вихідний код, інтелектуальна власність, плани військових організацій, дані оборонної галузі та інші урядові таємниці, які використовуються в шпигунстві. Коли організація дізнається про атаку, для відділу зв'язків із громадськістю це обертається кошмаром наяву. Збитки обчислюються мільйонами: адже потрібно не тільки провести ревізію інфраструктури безпеки, а й виплатити судові витрати, а також впоратися з наслідками відтоку клієнтів. Не кажучи вже про те, скільки сил, часу та коштів йде на відновлення репутації та довіри клієнтів.

Комплексні таргетовані погрози та експлойти "нульового дня" – це далеко не нові явища. Вперше вони були застосовані кілька років тому, задовго до того, як ці терміни увійшли до жаргону фахівців з безпеки. Досі багато організацій навіть не здогадуються про те, що вже кілька місяців (а часом і років) стали жертвою прихованої атаки "нульового дня". Згідно з звітом Verizon про порушення безпеки даних, 2,44% таких порушень, пов'язаних з інтелектуальною власністю, виявляються лише за кілька років.

Показовий приклад: у звіті, опублікованому газетою Christian Science Monitor3, йдеться, що ще у 2008 р. три нафтові компанії – ExxonMobil, Marathon Oil та ConocoPhilips – стали жертвами цільових кібератак, проведених з використанням комплексних таргетованих загроз. У ході атак (імовірно, китайського походження) кіберзлочинці завантажили на віддалений серверкритично важливу інформацію про кількість, цінність та розташування відкритих нафтових родовищ у світі. Проте сам факт атаки компанії виявили лише після того, як ФБР повідомила про крадіжку у них конфіденційної інформації.

До 2011 р. комплексні таргетовані погрози по праву зайняли одне з перших місць у низці загроз безпеці. Адже саме через них такі компанії, як Sony, Epsilon, HBGary та DigiNotar, зазнали цього року величезних збитків. Не кажучи вже про компанію RSA, яка втратила майже 40 млн. файлів з одноразовими паролями для електронних ключів. Загалом, збій системи безпеки RSA4 обійшовся компанії приблизно $66 млн, тоді як збитки Sony5 від втрати 100 млн записів склали $170 млн.

На кінець 2011 р. було зафіксовано не менше 535 порушень захисту даних, внаслідок яких було втрачено 30,4 млн. записів. Багато компаній стали жертвою ряду сенсаційних атак цього року, повідомляє Privacy Rights Clearinghouse. І це лише мала частина відомих порушень, адже щороку відбуваються тисячі порушень систем безпеки, які не виявляються або не розкриваються.

Від комплексних загроз, що таргетують, можна і потрібно захищатися. Про методи захисту йтиметься у статті "Комплексні таргетовані загрози: забезпечення захисту".

Для тих хто не знає, що таке "таргетована" атака прошу подкаст:)

Таргетована атака - це безперервний процес несанкціонованої активності в інфраструктурі системи, що атакується, віддалено керований в реальному часі вручну.

Виходячи з цього визначення загострюю вашу увагу на наступних моментах:
1) По-перше, це саме процес - діяльністьу часі, якась операція,а не просто разова технічна дія.
2) По-друге, процес призначений для роботи в умовах конкретної інфраструктури, покликаний подолати конкретні механізми безпеки, певні продукти, залучити до взаємодії конкретних працівників.

Слід зазначити суттєву різницю у підході масових розсилок стандартного шкідливого ПЗ, коли зловмисники мають зовсім інші цілі, по суті, отримання контролю над окремою кінцевою точкою. У разі цільової атаки вона будується під жертву.

На наведеному малюнку відображено чотири фази цільової атаки, що демонструють її життєвий цикл. Коротко сформулюємо основне призначення кожної з них:

Підготовка. Основне завдання першої фази – знайти мету, зібрати про неї досить детальну приватну інформацію, спираючись на яку виявити слабкі місця в інфраструктурі. Вибудувати стратегію атаки, підібрати раніше створені інструменти, доступні на чорному ринку або розробити необхідні самостійно. Зазвичай заплановані кроки проникнення будуть ретельно протестовані, зокрема, на невиявлення стандартними засобами захисту інформації.
Проникнення -активна фаза цільової атаки, що використовує різні техніки соціальної інженерії та вразливостей нульового дня, для первинного інфікування мети та проведення внутрішньої розвідки. Після закінчення розвідки та після визначення належності інфікованого хоста (сервер/робоча станція) за командою зловмисника через центр управління може завантажуватися додатковий шкідливий код.
Розповсюдження- Фаза закріплення всередині інфраструктури переважно на ключові машини жертви. Максимально розповсюджуючи свій контроль, за необхідності коригуючи версії шкідливого коду через центри керування.
Досягнення мети- Ключова фаза цільової атаки.

