Вирус против всех

Свои вирусы и своих хакеров, и меры по защите от чужих кибератак каждый выбирает сам.

На службе корпораций

"Обкатав" технологию на иранских ядерных объектах, хакеры наперебой стали предлагать свои услуги коммерческим компаниям, которые с помощью вирусов могут даже устранить конкурентов.

"Атаки Aurora, Stuxnet, Night Dragon показали эффективность кибероружия и слабую защищенность от этого вида атак многих важных предприятий и компаний. Киберспецслужбы и некоторые коммерческие организации могут быть очень заинтересованы в проведении подобных атак, - рассказывает ведущий антивирусный эксперт "Лаборатории Касперского" Денис Масленников. - Важно отметить, что новые организаторы преследуют не те же цели, что традиционная киберпреступность. Для новых игроков интерес представляет кража интеллектуальной собственности или удар по функционированию предприятия". При этом эксперты подчеркивают, что киберпреступники, как и киберзащитники, очень востребованы в корпоративных войнах. В результате относительно небольших финансовых вложений в организацию атаки можно получить очень и очень ценную информацию либо остановить/замедлить функционирование фирмы. "Если говорить о глобальных примерах, то это атаки на RSA, Lockheed Martin, Sony. Если же рассуждать о российской действительности, то, скорее всего, целевые атаки совершаются, но эти факты не разглашаются. Любая компания старается скрыть факт атаки, опасаясь, что это повлияет на репутацию, а такое может отпугнуть клиентов", - рассуждает эксперт. Практически полное отсутствие информации по целевым атакам в РФ связано еще и с тем, что с юридической точки зрения наши компании, обрабатывающие персональные данные, не обязаны, в отличие от тех же американских фирм, публично уведомлять об утечках данных клиентов. Тем не менее "Ко" удалось подобрать несколько ярких примеров работы хакеров на отечественном корпоративном рынке. Последним громким случаем использования кибератак в рамках недобросовестной конкуренции является DDoS-атака на систему электронных платежей ASSIST. "Согласно заявлениям следственных органов, злоумышленники атаковали ASSIST несколько дней. В итоге оказалась заблокирована продажа электронных билетов на сайте крупнейшего клиента компании - "Аэрофлота". Официально убытки составили 1 млн руб. После этого авиакомпания отказалась от сотрудничества с ASSIST и перешла на процессинг Альфа-банка. Основная версия, озвученная следствием, - что атака являлась инструментом конкурентной борьбы", - рассказывает генеральный директор Group-IB Илья Сачков.

Переход от массового распространения вируса к направленным атакам косвенно подтверждает тот факт, что хакеры из нелегалов превратились в агентов специальных служб и "внештатных сотрудников" крупных компаний. Теперь хакерская элита уже не занимается рассылками спама, а проводит секретные операции в интересах правительств разных стран и по заказу крупных фирм, бюджеты которых заметно превышают суммы, выделяемые на вирусную рекламу. "Корпоративные войны - не менее доходный бизнес для хакеров. Борьба с распространением инсайдерской информации становится все активнее, а значит, схемы хищения этой информации должны быть изощреннее и эффективнее, - подтверждает специалист по развитию бизнеса Leaf Label Екатерина Максимова. - "Подселить" вирус в личный компьютер сотрудника гораздо проще и надежнее, чем этого сотрудника подкупить. Поэтому востребованность хакеров в корпоративных войнах растет и будет стремительно расти в дальнейшем".

Одноклассники точка хак

Стремительное развитие социальных сетей не оставило этот сектор без внимания хакеров. Подобные ресурсы позволяют злоумышленникам не только вычислить ценных сотрудников компаний, но и "подселить" вирус в корпоративную сеть.

