В продолжение темы, статья от 28.06.2022г.
Глобальное цифровое пространство становится площадкой для жесткого, бескомпромиссного информационного противоборства, что в любой момент может привести не только к нанесению значительного ущербу любому бизнесы, но и дестабилизации социально-политической обстановки в любой стране, к межгосударственным мировым конфликтам.
Каждая атака на крупную компанию — результат долгой работы киберпреступников, которые ищут уязвимости в инфраструктуре, продумывают сценарий и подбирают инструменты. Затем происходит взлом и распространение вредоносного кода по инфраструктуре компании. Преступники могут несколько месяцев находиться внутри корпоративной сети, прежде чем зашифровать файлы и выдвинуть свои требования. Мы продолжаем знакомить вас со спецификой сферой существования киберпреступников. В этой статье расскажем о не менее опасных хакерских группировках чем шифровальщик, о так называемых АРТ кибергруппировках с их сложными и целенаправленными атаками (атаки типа advanced persistent threat, APT-атаки).
АРТ-атака (Advanced Persistent Threat) – это целевая продолжительная атака повышенной сложности, задача которой является обнаружение на устройстве пользователя секретной, конфиденциальной или любой ценной информации и использование ее в интересах киберпреступников. Эти атаки не являются случайными. Хакеры тщательное выбирают своих жертв среди крупных компаний, правительственных организаций, которые имеют дело с сверхсекретными данными, например, военными и финансовыми вопросами или патентами.
Чтобы попасть во внутреннюю сеть, взломщикам необходима «точка входа» — компьютер, который они заразят вредоносным ПО и с которого начнут дальнейшее перемещение по сети организации. Большинство группировок пытаются доставить вредоносное ПО с помощью фишинга, то есть путем рассылки электронных писем, цель которых — вынудить получателя открыть приложенный файл (spearphishing attachment) или перейти по ссылке (spearphishing link).
Поиск учетной записи администратора домена и узлов, с которых есть доступ к промышленным системам, предполагает активное перемещение по сети. Киберпреступники понимают, что одно их неосторожное действие приведет к обнаружению средствами защиты предполагаемой жертвы. Поэтому каждая вторая APT-группировка старается их отключить, переконфигурировать или как-то иначе нарушить их работоспособность. Например, троян группировки RTM проверяет на скомпрометированном компьютере наличие антивируса ESET. Если антивирус установлен, троян повреждает его лицензионный файл и затем этот файл удаляет.
Для выполнения действий в системе злоумышленники по возможности будут обходиться без установки программ на компьютер жертвы, так как их сложно скрыть от средств защиты. Там, где можно обойтись без файлов, они используют так называемые бестелесные техники. Например, одни APT-группировки запускают скрипты PowerShell, а другие используют WMI (инструментарий управления Windows (WMI) — подсистема PowerShell, которая обеспечивает администраторам доступ к мощным инструментам системного мониторинга). Эти инструменты популярны у злоумышленников, поскольку ими пользуются IT-специалисты, следовательно, действия атакующих, когда они используют PowerShell и WMI, сложно отличить от легитимных действий.
Некоторые группировки используют технику data obfuscation (обфускаторы — утилиты, способные сделать код приложения гораздо более запутанным и сложным для чтения), направленную на затруднение анализа вредоносного трафика. Например, группировка APT37 применяет для защиты C&Cкоммуникаций методы стеганографии: загрузчик скачивает на компьютер жертвы изображение, в котором зашифрована полезная нагрузка.
В своей основе можно выделить некоторые признаки АРТ-атаки.
Целевые фишинговые сообщения в электронной почте
Хакерам нужен вход в систему, и для этого они с использованием целевого фишинга (рассылка не персонализированных электронных писем всем сотрудникам компании с целью получения личной информации или данных у как можно большего количества персонала), по средствам электронной почты, основываясь на данных ранее проведенной разведки перед атакой. Сообщения могут содержать зараженное вложение или ссылку и при входе (открытии вложения или ссылки), загружается программа обеспечивающая доступ к системе компании. В последующем, с получением идентифицирующих и персональных данных, злоумышленники, выбирают темы, которые могут вызвать интерес у нужных им сотрудников, применяя Тагетированный фишинг, нацеливаются на конкретных людей в конкретных компаниях, а ранее добытую ранее личную информацию, используют, чтобы казаться более убедительными в своих фишинговых сообщениях.
Такие действия классифицируются, как мошенничество (ст. 159 УК РФ).
Старые логины
Особое внимание должно уделяться, входам, которые были осуществлены под старыми и давно не использующимися логинами, в нерабочее время или выполнялись с использованием необычных шаблонов входа. Такие действия киберпреступников обусловлены тем, что в нерабочие дни в офисе мало или вообще нет персонала, который мог бы заметить и остановить подозрительную активность. В ходе продвижения по сети, хакеры могут найти Active Directory, почтовый или файловый сервер и получить к ним доступ через эксплойт. И если этот способ не применим – попытаться взломать учетные записи администраторов. IT-специалисты компании, должны отслеживать и анализировать количество входов в сеть, своевременно, неизвестные и подозрительные сообщения выделять как «спам» и удалять их. Проверка неудачных и успешных попыток входа, поможет своевременно пресечь попытки злоумышленников перемещаться по сети.
