Kaspersky Security Bulletin

Kaspersky Security Bulletin 2015. Развитие угроз в 2015 году

 Скачать PDF
 Скачать EPUB
 Скачать весь отчет в PDF
 Скачать весь отчет в EPUB

  1. Kaspersky Security Bulletin 2015. Развитие угроз в 2015 году
  2. Kaspersky Security Bulletin 2015. Эволюция угроз информационной безопасности в бизнес-среде
  3. Kaspersky Security Bulletin 2015. Основная статистика за 2015 год
  4. Kaspersky Security Bulletin 2015. Прогнозы на 2016 год

Целевые атаки и вредоносные кампании

Целевые атаки в наши дни – это уже характерная часть ландшафта информационных угроз; вполне ожидаемо, им посвящается целый раздел нашего годового отчёта. В прошлом году, в наших прогнозах на 2015 год, мы обозначили некоторые контуры будущего APT-угроз, каким оно нам тогда представлялось.

  • Слияние киберпреступности и APT-угроз
  • Фрагментация крупных APT-группировок
  • Развитие вредоносных технологий
  • Новые методы передачи краденых данных
  • «Гонка кибервооружений», появление новых APT-агентов

Вот главные APT-кампании, о которых мы рассказывали в течение года.

Carbanak совместил киберпреступную деятельность – в данном случае кражу денег из финансовых учреждений – с методами проникновения в сеть жертвы, которые характерны для целевых атак. Кампания была раскрыта весной 2015 г.: «Лабораторию Касперского» пригласили провести расследование, связанное с работой системы одного банка, чьи банкоматы начали выдавать деньги «случайным образом». Оказалось, что компьютерная сеть банка заражена. Carbanak – это бэкдор, предназначенный для шпионских действий, кражи данных и удаленного управления зараженной системой. Злоумышленники использовали методы APT-атак для проникновения на компьютеры своих жертв –рассылали сотрудникам банка адресные фишинговые сообщения. Внедрившись на один банковский компьютер, злоумышленники провели разведку, определив системы, связанные с обработкой данных, ведением учёта и банкоматами, и просто имитировали деятельность сотрудников банка. Carbanak использовал три способа кражи денег: 1) выдачу наличных средств в банкоматах, 2) перевод денег киберпреступникам через сеть SWIFT и 3) создание фальшивых счетов и вывод денег через «финансовых мулов».

Kaspersky Security Bulletin 2015. Развитие угроз в 2015 году

Группировка Equation, занимающаяся кибершпионажем, стала одной из самых нашумевших новостей I квартала 2015 г. Члены группировки успешно заразили компьютеры тысяч жертв в Иране, России, Сирии, Афганистане, США и в других странах. Среди жертв оказались государственные и дипломатические учреждения, телекоммуникационные и энергетические компании. Это одна из самых сложных APT-кампаний, которые нам приходилось видеть: один из многих модулей, разработанных группировкой, вносит изменения в прошивку жестких дисков, что позволяет, по сравнению с другими целевыми атаками, более надежно скрывать вредоносную программу, обеспечивая ей более долгое пребывание в системе. Очевидно, что разработка данного вредоносного кода началась не позже 2001 г. Видна связь с другими известными атаками – Stuxnet и Flame; в частности, набор вредоносных инструментов включал две уязвимости нулевого дня, которые позже использовались в Stuxnet.

Во время проведения расследования инцидента на Ближнем Востоке экспертами «Лаборатории Касперского» была обнаружена активность ранее неизвестной группировки, проводящей целевые атаки. Группа под названием Desert Falcons («Соколы пустыни») является первой арабской группировкой, проводящей полноценные операции по кибершпионажу, которые, по всей видимости, продиктованы политической ситуацией в регионе. Первые признаки деятельности Desert Falcons относятся к 2011 году, первые заражения произошли в 2013 году, а пик активности группы пришелся на конец 2014 – начало 2015 года. Злоумышленники украли более миллиона файлов более чем у 3000 жертв, в числе которых политические активисты и лидеры, военные и государственные организации, СМИ и финансовые учреждения, расположенные в основном в Палестине, Египте, Израиле и Иордании. Члены Desert Falcons – явно не новички: они с нуля создали вредоносные программы под Windows и Android, искусно организовали атаки, в которых использовались фишинговые электронные сообщения, поддельные вебсайты и поддельные аккаунты в социальных сетях.