Социальные сети - настоящая находка для злоумышленников, так как в первую очередь они содержат огромное количество информации о потенциальных жертвах. "Социальные сети позволяют хакерам вычислять нужных людей и получать максимум необходимых данных: должности, списки коллег, адреса почтовых ящиков и пр. Все это будет использоваться для обмана ничего не подозревающих людей и дальнейшего проникновения в инфраструктуру", - предупреждает Илья Сачков. "Атаки с использованием социальных сетей в большинстве своем используют методы социальной инженерии. Обычно на таких сайтах проводится сбор информации о пользователях. Впоследствии эти данные используются для проведения атаки: человека убеждают, что он в безопасной зоне и получил апплет/зловред от "друга" или доверенного источника (например, youtube.com)", - добавляет руководитель направления департамента сетевой интеграции ЛАНИТ Андрей Бедрань. Как он расссказывает, проникновение в корпоративную сеть крупного российского банка злоумышленники организовали через компьютер секретаря одного из управляющих. В социальной сети секретарю было отправлено сообщение от подруги, компьютер которой был заражен. Сообщение содержало backdoor, через который злоумышленники успешно проникли в доверенный периметр, а затем и в одну из основных систем банка. Но имеются и более изощренные способы использования соцсетей. Олег Шабуров рассказал историю одного из клиентов. "Компания работает в сфере товаров народного потребления, соответственно конкуренция и маркетинговая активность в данном сегменте весьма высоки. Злоумышленники целенаправленно отыскивали в соцсетях сотрудников отдела маркетинга и после во многом удачных попыток подключения в контакты в качестве руководителя задавали абстрактные вопросы по поводу выполнения поручений. Некоторые сотрудники с радостью выдавали детальные отчеты о проделанной работе", - вспоминает эксперт. Естественно, что после того, как были выявлены данные факты, в компании прошел "разбор полетов" и ей пришлось кардинальным образом пересматривать свою маркетинговую политику на несколько месяцев вперед. Многие работодатели, дабы избежать подобных проблем, блокируют доступ к социальным сетям с рабочего места. Но это помогает сотрудникам разве что не отвлекаться во время работы, так как вирус они могут принести из дома на флэшке или раскрыть конфиденциальную информацию в нерабочее время. "Ограничение доступа в соцсети с рабочего места прежде всего не мера безопасности, а способ контролировать рабочее время сотрудника, причем не самый эффективный: лучшая мотивация для специалиста - комфортные условия труда, а не запреты", - резюмирует генеральный директор компании "Сумма Телеком" Иван Прокопьев.

Вирусы все мобильнее

С развитием мобильных технологий злоумышленники все чаще выбирают в качестве целей для своих атак смартфоны и планшетные компьютеры. Зачастую они содержат не меньше конфиденциальной информации, чем стационарные компьютеры на работе, а взлому поддаются при этом значительно легче.

Буквально каждую неделю публикуется минимум несколько сообщений о том, что в той или иной компании был похищен/потерян/оставлен мобильный телефон или другое мобильное устройство. "Сегодня смартфоны используются практически для тех же самых целей, что и обычные персональные компьютеры. Для сотрудников различных компаний это возможность иметь постоянный доступ, например, к корпоративной почте. Но наличие разнообразных уязвимостей во всех без исключения мобильных операционных системах в то же время делает их уязвимыми для атак", - говорит Денис Масленников. При этом чем популярнее устройство или операционная система в корпоративной среде, тем больший интерес проявляют к ней злоумышленники. "Да, нам известны примеры атак через мобильные устройства. Например, уже в третий раз за свою историю операционная система Apple iOS оказывается уязвимой из-за критических ошибок в библиотеке обработки PDF-документов. Эта уязвимость позволяет проникнуть в ядро ОС и модифицировать системные файлы, даже если вы не имеете физического доступа к устройству", - рассказывает Андрей Бедрань. Для того чтобы "подселить" вирус в свой iPhone или iPad, достаточно пройти по ссылке на "зараженный" сайт. При этом некоторые российские компании в массовом порядке закупают планшетные компьютеры для топ-менеджеров, мало заботясь о том, какие сайты те будут посещать во внерабочее время. Илья Сачков приводит один забавный пример из своей практики. Случай произошел в российском представительстве крупной международной юридической компании. В разгар рабочего дня на мобильный телефон одного из сотрудников пришло SMS-сообщение от имени руководителя. В нем содержалась просьба встретить телефонного мастера, пропустить его в офис и проводить к мини-АТС для наладки последней. SMS-послание, конечно, не вызвало никаких подозрений, и сотрудник, не задумываясь, выполнил указание шефа. Как оказалось, таким образом в помещение проник злоумышленник, который установил там скрытые аппаратные устройства (закладки), позволяющие похитить конфиденциальные данные. В ходе расследования инцидента удалось установить, что хакеры воспользовались обычным интернет-сервисом рассылки сообщений для отправки поддельной SMS. Хотя, конечно, злоумышленнику предварительно надо было добыть номера телефонов руководителя и сотрудника.