Для того, щоб дослідити деякі комп'ютерні атаки, був розроблений віртуальний стенд з дослідження впливу комп'ютерних атак на елементи інформаційно-телекомунікаційної мережі.

Цей стенд (полігон) складається з:

1. моделі відкритого сегмента інформаційно-телекомунікаційної мережі;

2. моделі закритого сегментаінформаційно-телекомунікаційної мережі

Змодельована мережа складається з багатьох компонентів.

У відкритому сегменті хости (PC1-PC7) з'єднані в єдину мережу за допомогою маршрутизаторів Cisco 3745 (с3745). В окремих підрозділах хости об'єднані в мережу передачі даних за допомогою комутатора (SW1). У цій схемі комутатор (switch) тільки передає дані від одного порту до іншого на основі інформації, що міститься в пакеті, яка надійшла через маршрутизатор.

У закритому сегменті мережі використовуються криптомаршрутизатори, щоб шифрувати пакети даних, які виходитимуть із закритого сегмента мережі у відкритий. Якщо у зловмисника вдасться перехопити пакети даних цієї мережі, то він не зможе витягти з цих даних корисну інформацію.

Як об'єкт, що атакується, був вибраний Windows XP, що є частиною сегменту інформаційно-телекомунікаційної мережі. Дана система підключена до хмари «Реальна мережа Вихід» з IP-адресою: 192.168.8.101

Ну що ж, можна приступити до вивчення локальної мережі з метою визначення елементів комп'ютерної мережі для подальшої експлотації. Скористайтеся Netdiscovery.

Щоб дізнатися можливі вразливості мережі, що атакується, проскануємо дану мережу за допомогою утиліти для дослідження мережі та перевірки безпеки - Nmap («NetworkMapper»).

Під час сканування ми з'ясували, що система має відкриті порти, які представляють потенційні вразливості.
Наприклад, 445/TCPMICROSOFT-DS - використовується в Microsoft Windows 2000 та пізніх версій для прямого TCP/IP-доступу без використання NetBIOS (наприклад, Active Directory). Цей порт ми і залучимо, щоб отримати доступ до системи.

Тепер проводимо мережну атаку за допомогою Metasploit. Цей інструмент дозволяє імітувати мережну атаку і виявляти вразливість системи, перевірити ефективність роботи IDS/IPS, або розробляти нові експлоїти, зі створенням детального звіту.

Експлоїт спрацює, але необхідно вказати, що відбуватиметься після того, як спрацює експлоїт. Для цього відкриємо шелл-код, використовуватимемо його як корисне навантаження експлойту, що забезпечує нам доступ до командної оболонки в комп'ютерній системі.

У LHOST вказуємо IP-адресу системи, з якою буде здійснюватись атака.

Основною тенденцією останніх років називають зміщення акценту з масових атак на таргетовані або цільові, спрямовані проти конкретної компанії, організації або державного органу. І протистояти їм виявляється не надто просто, хоч і можливо.

Традиційні масові вірусні епідемії – акти банального вандалізму, які, взагалі кажучи, не приносять жодних матеріальних дивідендів. Тільки здобуття сумнівної популярності, яка, до того ж, триває не надто довго і яка, швидше за все, завершується арештом та тривалим тюремним терміном. Цільові атаки – справа зовсім інша. Тут засоби кібернападу використовуються або для прямої крадіжки коштів, або інформації, яку легко монетизувати, наприклад, реквізити платіжних карток або персональні дані, чорний ринок яких дуже розвинений.

Також за атаками, що таргетують, можуть стояти конкуренти. Їхньою метою можуть бути всілякі ноу-хау, інформація про проекти, що готуються, і нові продукти, інша інформація, критична для бізнесу. Втім, таку інформацію можна викрасти й іншими способами, наприклад, за допомогою нелояльних співробітників. Однак використання цільових атак часто менш клопітне з організаційної точки зору і займає менше часу, та й матеріальні витрати можуть бути нижчими.

