Rambler's Top100
Статьи ИКС № 2 2021
Николай НОСОВ  09 июня 2021

Ландшафт угроз: мейнстрим и новации

Главной проблемой кибербезопасности стали программы-шифровальщики, а основным каналом распространения зловредов остаются электронные письма. Набирают «популярность» атаки через цепочку поставок, риски которых снизят лишь жесткие требования к интеграторам и разработчикам ПО.

Взлом года 

Успешная атака на компанию – разработчика ПО для бизнеса SolarWinds, выявленная в декабре 2020 г., стала самым резонансным событием минувшего года в области информационной безопасности. Достаточно сказать, что тема взлома, бездоказательно приписываемого русским хакерам, наряду с вопросом продления договора СНВ-3 обсуждалась в ходе первого телефонного разговора нового президента США с президентом России.

Это неудивительно – в список пострадавших от атаки попали госдеп США, министерства внутренней безопасности, финансов и энергетики США, Национальное управление ядерной безопасности страны и некоторые штаты. Хакеры в течение нескольких месяцев отслеживали электронные письма сотрудников, отправленные через Office 365 в Национальное управление по телекоммуникациям и информации Министерства торговли США. Под удар попал и ряд компаний, среди которых такие гиганты, как Microsoft и Cisco.

Список жертв продолжает пополняться – ими могут быть все пользователи платформы мониторинга и управления локальной, гибридной и облачной инфраструктурой SolarWinds Orion, получившие обновление в марте-июне 2020 г.

Первое сообщение о последствиях атаки поступило 8 декабря 2020 г. Злоумышленники с использованием украденных учетных данных зарегистрировали устройство в системе многофакторной идентификации компании FireEye. После того, как система защиты предупредила службу безопасности о появлении неизвестного устройства, специализирующаяся на кибербезопасности компания FireEye поняла, что ее система взломана.

Расследование привело к SolarWinds. Выяснилось, что хакеры получили доступ к системе сборки SolarWinds Orion, добавили в один из файлов обновления бэкдор, причем до заключительного этапа сборки. Содержащий вредоносный код DLL-файл имел цифровую подпись и без проблем распространился среди клиентов через платформу автоматического обновления. 

После внедрения бэкдор проводил проверки, чтобы убедиться, что работает в реальной корпоративной сети, а не на компьютере аналитика. И даже проверял окружение на предмет запущенных процессов, связанных с обеспечением безопасности. Затем, по истечении случайно выбранного времени задержки, связывался с удаленным сервером, чтобы получить задание для исполнения на зараженном компьютере, оказавшемся в полном распоряжении злоумышленника.

Под удар попало и облако Мicrosoft Azure, где хакеры получали административный доступ к Active Directory жертв.

 
Чтобы выявить бэкдор, подобный внедренному при атаке на SolarWinds, необходимо анализировать трафик в облаке, анализировать логи и, самое главное, вести непрерывный мониторинг с помощью наложенных средств информационной безопасности или встроенных средств, если они есть. Однако далеко не все облачные провайдеры предоставляют для анализа внутренний трафик или достаточный уровень логирования.

Алексей Новиков, директор экспертного центра Positive Technologies

«Риски атак через цепочку поставок (supply chain) с каждым годом растут. Решением может стать формулирование четких требований безопасности к интеграторам и разработчикам ПО, что рано или поздно сделают крупные заказчики», – считает директор экспертного центра Positive Technologies Алексей Новиков. 

«Одна из мер защиты от атак такого типа – формулирование требований к уровню доверия разработки систем и подтверждение соответствия, например, путем сертификации процесса разработки и самого продукта, – поддерживает коллегу директор экспертно-аналитического центра ГК «ИнфоВотч» Михаил Смирнов, но предупреждает: – Следует учесть, что выполнение требований неизбежно увеличит стоимость и время выпуска обновлений. Нужны работа квалифицированных специалистов по инфобезопасности, динамический анализ кода, а это долго и дорого». 

 
Необходим баланс между безопасностью и экономикой. Требования должны быть экономически обоснованы, исходя из рисков и моделей угроз, различающихся в разных отраслях.