"Бюджетный" вирус

Тем, у кого нет денег, чтобы нанять высокопрофессиональных хакеров, Интернет предлагает альтернативное решение. За сравнительно небольшую сумму любой желающий может купить свой собственный уникальный вирус, специально созданный для атак на определенные сайты и компании.

В конце мая текущего года суд Нью-Йорка вынес решение по делу россиянки Марины Мисюры, которая обвинялась в причастности к банковскому мошенничеству, обязав ее выплатить порядка $21 300. По версии следствия, девушка входила в преступную группу, переводившую деньги со взломанных при помощи компьютерного вируса, известного как "Зевс-Троян" (Zeus-Trojan), счетов на другие банковские счета, а также снимала средства и вывозила их за границу. В этой группе, как утверждается, состояли более десяти человек. Мисюра оформила как минимум четыре подставных счета в Нью-Йорке, воспользовавшись тремя поддельными паспортами. Различные модификации трояна Zeus "осаждают" пользователей Интернета уже почти три года. Несмотря на то, что исходные данные этой программы давно известны производителям антивирусного ПО, полностью побороть ее не удается, так как вирус постоянно "мутирует". Более того, на его основе создана специальная система, позволяющая автоматически генерировать вредоносные программы, утверждает Олег Шабуров. "Пользователь заходит на специализированный сайт, где ему предлагают указать функции, коими должен обладать троян. От этого зависит и цена, которая может доходить до $8000", - рассказывает эксперт. "Заказчик" способен создать свой собственный вирус для атаки на сайт банка или для взлома корпоративной почты конкурента. "С помощью Zeus можно добыть практически любую информацию о пользователе, причем так, что тот даже не заподозрит хищения данных (пароли, пин-коды, номера кредитных карт и т.д.), - отмечает вирусный аналитик "Лаборатории Касперского" Дмитрий Тараканов. - Благодаря простоте его конфигурации и удобству использования для кражи веб-данных он стал одной из самых распространяемых и продаваемых программ-шпионов на черном рынке Интернета". С момента появления первой версии Zeus и по настоящее время зафиксировано более 40 000 (!) разновидностей этой троянской программы. По количеству различных вариаций, по числу адресов, куда стекаются данные для злоумышленника и откуда отправляются команды на "зомби"-компьютеры (такие адреса называются центрами управления), Zeus занимает одну из лидирующих позиций среди незаконного ПО. Правда, фактов использования Zeus в корпоративных войнах пока выявлено не было, хотя корпоративные сети неоднократно подвергались атакам этого вируса. Но эксперты полагают, что дело здесь не в том, что Zeus не применяют в корпоративных войнах, а в том, что этот вирус выполняет достаточно специализированные задачи и не приводит к масштабному краху корпоративных сетей. При этом с достаточно высокой долей вероятности можно утверждать, что злоумышленники используют его в атаках на корпоративные сайты, сотрудников и клиентов компаний. Вот только информация об этом редко становится достоянием гласности. Да и задачи, а также возможности у этого вируса несколько скромнее, чем у специально созданных хакерских подразделений на службе корпораций.

На любой вкус и кошелек

Так кто же такие эти "хакеры на службе корпораций" и каким образом компании привлекают их "на работу"?