Виявляють великий практичний інтерес до такого роду інструментів та спецслужби. Ця категорія найбільш підступна і небезпечна, оскільки за їх діями, швидше за все, немає прямого матеріального мотиву, але при цьому вони мають значні ресурси та кваліфіковані кадри, як власні, так і наймані. До речі, за найгучнішими акціями останнього часу, зокрема гучної атаки на компанію Sony Pictures, стояли якраз наймані хакери. Вдавалися до послуг кібернайманців та репортери скандально відомого британського таблоїду News of the World, які потрапили на стеження.

Також метою хактивістів і кібершпигунів може бути не тільки інформація, а й різноманітні диспетчерські системи та керуючі комплекси, атака на які може призвести до величезної шкоди. Так що ці об'єкти можуть стати мішенню і для терористичних атак.

В результаті, за даними глобального опитування, яке проводить консалтингова та аудиторська компанія PricewaterhouseCoopers (PwC), ризики, пов'язані з кібератаками, з 2012 року стійко входять до першої п'ятірки. Також подібні загрози називаються однією з основних перешкод для зростання бізнесу, оскільки служби безпеки часто перешкоджають впровадженню нових критичних ІТ систем внаслідок побоювань за їх можливу вразливість перед кібератаками. Також опитування PwC констатувало суттєве зростання кібератак, яке склало 60% у річному обчисленні. Середня шкода від кібератаки в розрахунку на компанію, за даними дослідження «2014 Cost of Cyber Crime Study», проведеного Ponemone Institute, результати якого було підведено восени 2014 року, склало 2,3 мільйона доларів.

Основну небезпеку кібератаки становлять великих компаній. Вони мають значні обсяги коштів або ліквідної інформації, яку легко монетизувати. Та й сам факт злому може бути предметом шантажу, оскільки великі регуляторні та репутаційні ризики, збитки від яких можуть бути вищими, іноді багаторазово, ніж витрати, пов'язані з крадіжкою як такої. Також великих збитків може завдати публічна демонстрація всілякого роду брудної білизни, як це було з Sony Pictures або жертвами стеження репортерів News of the World. Малі підприємства можуть просто не приймати ті самі карткові платежі і вони не оперують великими обсягами персональних даних.

Найбільш схильні до атак підприємства таких галузей як ПЕК, телекомунікації, високі технології, ВПК. Саме для них простіше щось вкрасти у конкурента, ніж створити аналог успішного продукту з нуля.

Цільова атака. Як це робиться

Все зводиться до того, що перехоплюється контроль над будь-яким пристроєм всередині мережі компанії, що атакується, звідти виходить доступ до бізнес-додатків і/або файл-серверам. Далі необхідна зловмисникам інформація збирається та передається за призначенням, зазвичай не безпосередньо.

Як правило, для таких цілей використовуються засоби віддаленого керуванняПК чи серверами. Найскладніше визначити те, де саме в корпоративній мережі можна знайти необхідну інформацію. Отже, потрібне проведення попередньої розвідки або наявність спільника всередині. Наприклад, потрібно знати, на якій платформі побудована КІС компанії, що атакується. А процедура отримання потрібної інформаціїу системах на базі 1С, SAP, Oracle, Microsoft істотно відрізняється.

Також надзвичайно поширена крадіжка багатьох категорій інформації в повністю автоматичному режимі. Такі інструменти користуються найбільшим попитом, оскільки проблема нестачі кадрів для зловмисників теж дуже гостро. Центри керування багатьма бот-мережами дозволяють налаштовувати окремі вузли не тільки на розсилку спаму або проведення DDoS атак, але й на пошук та передачу до обумовленого місця різних категорій даних: у тому числі реквізити банківських картокчи автентифікаційні дані для систем дистанційного банківського обслуговування (ДПВ). Тим більше, що клієнтів бот-мережі можна і доопрацювати під свої потреби за окрему, цілком помірну плату. Наприклад, автор одного із «популярних» банківських троянців брав за доопрацювання своєї програми близько 2000 дол.

Технологія застосування шкідливого ПЗ також дуже проста, хоча й змінюється з часом. Зараз користувачі набагато рідше відкривають файли, що виконуються, і корпоративні поштові сервери такі вкладення можуть блокувати. Проте й інші методи. Наприклад, заманити на заражену сторінку. Підготовка її займає лічені хвилини. Останнім часом більш популярно використовувати як контейнер для зловредів документи у форматах Microsoft Office або Adobe PDF. У російських умовах цьому сприяє традиції, що склалися, роботи з електронною поштою. До того ж самі бот-мережі в автоматичному режимі масово заражають ПК, у тому числі й корпоративні. Для цього використовуються всілякого роду вразливості у ПЗ. Як показало дослідження, проведене у 2014 році HP, 70% корпоративного програмного забезпечення містить уразливості. Дуже часто зловреди проникають через публічні незахищені Wi-Fi мережі, до яких багато хто підключає службові ноутбуки.