В марте 2015 г. вышел наш отчёт об APT-кампании Animal Farm, хотя информация о задействованных в ней инструментах, начала появляться еще в прошлом году. В марте 2014 французская газета Le Monde опубликовала статью о наборе инструментов кибершпионажа, выявленных Центром безопасности коммуникации Канады (CSEC). Описанный инструментарий использовался в операции Snowglobe, нацеленной на франкоговорящие канадские СМИ, Грецию, Францию, Норвегию и некоторые африканские страны. По мнению CSEC, данная операция могла быть инициирована французскими разведывательными службами. Годом позже исследователи опубликовали анализ (1, 2, 3) некоторых вредоносных программ, имеющих много общего с программами операции Snowglobe. В частности, были идентифицированы самплы, содержащие внутреннее имя Babar, которое совпадало с именем программы, упомянутой CSEC. Эксперты «Лаборатории Касперского», проанализировав вредоносные программы данной кампании и выявив связь между ними, назвали стоящую за ними группировку «Animal Farm». Было обнаружено, что данная группа использовала две из трех zero-day уязвимостей, найденных «Лабораторией Касперского» в 2014 году и используемых киберпреступниками. Например, атака со взломанного сайта министерства юстиции Сирии с использованием эксплойтов к уязвимости CVE-2014-0515 приводила к загрузке одного из инструментов Animal Farm под названием Casper. Из особенностей данной кампании интересно отметить, что одна из программ в арсенале группировки, NBOT, разработана для проведения DDoS-атак, а это нехарактерно для APT-групп. Также одно из зловредных «животных» имеет странное название Tafacalou – возможно, это слово из окситанского языка, на котором говорят во Франции и некоторых других странах.

#Carbanak совместил кражу денег из финансовых учреждений с методами, характерными для целевых атак #KLReport

Tweet

В апреле 2015 г. мы сообщили о появлении нового члена вредоносного семейства Duke, в которое уже входят MiniDuke, CosmicDuke и OnionDuke. CozyDuke APT (также известный как CozyBear, CozyCar и Office Monkeys) атакует правительственные организации и коммерческие компании в США, Германии, Южной Корее и Узбекистане. Атака проводится с использованием сложных технологий, таких как шифрование, защита от обнаружения антивирусными программами и тщательно разработанного набора компонентов, которые сходны по своей структуре с более ранними угрозами семейства Duke. При этом одной из отличительных особенностей CozyDuke является использование методов социальной инженерии. Некоторые электронные письма, в которых используются приемы целевого фишинга, содержат ссылку на взломанные сайты (в том числе на популярные легитимные сайты), на которых размещен ZIP-архив. Этот архив содержит самораспаковывающийся RAR-архив, который устанавливает вредоносное ПО, показывая пустой PDF-файл в качестве подсадной утки. Другой вариант – отправка в качестве вложений к письмам мошеннических флеш-видео. Интересным примером такого видео (по имени которого названо и вредоносное ПО) является OfficeMonkeys LOL Video.zip. Пока воспроизводится приманка-видеоролик с забавным сюжетом об обезьянах, работающих в офисе, зловред загружает на компьютер исполняемый файл CozyDuke. Забавное видео провоцирует сотрудников разослать его коллегам в офисе, что способствует увеличению числа зараженных компьютеров. Успешное использование методов социальной инженерии, чтобы ввести сотрудников в заблуждение и заставить делать то, что поставит под угрозу безопасность компании, — с помощью CozyDuke и других целевых вредоносных программ, — подтверждает необходимость обучения персонала основам корпоративной безопасности.