"Судя по масштабам и профессионализму, с которым готовятся и проводятся такие атаки, это организованные законспирированные "рабочие" группы. Являются ли члены этих преступных сообществ работниками служб кибербезопасности, хорошо ориентирующимися в данном вопросе, сотрудниками агентств, разрабатывающих антивирусное ПО, или маргиналами, живущими вне закона, мы не знаем", - констатирует Екатерина Максимова. Ясно лишь то, что работа этих преступников неплохо оплачивается. По данным Group-IB, в 2010 г. оборот российского рынка компьютерных преступлений составил примерно $1,3 млрд при $7 млрд мирового. Подобными темпами уже к концу текущего года наши хакеры "заработают" $1,8 млрд, а к 2013 г. удвоят этот показатель. "Данный рынок, к сожалению, достаточно развит и не имеет географических границ. Поэтому некорректно говорить о российском рынке в отдельности, так как это глобальная проблема и подход к ее решению должен быть комплексным", - не соглашается начальник службы информационной безопасности Абсолют Банка Павел Ложкин.
"Рынок киберпреступности ничем не отличается от любого другого, нам известного, кроме, наверное, того, что нелегален и неподконтролен. При этом он развивается по классическим законам: рыночное образование цен, монополии, слияния, поглощения, конкуренция и т.п. Организатору могут предложить тестовый период использования услуги, скидки и даже гарантии возврата денег. С помощью различных открытых и закрытых интернет-ресурсов здесь можно найти исполнителей и услуги на любой вкус и кошелек", - рассказывает Илья Сачков. Многие злоумышленники сегодня воспринимают свою преступную деятельность в качестве основного источника заработка. В нашей стране ситуация дополнительно усугубляется большим количеством выпускников технических вузов и внутренней нестабильной экономической ситуацией, в результате которой упомянутая масса специалистов просто не может найти высокооплачиваемого легального заработка. В итоге российский рынок компьютерных преступлений растет, а это закономерно приводит к усилению конкуренции и снижению цен на услуги. Поэтому теперь к хакерам обращаются не только крупные и состоятельные заказчики, но и фирмы не столь обеспеченные. Действительно, если взлом почты конкурента стоит каких-то $35-100 (см. таблицу), то почему не попытаться выведать условия контракта, из-за которых у вас переманили клиента? Конечно, эта деятельность незаконна, но из-за несовершенства российской нормативной базы доказать что-либо будет очень сложно. "Крайне тяжело установить причастность к киберпреступлениям ввиду многочисленных нюансов законодательства и расследования подобных преступлений. Даже при наличии всей доказательной базы практически невозможно добиться того, чтобы она была признана судом как доказательство", - подтверждает Павел Ложкин.

Слабое звено

Как это ни покажется странным на первый взгляд, но самым слабым звеном, в наибольшей степени подверженным атакам хакеров, является вовсе не компьютер, а сотрудник компании. Отсутствие корпоративной культуры в работе с электронными носителями информации создает злоумышленникам массу лазеек для проникновения в вашу рабочую сеть.

С бурным развитием хакерских технологий практически никто не может быть на 100% уверен в том, что его конфиденциальная информация абсолютно защищена от конкурентов. "Необходимо помнить простую истину: информационная безопасность - это не результат, а непрерывный процесс, который включает комплекс технических и организационных мероприятий, обучение сотрудников, постоянный мониторинг состояния защищенности компании и непрерывную корректировку правил и мер безопасности", - указывает Андрей Бедрань. Иными словами, простая покупка антивирусной программы не станет панацеей. Достаточно вспомнить о том, что каждый раз после того, как Microsoft объявляет, что в новом обновлении операционной системы устранила "критические уязвимости", хакеры буквально в течение двух часов осуществляют атаку на все перечисленные бреши в защите программы. К этому моменту далеко не все успевают скачать и установить на своих компьютерах обновление. Кроме того, нельзя же всему персоналу, включая топ-менеджеров, раз и навсегда запретить пользоваться флэшками или открывать рабочую почту с удаленных компьютеров. Поэтому эксперты полагают, что основная часть работы по обеспечению информационной безопасности заключается в повышении ответственности работников. "Одним из важнейших условий снижения вероятности успешной атаки является образование сотрудников компании и предоставление в понятном виде различных правил информационной безопасности. Любой человек, у которого возникает подозрение, что на компанию осуществляется атака, должен сразу же уведомлять об этом службу безопасности", - добавляет Денис Масленников.

При этом к широкомасштабным корпоративным кибервойнам в России пока мало кто готов. А пора бы...

Подписывайтесь на нас:

Еще по теме

мнения

От цифровых кирпичиков — к IT-крепости

Стране важно самостоятельно разрабатывать и контролировать ключевые технологии и информационные системы, от которых зависят нацбезопасность и ежедневная жизнь граждан

мнения

Идентификация спорна: как защитить себя в эпоху дипфейков

Как жить в новой реальности, где нельзя верить даже тому, что видишь

технологии и наука

К технологиям умного дома — повышенные требования по безопасности

Производители делятся опытом по управлению экосистемой IoT-устройств

рынки

Срок или штраф: власти хотят ввести уголовное наказание за утечки данных

Какую альтернативу предлагает бизнес — в материале «Компании»

бизнес

Кибервымогатели: можно ли им эффективно противостоять

Весной 2022 года России объявили настоящую кибервойну. Кто и зачем пытается проникнуть в корпоративный it-периметр и как им противостоять.

посмотреть еще