Іноді обидва підходи комбінують. Коли зловмисники розуміють, що їхній бот потрапив у мережу, наприклад, банку чи роздрібної мережі, на заражені комп'ютери впроваджується система віддаленого управління, з якого і проводиться те, що не дозволяє зробити бот.

Є способи проникнути в мережу, використовуючи інші пристрої, наприклад принтери, МФУ, деякі види мережевого обладнання. У їх прошивках теж є вразливості, часто серйозні, і при цьому ці прошивки оновлюють істотно рідше, ніж Операційні системина робочих станціях та серверах, і саме цим користуються зловмисники. А до належного налаштування мережевого обладнання у ІТ персоналу і часто, що називається, руки не доходять. Так що можна дуже часто зустріти комутатор, маршрутизатор або точку бездротового доступу, де не встигли змінити заводський пароль, який добре відомий. Якщо використовуються паролі, то і це часто не проблема для зловмисників. Так, зламування протоколу WEP займає лічені хвилини навіть на смартфоні. А саме такий використовують багато в тому числі і російські торгівельні мережідля захисту бездротових мереж. З'явилися методи злому та більш захищеного протоколу WPA, але даний процесвже може займати годинник.

Вразливе обладнання можна знайти за допомогою вардрайвінгу. Цей метод може зайняти багато часу, але при цьому дешевий і простий у виконанні. Саме так було проведено гучні злами американських роздрібних мереж Target і TJX, в ході яких було скомпрометовано кілька десятків мільйонів кредитних карток, а збитки вимірювалися мільярдами доларів. Але, знову ж таки, потрібно добре знати, де є необхідна інформація.

Також, за оцінкою PwC, зростає випереджаючими темпами кількість інцидентів, пов'язаних із діяльністю зовнішніх компаній. Втім, зазвичай це пов'язано з тим, що рівень захисту у зовнішніх підрядників значно нижчий, ніж зловмисники часто користуються. Буває і так, що певного роду зміни в інформаційні системивносять розробники як штатні, так і зовнішні. Як правило, йдеться про регулярне перерахування грошових сум (зовсім невеликих) на рахунки зловмисників. Але такого роду випадки трапляються не надто часто.

Як виявляти атаки та протистояти їм

Як уже було сказано вище, традиційні засоби захисту, перш за все, антивіруси та міжмережові екрани малоефективні проти шкідливого ПЗ, яке використовується в ході цільових атак. Тож дуже багато практик в галузі інформаційної безпеки рекомендують вважати, що атака вже йде.

Як правило, сам факт атаки виявляється внаслідок виявлення нетипової мережевої активності. Наприклад, коли обсяг мережевого трафікураптом з неясної причини виріс, що призвело до помітного збільшення рахунків оператора зв'язку. Або виявилося, що потоки даних йдуть у країну, де точно немає жодних постачальників, покупців, замовників, партнерів.

Звичайно, не варто сподіватися на те, що хтось із персоналу виявить такий факт і припинить зловмисну активність. Проте такі класи засобів захисту, як системи виявлення та запобігання атак (IDS/IPS) або моніторингу та кореляції подій (SIEM) дозволяють їх виявляти. Як показало дослідження «2014 Cost of Cyber Crime Study» ті, хто їх запровадив, загалом заощадили в розрахунку на компанію 5,3 млн. дол. за рахунок вищої ефективності.

Важливо, що є як IDS/IPD, так і SIEM системи з відкритим кодом, ліцензування яких не варте нічого. Потрібно лише виділити серверну потужність, причому ці засоби добре працюють і у віртуальному середовищі. Також варто нагадати, до комплекту поставки більшості представлених на ринку програмно-апаратних засобів міжмережевого екранування входять і IDS/IPS системи, можливостей яких цілком можливо.

В результаті вхідний поріг не такий вже й великий. Однак зворотною стороною є необхідність ретельного настроювання, яке, до того ж, необхідно час від часу актуалізувати. При цьому потрібне ще й гарне знання власної інфраструктури. Це, однак, повною мірою стосується і комерційних систем. Рік тому на порталі Habrahabr було проведено порівняльне тестування провідних IDS/IPS систем із коробки. Результат був бентежним: системи пропускали в кращому разі половину атак, причому йшлося про добре відомі сценарії (http://habrahabr.ru/company/it/blog/209714/).