Атаки APT-группировки Naikon были в основном направлены на важные цели в Юго-Восточной Азии и регионе Южно-Китайского моря. Родным языком злоумышленников, по-видимому, являлся китайский, а действовала группировка уже не менее 5 лет. Их атаки были нацелены в основном на государственные учреждения высокого уровня, гражданские и военные организации таких стран, как Филиппины, Малайзия, Камбоджа, Индонезия, Вьетнам, Мьянма, Сингапур, Непал, Таиланд, Лаос и Китай. Как и во многих других целевых атаках, злоумышленники широко используют приёмы социальной инженерии, чтобы хитростью заставить сотрудников организаций-жертв установить вредоносное ПО на своих компьютерах. Главный модуль Naikon представляет собой утилиту удаленного администрирования, которая поддерживает 48 команд, с помощью которых злоумышленники могут управлять зараженными компьютерами. Среди них – возможность получить полную информацию об аппаратном и программном обеспечении компьютера, загрузить и отправить данные, установить модули расширения, а также использовать программы-кейлоггеры для получения регистрационных данных сотрудников. Каждой стране, на которую нацелены атаки, назначается свой оператор, который использует ее культурные особенности, например привычку использовать свой личный аккаунт в электронной почте для работы. Используется также специальный прокси-сервер внутри страны, который управляет соединениями с зараженными компьютерами и перенаправляет данные на командные серверы злоумышленников. Наш основной отчет и следующий за ним можно прочитать на нашем сайте.

Исследуя операции Naikon, мы также раскрыли деятельность АРТ-группировки APT-группировки Hellsing. Эта группа нацелена в основном на правительственные и дипломатические организации в Азии: большинство жертв располагалось в Малайзии и на Филиппинах, хотя мы также фиксировали пострадавших в Индии, Индонезии и США. Сама по себе Hellsing – небольшая и технически непримечательная кибершпионская группировка, атаковавшая на данный момент около 20 организаций. Интересно то, что эта группировка стала объектом целевого фишинга со стороны АРТ-группировки Naikon — и решила нанести ответный удар! Получив электронное сообщение, адресаты просили отправителя подтвердить авторство адресной рассылки. Они получили ответ атакующего, но вложение открывать не стали. Вместо этого через некоторое время они отправляли письмо обратно атакующим, и оно содержало уже другую вредоносную программу. Очевидно, что группировка Hellsing, поняв, что подверглась целевой атаке, решила установить, кто ее организовал и собрать информацию о его деятельности. Мы и раньше сталкивались с тем, что АРТ-группировки могли случайно наступить на ногу конкуренту, например украсть у жертв электронную адресную книгу и затем делать рассылки по всем адресам списка. Но взаимные APT-атаки – вещь необычная.

Kaspersky Security Bulletin 2015. Развитие угроз в 2015 году

Многие целевые атаки направлены на крупные предприятия, правительственные структуры и другие известные учреждения. Поэтому читая заголовки, легко представить себе, что для злоумышленников интерес представляют именно такие организации. Однако одна из кампаний, о которой мы рассказывали в прошлом квартале, ясно показала, что злоумышленников интересует не только крупная рыба. Кибершпионская кампания Grabit разработана для кражи данных компаний малого и среднего бизнеса, расположенных в основном в Таиланде, Вьетнаме и Индии, хотя нам встречались ее жертвы и в США, ОАЕ, Турции, России, Китае, Германии и других странах. Мишенями злоумышленников были такие секторы экономики, как химическая промышленность, нанотехнологии, образование, сельское хозяйство, средства массовой информации и строительство. По нашей оценке, группой, стоящей за проведением этих атак, на данный момент украдено около 10 000 файлов. Очевидно, что потенциальной целью для Grabit является любая компания – либо благодаря своим активам, либо как способ проникнуть в другую организацию.