Михаил Смирнов, директор экспертно-аналитического центра ГК «ИнфоВотч»

Хакеры убивают

Еще одно знаковое происшествие в сфере информационной безопасности произошло в сентябре 2020 г. в Германии. Кибератака привела к отказу информационных систем в крупной больнице в Дюссельдорфе – данные оказались зашифрованы вирусом-вымогателем DoppelPaymer. Женщину, поступившую для срочной госпитализации, пришлось отправить в другой город. По дороге она умерла. Немецкие СМИ объявили, что это первая смерть в результате атаки программы-вымогателя.
Информационные системы больницы вышли из строя на неделю. На одном из тридцати зашифрованных серверов осталась записка с требованиями вымогателей, причем она была обращена не к самой больнице, а к Университету Генриха Гейне, к которому больница относится. Полиция Дюссельдорфа установила контакт со злоумышленниками и сообщила им, что пострадала больница, а не университет, и что их действия поставили под угрозу жизнь пациентов. После этого преступники прекратили вымогательство и предоставили цифровой ключ для расшифровки данных. Прокуратура начала расследование в отношении неизвестных лиц по подозрению в непредумышленном убийстве по неосторожности.


Ключевые киберугрозы

Повышение рисков в сфере здравоохранения, обусловленное пандемией COVID-19, – один из основных трендов киберугроз 2020 г., отмечается в отчете Сisco Secure's Defending Against Critical Threats. Участились атаки на медицинские учреждения с требованием выкупа; компьютерные сети организаций, занимающихся исследованиями в области COVID-19, взламываются с целью кражи их секретов.

Снизилось число классических атак на финансовые организации с последующим выводом средств. Работа дропперов, обналичивающих похищенные деньги, в условиях локдаунов и пандемии сильно усложнилась, да и уровень защиты финансовых организаций значительно вырос.

Главной проблемой кибербезопасности в 2020 г. стали шифровальщики. Общее количество атак уменьшилось, но их опасность увеличилась. Вымогатели стали меньше интересоваться рядовыми пользователями – акцент сместился на предприятия. Доходы при атаке на компании на порядок выше, выплата выкупа – не эмоции, а обычные расходы, диктуемые целесообразностью бизнеса, да и потери часто покрывает страхование киберрисков. В результате, по оценке Cisco, 51% компаний пришлось столкнуться с вымогателями и у 97% из них проникновение в корпоративную сеть заняло в среднем 4 ч.

При атаках на корпоративные сети посредством программ-вымогателей начали применяться новые тактики. Например, злоумышленники встраивают в вымогатели таймеры обратного отсчета с угрозой полного уничтожения данных. Пострадавших шантажируют публикацией интеллектуальной собственности, коммерческих тайн и другой конфиденциальной информации. Данные жертв, отказывающихся платить, выкладывают в интернет или продают на черном рынке для запугивания и демонстрации серьезности намерений. Чаще встречаются объявления о продаже доступа к взломанным сетям.

Экономическая эффективность атак шифровальщиками сильно возросла: по данным Cisco, выкуп платит каждая четвертая успешно атакованная компания, средняя сумма выкупа составила $178 тыс. (для малого бизнеса – $5,9 тыс.), а в даркнете стоимость инструментария для атаки снизилась до $50.

Другой тренд – массовый переход на удаленную работу, который привел к размыванию периметра безопасности предприятий. По данным Cisco, в России у 24% компаний доля удаленных сотрудников составляет 76–100%, у 31% предприятий работают из дома 51–75% специалистов, у 27% предприятий удаленный формат взаимодействия используют 26–50% работников.

Зачастую удаленная работа с информационной системой предприятия ведется с помощью недостаточно защищенных домашних устройств. При успешной атаке на них злоумышленник крадет идентификационные данные, которые могут храниться в памяти, базах данных или в конфигурационных файлах. При помощи легальных паролей хакер получает незаметный доступ к сети организации. Кража – второй по распространенности после фишинга способ завладеть учетными записями, которые злоумышленники используют для взлома.