Для SIEM системи також важливо забезпечити збереження журналів подій протягом досить тривалого часу, з чим часто виникають проблеми. Вони досягають великих обсягів (до десятків гігабайт за робочий день), а ємностей завжди не вистачає. Плюс, знову ж таки, необхідність ретельного налаштування кваліфікованим фахівцем.

З'являються і спеціалізовані засоби, спрямовані виключно на боротьбу з атаками, що таргетують, які з'являються в арсеналі цілого ряду вендорів, включаючи BlueCoat, CheckPoint, InfoWatch. Однак це досить молодий клас ПЗ з великою кількістю «дитячих хвороб», і використовувати його варто з обережністю.

Також необхідно регулярно проводити тести на проникнення, причому за умов, що називається, максимально наближених до бойових. Тільки таким чином можна виявляти потенційні «дірки» у захисті, якими можуть скористатися зловмисники.

Найважливішою умовою є підвищення поінформованості персоналу. Потрібно регулярно доводити те, якими методами можуть користуватися зловмисники, як діяти в умовах тих чи інших інцидентів тощо. Що менше тих, хто потенційно може піти на поводу у зловмисників, то краще.

ВЕНІАМІН ЛЕВЦІВ, віце-президент, голова корпоративного дивізіону "Лабораторії Касперського"
МИКОЛА ДЕМІДІВ, технічний консультант з інформаційної безпеки "Лабораторії Касперського"

Анатомія таргетованої атаки
Частина 1

З кожним роком організації удосконалюють інструменти ведення бізнесу, запроваджуючи нові рішення, одночасно ускладнюючи ІТ-інфраструктуру. Тепер, коли в компанії зависає поштовий сервер, з кінцевих робочих місць стирається важлива інформаціяабо порушується робота автоматизованої системи формування рахунків до оплати, бізнес-процеси просто зупиняються

Усвідомлюючи зростаючу залежність від автоматизованих систем, бізнес також готовий все більше дбати про забезпечення інформаційної безпеки. Причому шлях створення системи ІБ залежить від ситуації у цій конкретній організації – від інцидентів, переконань конкретних співробітників – і часто формується «знизу», від окремих підсистем ІБ до загальної картини.

В результаті створюється багатоступінчаста єдина у своєму роді система, що складається з різних продуктів і сервісних робіт, складна, як правило, унікальна у кожної компанії, де фахівці з ІБ можуть:

перевіряти файли за допомогою систем безпеки кінцевих точок;
фільтрувати поштовий та веб-трафік за допомогою шлюзових рішень;
відстежувати цілісність та незмінність файлів та системних налаштувань;
контролювати поведінку користувачів та реагувати на відхилення від звичайної моделі трафіку;
сканувати периметр та внутрішню мережу на предмет уразливостей та слабких конфігурацій;
впроваджувати системи ідентифікації та аутентифікації, шифрувати диски та мережеві з'єднання;
інвестувати в SOC для збирання та кореляції логів та подій від згаданих вище підсистем;
замовляти тести на проникнення та інші послуги для оцінки рівня безпеки;
приводити систему у відповідність до вимог стандартів та проводити сертифікації;
вивчати персонал основ комп'ютерної гігієни і вирішувати ще безліч подібних завдань.

Але, попри це, кількість успішних, тобто. атак, що досягають своєї мети, на ІТ-інфраструктури не зменшується, а збитки від них зростають. За рахунок чого вдається зловмисникам долати складні системи безпеки, як правило, унікальні за своїм складом і структурою?

Відповідь досить коротка: за рахунок підготовки та проведення складних атак, що враховують особливості цільової системи.

Поняття цільової атаки

Саме час дати визначення, точно, на думку, відбиває поняття цільової, чи таргетированной, атаки.

Цільова атака – це безперервний процес несанкціонованої активності в інфраструктурі системи, що атакується, віддалено керований в реальному часі вручну.

По-перше, це саме процес – діяльність у часі, якась операція, а не просто разова технічна дія. Провівши аналіз подібних атак, експерти «Лабораторії Касперського» зазначають, що їхня тривалість становить від 100 днів і більше.