Перемещение данных
Не оставляйте без внимания случаи пересылки больших пакетов информации, изменения месторасположения файлов или перемещения данных с сервера на сервер. Отслеживайте информацию, передаваемую с компьютера на компьютер внутри сети, а также данные, отправляемые на внешние устройства. Контролируйте необычные подключения, в том числе — к внешним ресурсам.
Обращайте внимание на большие файлы, которые находятся не там, где они должны быть. Часто злоумышленники группируют и сжимают данные, прежде чем экспортировать их из вашей системы. Это позволяет преступникам одновременно перемещать большие объемы данных.
Также, один из признаков может указать, что хакеры готовятся экспортировать пакеты данных, — это появление на ресурсах компании архивов, формат которых в самой компании обычно не используется.
Умение обнаружить сочетание нескольких проявленных признаков, поможет своевременно упредить и локализовать возможно готовящуюся АPT-атаку. Однако, также мы рекомендуем, установить партнерские отношения с опытным поставщиком решений кибербезопасности и использовать специализированные средства защиты от APT-атак для их своевременного обнаружения и устранения.
APT-группировки всегда готовы использовать любые уязвимости в системе. Именно поэтому, так важно регулярно обновлять программы кибербезопасности. Если не устанавливать обновления или делать это с опозданием, компания становится уязвимой для атак.
Не предоставляйте автоматически права администратора сотрудникам, которым они не нужны, что обеспечит безопасность конфиденциальной информации. Персонализируйте доступ к данным и возможность их редактирования, чтобы уменьшить вероятность случайных изменений. Примите меры к тому, чтобы наиболее ценные данные было сложнее найти и скопировать.
Структуру собственного бизнеса руководители должны знать, в полной мере представлять её размеры и уровень сложности, понимать какие данные могут быть похищены недоброжелателями и понимать, что профилактика всегда лучше, чем лечение после атаки. Поэтому, для упреждения и предотвращения начального этапа атаки необходимо иметь подразделение IT-специалистов, которые способны изучить программы-шифровальщики и знать способы безопасного использования устройств компании. А постоянное сотрудничество с компанией по кибербезопасности с опытом противодействия APT-атакам, позволит активно отслеживать цифровой отпечаток компании для обеспечения противодействия АРТ-группам и своевременно применить необходимые защитного характера решения.
Необходимо понимать, что уязвимости баз данных, языков программирования и технологий, для проведения АРТ-атаки на сетевые ресурсы компании, у всех разные. Мы постарались обобщить проблему на момент 2022г.
Также, рекомендуем ознакомиться с базой знаний «MITRE ATT&CK», которая разработана и поддерживается корпорацией MITRE на основе анализа реальных APT-атак. Представляет собой наглядную таблицу тактик, для каждой из которых указан список возможных техник и позволяет структурировать знания об APT и категорировать действия злоумышленников.
P.S.
1000 ЗАДЕРЖАННЫХ В 20 СТРАНАХ
В РАМКАХ БОРЬБЫ ИНТЕРПОЛА С ФИНАНСОВЫМИ ПРЕСТУПЛЕНИЯМИ, СВЯЗАННЫМИ С КИБЕРПРОСТРАНСТВОМ
(THE HINDU. НЬЮ-ДЕЛИ, NOVEMBER 27, 2021 г. IS)
В конце ноября 2021 года Интерпол провел масштабную операцию по задержанию киберпреступников. В ходе операции, правоохранительные органы более чем из 20 стран арестовали более 1 тыс. человек и перехватили около $27 млн незаконных выведенных средств в рамках борьбы с финансовыми преступлениями с использованием кибертехнологий.
Операция под кодовым названием HAECHI-II проводилась с июня по сентябрь 2021 года. В ней приняли участие специализированные полицейские подразделения из 20 стран, включая Гонконг и Макао, которые занимались конкретными видами интернет-мошенничества, такими как романтические аферы, инвестиционное мошенничество и отмывание денег, связанных с незаконными азартными играми в интернете. В результате данной специальной операции были арестованы 1 тыс. человека, а следователи закрыли 1,6 тыс. дел. Были заблокированы 2,3 тыс. банковских счетов, связанных с незаконными доходами от финансовых преступлений и было выявлено 10 новых преступных методов работы. В ходе операции сотрудники Интерпола опробовали новый глобальный механизм прекращения платежей, протокол быстрого реагирования по борьбе с отмыванием денег (ARRP), который оказался решающим для успешного перехвата незаконных средств в нескольких случаях в операции HAECHI-II.
Это вторая подобная операция в рамках проекта, запущенного в 2019 году для борьбы с финансовыми преступлениями с использованием кибертехнологий при участии стран-членов Интерпола на всех континентах. Интерпол планирует официально запустить ARRP в 2022 году.
Используя новую сеть ARRP, были задействованы каналы международного полицейского сотрудничества между бюро Интерпола в Пекине, Боготе и Гонконге.
Благодаря такому уровню глобального сотрудничества и координации национальные правоохранительные органы могут эффективно бороться с пандемией киберпреступности.