Весной 2015 года в ходе своей плановой проверки безопасности «Лаборатория Касперского» обнаружила попытку вторжения, затрагивающую несколько внутренних систем компании. Было проведено широкомасштабное расследование, в результате которого мы обнаружили новую вредоносную платформу, разработанную одной из наиболее профессионально подготовленных, загадочных и мощных APT-группировок – Duqu, которую еще иногда называют «сводным братом» Stuxnet. Мы дали этой новой вредоносной платформе имя «Duqu 2.0». В атаке на «Лабораторию Касперского» использовалась уязвимость нулевого дня в ядре Windows (закрыта Microsoft 9 июня 2015 года) и, вероятно, еще одна-две уязвимости нулевого дня (на данный момент уже закрытые). Основной задачей злоумышленников был шпионаж: их интересовали технологии, исследования и внутренние процессы «Лаборатории Касперского». При этом «Лаборатория Касперского» была не единственной целью. Некоторые из новых случаев заражения Duqu 2.0 связаны с работой «иранской шестерки» и проведением переговоров с Ираном по ядерной программе. По всей видимости, атаки начались в тех местах, где проходили некоторые из встреч на высоком уровне. Аналогичную атаку группировка предприняла и в связи с мероприятиями, посвященными 70-й годовщиной освобождения Освенцима. Одной из наиболее примечательных особенностей Duqu 2.0 явилось то, что зловред практически не оставляет следов своего присутствия в системе. Эта вредоносная программа не меняет настроек диска или системы, поскольку ее платформа разработана таким образом, что она сохраняется практически исключительно в памяти зараженных систем. Это наводит на мысль о том, что злоумышленники были абсолютно уверены, что они могут сохранить свое присутствие в системе, даже если компьютер конкретной жертвы будет перезагружен и вредоносные программы будут удалены из памяти. Техническое описание Duqu 2.0 и анализ модуля Duqu 2.0, сохраняющего присутствие в сети можно найти на нашем веб-сайте.

Один из модулей, разработанных группировкой #Equation, вносит изменения в прошивку жестких дисков #KLReport

Tweet

В августе мы писали об APT-группировке Blue Termite, целевые атаки которой были направлены на кражу информации у организаций в Японии. В число жертв группировки вошли правительственные ведомства, местные органы управления, группы общественных активистов, университеты, банки, провайдеры финансовых сервисов, а также компании, работающие в таких отраслях, как энергетика, связь, тяжелая, химическая и автомобильная промышленность, производство электрооборудования, новостные СМИ, информационные услуги, здравоохранение, недвижимость, пищевая промышленность, полупроводники, робототехника, строительство, страхование, транспорт и др. Одной из наиболее заметных жертв группировки стала пенсионная служба Японии. Вредоносное ПО модифицируется с учетом особенностей каждой конкретной жертвы. В коде бэкдора Blue Termite прописаны данные о нем, включая командные серверы, имена API функций, строки для защиты от анализа вредоносного кода, значения мьютексов, а также контрольные суммы (MD5) команд бэкдора и информация о внутреннем прокси-сервере. Данные хранятся в зашифрованном виде, что усложняет анализ вредоносного ПО – для расшифровки каждого образца требуется уникальный ключ. Основной метод заражения, как и во многих других кампаниях, построенных на целевых атаках, – адресная рассылка фишинговых электронных писем. Однако мы обнаружили и другие методы заражения. В их числе drive-by загрузки с применением эксплойта для Flash (CVE-2015-5119) – одного из украденных при взломе Hacking Team, – таким образом были взломаны несколько японских сайтов. Мы также обнаружили атаки типа watering hole, в том числе с использованием сайта, принадлежащего известному члену правительства Японии.