По-друге, процес спрямований на роботу в умовах конкретної інфраструктури, покликаний подолати конкретні механізми безпеки, певні продукти, залучити до взаємодії конкретних співробітників. Слід зазначити суттєву різницю у підході масових розсилок стандартного шкідливого ПЗ, коли зловмисники мають зовсім інші цілі – по суті, отримання контролю над окремою кінцевою точкою. У разі цільової атаки вона будується під жертву.

По-третє, ця операція зазвичай керується організованою групоюпрофесіоналів, часом міжнародної, озброєної витонченим технічним інструментарієм, по суті – бандою. Їхня діяльність справді буває дуже схожа на багатоходову військову операцію. Наприклад, зловмисниками складається список співробітників, які потенційно можуть стати "вхідними воротами" в компанію, з ними встановлюється зв'язок у соціальних мережах, вивчаються їх профілі. Після цього вирішується завдання отримання контролю за робочим комп'ютером жертви. В результаті його комп'ютер заражений, і зловмисники переходять до захоплення контролю над мережею та безпосередньо злочинних дій.

У ситуації цільової атаки не комп'ютерні системиб'ються один з одним, а люди: одні нападають, інші відбивають добре підготовлений напад, що враховує слабкі сторони та особливості систем протидії.

В даний час все більшого поширення набуває термін APT – Advanced Persistent Threat. Давайте розберемося і з визначенням.

APT – це комбінація утиліт, шкідливого програмного забезпечення, механізмів використання вразливостей «нульового дня», інших компонентів, спеціально розроблених для реалізації цієї атаки.

Практика показує, що APT використовуються повторно і багаторазово надалі щодо повторних атак, мають схожий вектор, проти вже інших організацій.

Цільова, або таргетована атака - це процес, діяльність. APT – технічний засіб, який дозволяє реалізувати атаку.

Можна сміливо стверджувати, що активне поширення цільових атак зумовлено, зокрема, і сильним скороченням вартості та трудовитрат у реалізації самої атаки. Велика кількість раніше розроблених інструментів доступна хакерським угрупованням, часом відсутня гостра необхідність створювати екзотичні шкідливі програми з нуля. Здебільшого сучасні цільові атаки побудовані на раніше створених експлойтах і в шкідливому ПЗ, лише мала частина використовує абсолютно нові техніки, які переважно ставляться до загроз класу APT. Іноді в рамках атаки використовуються і абсолютно легальні, створені для «мирних» цілей утиліти – нижче ми повернемося до цього питання.

Стадії цільової атаки

У цьому матеріалі нам хочеться озвучити основні етапи атаки, що таргетує, заглянути всередину, показати скелет загальної моделі і відмінності застосовуваних методів проникнення. У експертному співтоваристві склалося уявлення, що цільова атака, зазвичай, у розвитку проходить через чотири фази (див. рис. 1).

Підготовка– основне завдання першої фази – знайти мету, зібрати про неї досить детальної приватної інформації, спираючись на яку, виявити слабкі місця в інфраструктурі. Вибудувати стратегію атаки, підібрати раніше створені інструменти, доступні на чорному ринку або розробити необхідні самостійно. Зазвичай заплановані кроки проникнення будуть ретельно протестовані, зокрема, на невиявлення стандартними засобами захисту інформації.
Проникнення– активна фаза цільової атаки, що використовує різні техніки соціальної інженерії та вразливостей нульового дня для первинного інфікування мети та проведення внутрішньої розвідки. Після закінчення розвідки та визначення приналежності інфікованого хоста (сервер/робоча станція) за командою зловмисника через центр управління може завантажуватися додатковий шкідливий код.
Розповсюдження- Фаза закріплення всередині інфраструктури переважно на ключові машини жертви. Максимально розповсюджуючи свій контроль, за необхідності коригуючи версії шкідливого коду через центри керування.
Досягнення мети- ключова фаза цільової атаки, залежно від обраної стратегії в ній можуть застосовуватися:
- розкрадання закритої інформації;
- умисне зміна закритої інформації;
- маніпуляції із бізнес-процесами компанії.

На всіх етапах виконується обов'язкова умова приховування слідів активності цільової атаки. При завершенні атаки часто буває, що кіберзлочинці створюють для себе "Точку повернення", що дозволяє їм повернутися у майбутньому.

Перша фаза цільової атаки – Підготовка

Виявлення мети

Метою для атаки може стати будь-яка організація. А починається все із замовлення чи загальної розвідки чи, точніше, моніторингу. Під час тривалого моніторингу світового бізнес-ландшафту хакерські групи використовують загальнодоступні інструменти, такі як RSS-розсилки, офіційні Twitter-акаунти компаній, профільні форуми, де обмінюються інформацією різні співробітники. Все це допомагає визначити жертву та завдання атаки, після чого ресурси групи переходять до етапу активної розвідки.