Каналы распространения

Как и прежде, основным каналом распространения зловредного ПО являются электронные письма. Но в последнее время их роль снизилась, поскольку общение стало смещаться в мессенджеры и социальные сети. Зато с переходом на удаленную работу резко возросло число атак через протокол RDP (Remote Desktop Protocol), причем этот канал доставки зловредов вышел на второе место. 

На третьей позиции находятся классические атаки drive-by download, когда человек, не понимая последствий, загружает программное обеспечение из интернета. 

Получила дальнейшее развитие специализация злоумышленников. Одни осуществляют проникновение в сеть жертвы, другие – непосредственно атаку, в том числе с помощью программ-вымогателей по сервисной модели (Ransomware-as-a-Service), платя комиссию с полученного выкупа предоставившим доступ злоумышленникам.

Сохранили свое значение и традиционные способы реализации киберугроз: использование слабых паролей и уязвимостей, USB-устройств и машинных носителей, вредоносной рекламы и сетевых червей.

В связи с нашумевшим делом SolarWinds отдельного упоминания заслуживает способ проникновения через цепочку поставок. Отвечая на вопрос нашего издания, бизнес-консультант по безопасности Cisco Алексей Лукацкий сообщил, что и в России есть компании, пострадавшие от атаки на SolarWinds, во всяком случае выявившие у себя после обновления программного обеспечения упоминавшуюся уязвимость.

Российские компании уже сталкивались с атаками через цепочку поставок. Например, заражались шифровальщиком NotPetya, распространявшимся через обновление бухгалтерской программы M.E.Doc. Российские пользователи популярного приложения CCleaner пострадали после взлома сайта чешской компании Avast, с которого загружалось средство для оптимизации и «чистки» ОС семейства Windows. 

 
Атака через цепочку поставок – один из трендов. Но такой путь пока нельзя назвать массовым. Это специфические атаки через множество промежуточных звеньев, не всегда до конца изученные. Компании, в продукцию которых внедрен зловредный код, стремятся как можно быстрее устранить последствия, далеко не во всех случаях проводя полноценное расследование. Например, в инциденте с SolarWinds известны не все факты.

Алексей Лукацкий, бизнес-консультант по безопасности, Cisco 

Что делать?

Для борьбы с программами-вымогателями Cisco рекомендует своевременное обновление и интеграцию используемых ИБ-технологий. Не стоит забывать о регулярном резервном копировании и защите резервных копий от шифровальщиков.

Важно соблюдать принцип нулевого доверия – устройства и приложения подлежат проверке каждый раз, когда требуют доступ к какому-либо корпоративному ресурсу. И следует систематически проводить тщательную инвентаризацию активов.

При работе через RDP рекомендуется принимать дополнительные меры защиты: использовать RDP через VPN-соединение, применять многофакторную идентификацию, блокировать доступ после разумного числа неудачных попыток. Удаленным пользователям следует регулярно устанавливать обновления приложений и операционных систем и не прибегать к административному доступу.

Чтобы предотвратить кражу паролей и идентификационных данных, целесообразно вести мониторинг доступа к базам данных сервиса проверки подлинности локальной системы безопасности (Local Security Authority Subsystem Service) и системы управления средой хранения (Storage Area Management), отслеживать аргументы командной строки, используемые в атаках со сбросом учетных данных (credential dumping). Важно анализировать журналы для выявления незапланированной активности на контроллерах домена и выявлять неожиданные и неназначенные соединения с IP-адресов к известным контроллерам доменов.

Одной из основных проблем обеспечения информационной безопасности в России и мире Сisco считает отсутствие целостного взгляда на архитектуру, неполный мониторинг и недостаточную реакцию на инциденты. 

Важный совет – не экономить на информационной безопасности. Согласно отчету Cisco 2021 Data Privacy Benchmark Study, средние годовые расходы на защиту данных в российских организациях, участвовавших в опросе, составили порядка $1,4 млн. При этом выгоды, которые компании получили вследствие усиления защиты данных, российские респонденты оценили в $2,1 млн в год.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!