Группировка, стоящая за кибершпионской кампанией Turla, активна уже больше восьми лет (см. наш первый отчет, последующий анализ и обзор вредоносной кампании на сайте Securelist); за это время были заражены сотни компьютеров более чем в 45 странах. Группировка отбирает жертв определенного «профиля», применяя на начальном этапе атаки типа watering hole. При этом, как описано в нашем последнем отчете, в своих дальнейших действиях группа использует спутниковую связь для управления трафиком своих командных серверов. Способ, используемый группировкой Turla для взлома нисходящих спутниковых каналов, не требует подписки на спутниковый интернет. Ключевое преимущество этого метода для киберпреступников состоит в его анонимности – атакующих очень сложно вычислить. Спутниковый приемник может находиться в любом месте зоны покрытия спутника, которая обычно довольно велика, и выявить фактическое местонахождение командного сервера и физически захватить оборудование сложно. Кроме того, этот метод дешевле, чем покупка подписки на спутниковый интернет, и проще, чем перехват сетевого трафика между жертвой и оператором спутниковой связи и внедрение своих пакетов. Группировка Turla, как правило, выбирает провайдеров спутникового интернета, расположенных на Ближнем Востоке и в Африке, в том числе в Конго, Ливане, Ливии, Нигере, Нигерии, Сомали и ОАЭ. Спутниковый сигнал, передаваемый на эти страны обычно не покрывает страны Европы и Северной Америки, что значительно усложняет для экспертов по безопасности анализ подобных атак. Использование спутникового интернета киберпреступниками – интересный новый ход. Взлом полосы частот нисходящих спутниковых каналов обходится недорого (около 1000 долларов первоначальных инвестиций и примерно такая же сумма в год на текущее обслуживание), прост в реализации и обеспечивает высокий уровень анонимности. С другой стороны, данный метод не всегда так же надежен, как более традиционные методы (абузоустойчивый хостинг, несколько уровней прокси и взломанные веб-сайты) — и все эти методы Turla тоже использует. Это делает менее вероятным его применение для организации крупных ботнетов. Тем не менее, если этот метод получит распространение среди APT-группировок или киберпреступников, это поставит серьезную задачу для перед индустрией IT-безопасности и правоохранительными органами.

satturla_ani_RU

В августе 2015 года мы опубликовали обновленный отчет об APT-кампании Darkhotel. Для этих атак изначально было характерно использование краденых сертификатов, внедрение HTA-файлов различными способами и проникновение в гостиничные Wi-Fi сети с целью загрузки бэкдоров на компьютеры жертв.

Продолжая применять упомянутые выше методы, злоумышленники, стоящие за этой APT-кампанией, расширили свой арсенал. В частности, они в большей степени стали концентрировать внимание на адресных фишинговых атаках на выбранных ими жертв. В дополнение к использованию HTA-файлов они также распространяют зараженные RAR-файлы, применяя RTLO-механизм (right to left override) для маскировки настоящих расширений файлов. Злоумышленники также используют Flash-эксплойты, в том числе эксплойт нулевого дня, украденный при взломе Hacking Team. География действий группировки также расширилась – теперь в число её жертв входят пользователи из Северной и Южной Кореи, России, Японии, Бангладеш, Таиланда, Индии, Мозамбика и Германии.

Взломы и утечки данных

В этом году наблюдался непрерывный поток инцидентов, связанных с нарушением систем безопасности. Не приходится удивляться тому, что взломы и утечка данных стали повседневностью: частная информация – это ценная вещь, причем не только для легитимных компаний, но и для киберпреступников. В числе крупнейших инцидентов 2015 года – атаки на Anthem, LastPass, Hacking Team, Управление кадрами США (Us Office of Personnel Management), Ashley Madison, Carphone Warehouse, Experian и TalkTalk. В результате некоторых из них оказались украдены огромные объёмы данных; очевидным стал тот факт, что многие компании не предпринимают соответствующих действий для своей защиты. Дело заключается не только в защите периметра корпоративной сети. Стопроцентной безопасности не существует, и не может быть полной гарантии того, что система защищена от взлома, особенно если кого-либо внутри компании обманом заставят совершить действия, которые поставят под угрозу корпоративную безопасность. С другой стороны, любая организация, которая хранит данные личного характера, обязана обеспечивать их эффективную защиту. Методы такой защиты включают хранение пользовательских паролей в хэшированном виде с солью и шифрование прочих конфиденциальных данных.

С другой стороны, пользователь может минимизировать возможный ущерб в случае взлома на уровне провайдера, выбирая уникальные сложные пароли: идеальный пароль должен быть не короче 15 символов и состоять из комбинации букв, цифр и символов всей клавиатуры. В качестве альтернативы можно пользоваться менеджером паролей, который возьмёт на себя все задачи по созданию надежных паролей и их хранения.