Збір інформації

Зі зрозумілих причин жодна компанія не надає відомості про те, які технічні засобивона використовує, зокрема захисту інформації, внутрішній регламент тощо. Тому процес збирання інформації про жертву називається «розвідка». Основне завдання розвідки, збирання цільової приватної інформації про жертву. Тут важливими є всі дрібниці, які допоможуть виявити потенційні слабкі місця. У роботі можуть бути використані найнетривіальніші підходи для отримання закритих первинних даних, наприклад, соціальна інженерія. Ми наведемо кілька технік соціальної інженерії та інших механізмів розвідки, які застосовуються на практиці.

Способи проведення розвідки:

Інсайд.Існує підхід із пошуком нещодавно звільнених співробітників компанії. Колишній співробітник компанії отримує запрошення на звичайну співбесіду на дуже привабливу позицію. Ми знаємо, що досвідчений психолог-рекрут може розговорити майже будь-якого співробітника, який бореться за позицію. Від таких людей отримують досить великий обсяг інформації для підготовки та вибору вектора атаки: від топології мережі та засобів захисту до інформації про приватне життя інших співробітників.

Буває, що кіберзлочинці вдаються до підкупу необхідних їм людей у компанії, які володіють інформацією, або входять до кола довіри шляхом дружнього спілкування у громадських місцях.

Відкриті джерела.У цьому прикладі хакери використовують недобросовісне ставлення компаній до паперових носіїв інформації, які викидають на смітник без правильного знищення, серед сміття можуть бути знайдені звіти та внутрішня інформація, або, наприклад, сайти компанії, які містять реальні імена співробітників у загальному доступі. Отримані дані можна буде поєднувати з іншими техніками соціальної інженерії.

Внаслідок цієї роботи організатори атаки можуть мати достатньо повну інформаціюпро жертву, включаючи:

імена співробітників, email, телефон;
графік роботи підрозділів підприємства;
внутрішню інформацію про процеси у компанії;
інформацію про бізнес-партнерів.

Державні портали закупівель також є добрим джерелом отримання інформації про рішення, які впроваджено у замовника, у тому числі про системи захисту інформації. На перший погляд, наведений приклад може здатися несуттєвим, але насправді це не так. Перерахована інформація успішно застосовується в методах соціальної інженерії, дозволяючи хакеру легко завоювати довіру, оперуючи отриманою інформацією.

Соціальна інженерія

Телефонні дзвінки від імені внутрішніх працівників.
Соціальні мережі.

Використовуючи соціальну інженерію, можна досягти значного успіху в отриманні закритої інформації компанії: наприклад, у разі телефонного дзвінка зловмисник може представитися від імені працівника інформаційної служби, поставити правильні питання або попросити виконати потрібну команду на комп'ютері. Соціальні мережі добре допомагають визначити коло друзів та інтереси потрібної людини, така інформація може допомогти кіберзлочинцям виробити правильну стратегію спілкування з майбутньою жертвою.

Розробка стратегії

Стратегія є обов'язковою у реалізації успішної цільової атаки, вона враховує весь план дій усім стадіях атаки:

опис етапів атаки: проникнення, розвиток, досягнення цілей;
методи соціальної інженерії, які використовуються вразливості, обхід стандартних засобів безпеки;
етапи розвитку атаки з урахуванням можливих позаштатних ситуацій;
закріплення всередині; підвищення привілеїв; контроль над ключовими ресурсами;
вилучення даних, видалення слідів, деструктивні дії.

Створення стенду

Спираючись на зібрану інформацію, група зловмисників починає створення стенду з ідентичними версіями експлуатованого ПЗ. Полігон, що дозволяє випробувати етапи проникнення вже на діючій моделі. Відпрацювати різні техніки прихованого впровадження та обходу стандартних засобів захисту інформації. По суті, стенд є головним мостом між пасивною та активною фазами проникнення в інфраструктуру жертви. Створення подібного стенду обходиться недешево для хакерів. Витрати виконання успішної цільової атаки зростають з кожним етапом.

Розробка набору інструментів

Перед кіберзлочинцями постає непростий вибір: їм важливо визначитися між фінансовими витратами на купівлю вже готових інструментів на тіньовому ринку та трудовитратами та часом для створення власних. Тіньовий ринок пропонує досить широкий вибір різноманітних інструментів, що значно скорочує час, за винятком унікальних випадків. Це другий крок, який виділяє цільову атаку як одну з найбільш ресурсомістких серед кібератак.

Розглянемо набір інструментів у деталях. Як правило, Toolset складається з трьох основних компонентів:

1. Командний центр, або Command and Control Center(C&C). Основою інфраструктури атакуючих є командно-контрольні центри C&C, що забезпечують передачу команд підконтрольним шкідливим модулям, з яких вони збирають результати роботи. Центром атаки є люди, які проводять атаку. Найчастіше центри розташовуються в інтернеті у провайдерів, що надають послуги хостингу, колокації та оренди. віртуальних машин. Алгоритм оновлення, як і всі алгоритми взаємодії з «господарями», можуть динамічно змінюватися разом зі шкідливими модулями.

2. Інструменти проникнення вирішують завдання «відкриття дверей» віддаленого хоста, що атакується:

Експлойт (Exploit)– шкідливий код, який використовує вразливість у програмному забезпеченні.
Валідатор- Шкідливий код застосовується у випадках первинного інфікування, здатний зібрати інформацію про хост, передати її С&C для подальшого прийняття рішення про розвиток атаки або повну її скасування на конкретній машині.
Завантажувач (Downloader) модуля доставки Dropper.Завантажувач дуже часто використовується в атаках, побудованих на методах соціальної інженерії, відправляється вкладенням у поштових повідомленнях.
Модуль доставки Dropper – шкідлива програма(як правило, троян), завданням якої є доставка основного вірусу Payload на заражену машину жертви, призначена для:
- закріплення всередині зараженої машини, прихованого автозавантаження, інжектування процесів після перезавантаження машини;
- Inject у легітимний процес для закачування та активації вірусу Payload по шифрованому каналу або вилучення та запуску зашифрованої копії вірусу Payload з диска.

Виконання коду протікає в інжектованому легітимному процесі із системними правами, така активність дуже складно детектується стандартними засобами безпеки.

3. Тіло вірусу Payload. Основний шкідливий модуль в цільовій атаці, що завантажується на інфікований хост Dropper, може складатися з декількох функціональних допмодулів, кожен з яких виконуватиме свою функцію:

клавіатурний шпигун;
запис екрану;
віддалений доступ;
модуль розповсюдження всередині інфраструктури;
взаємодія з C&C та оновлення;
шифрування;
очищення слідів активності, самознищення;
читання локальної пошти;
пошук інформації на диску

Як бачимо, потенціал розглянутого набору інструментів вражає, а функціонал модулів і технік може сильно відрізнятися залежно від планів цільової атаки. Цей факт підкреслює унікальність таких атак.

Підсумовуючи, важливо відзначити зростання цільових атак, спрямованих проти компаній найрізноманітніших секторів ринку, високу складність їх виявлення і колосальний збиток від їх дій, який не гарантовано може бути виявлений через тривалий термін. За статистикою "Лабораторії Касперського", в середньому виявлення цільової атаки відбувається через 200 днів з моменту її активності, це означає, що хакери не тільки досягли своїх цілей, але й контролювали ситуацію протягом більш ніж половини року.

Також організації, які виявили факт присутності APT у своїй інфраструктурі, не здатні правильно реагувати та мінімізувати ризики та нейтралізувати активність: такому просто не навчають персонал, який відповідає за інформаційну безпеку. Внаслідок цього кожна третя компанія не на один тиждень припиняє свою діяльність у спробах повернути контроль над власною інфраструктурою, потім стикаючись із складним процесом розслідування інцидентів.

За даними опитування «Лабораторії Касперського», втрати в результаті великого інциденту становлять у середньому у світі $551 000 для корпорації: у цю суму входять втрачені для бізнесу можливості та час простою систем, а також витрати на професійні сервіси для ліквідації наслідків. (Дані дослідження « Інформаційна безпекабізнесу», проведеного «Лабораторією Касперського» та B2B International у 2015 році. У дослідженні взяли участь понад 5500 ІТ-фахівців із 26 країн світу, включаючи Росію.)

Про те, як розвивається атака, про методи обходу стандартних засобів захисту та експлуатації загроз нульового дня, соціальної інженерії, поширення та приховування слідів при розкраданні ключової інформації та багато іншого – наступних статтях циклу «Анатомія таргетованої атаки».