Став объектом фишинга со стороны АРТ-группировки #Naikon, группировка #Hellsing нанесла ответный удар #KLReport

Tweet

Вообще, тема паролей встаёт вновь и вновь. Если выбрать слишком простой пароль, который легко угадать, то пользователь по сути оказывается незащищенным от возможной кражи идентификационных данных. Проблема усугубляется, если один и то же пароль используется в разных онлайн-аккаунтах – в этом случае взлом одного из них ставит под угрозу безопасность всех учетных записей пользователя. По этой причине в наши дни многие провайдеры, в т.ч. Apple, Google и Microsoft, предлагают двухфакторную аутентификацию, при которой пользователю нужно ввести код, который генерирует аппаратный ключ или который посылается на мобильное устройство пользователя, когда пользователю нужно зайти на сайт или внести изменения в настройки учетной записи. Безусловно, двухфакторная аутентификация повышает уровень безопасности, но только в том случае, когда она обязательно требуется, а не предлагается как вариант.

Кража личных данных может иметь серьезные последствия для тех, кто стал её жертвой. В некоторых случаях, такая кража может вызвать цепную реакцию. Взлом Hacking Team привёл к утечке и публикации 400 ГБ данных, включая информацию об эксплойтах, которые эта итальянская компания использовала в своих программах, предназначенных для слежки. Некоторые из этих эксплойтов использовались в APT-атаках Darkhotel и Blue Termite. Вполне ожидаемо, вскоре после публикации были выпущены патчи к вскрытым уязвимостям.

Умные (что не значит «безопасные») устройства

Интернет стал неотъемлемой частью нашей жизни; к нему каждый день подключается всё большее число бытовых приборов и устройств, используемых в современном доме: «умные» телевизоры, счётчики, видеоняни, чайники и т.д. Читатель, возможно, помнит, как один из наших экспертов изучил свой собственный дом на предмет кибербезопасности. Продолжение истории доступно здесь. Впрочем, «интернет вещей» включает в себя не только устройства, используемые дома.

На протяжении нескольких лет специалисты исследуют потенциальные риски, которые несут в себе автомобили с сетевыми возможностями. В июле 2014 г. «Лаборатория Касперского» и IAB опубликовали обзор потенциальных проблем, связанных с безопасностью «подключенных автомобилей». До этого года исследователи занимались только доступом к системам автомобиля при физическом подключении к нему. Этот подход подвергся пересмотрю, когда исследователи Чарли Миллер и Крис Валашек нашли способ подключиться к критически важным системам автомобиля Jeep Cherokee через беспроводное соединение – они смогли перехватить управление машиной и заставили ее съехать в кювет! (Историю можно прочитать здесь.)

Эта история вскрывает некоторые проблемы, касающиеся всех устройств с возможностью подключения к сети, и эти проблемы выходят далеко за пределы сферы автомобильной промышленности. К сожалению, функции безопасности сложно продать потребителю; на конкурентном рынке важнее оказываются, как правило, те функции, которые облегчают жизнь потребителя. Кроме того, сетевое подключение обычно просто накладывается на уже существующую коммуникационную сеть, при создании которой о безопасности не думали. И наконец, из истории видно, что изменения в исторически сложившуюся систему обычно вносятся только после того, как её слабость с позиции безопасности становится очевидной после какого-либо неприятного события. Подробнее об этой проблематике можно почитать в блогпосте Евгения Касперского, поводом для которого послужило вышеуказанное исследование.

Группировка #Turla использует спутниковую связь для управления трафиком своих командных серверов #KLReport

Tweet

Проблемы такого рода также актуальны и для «умных городов». Например, за последние годы резко выросло использование государственными и правоохранительными структурами систем видеонаблюдения в общественных местах. Многие камеры видеонаблюдения подключаются к интернету по беспроводным каналам, благодаря чему полиция может следить за ними удалённо. Однако такая практика не всегда является безопасной: киберпреступники могут незаметно отслеживать потоки данных с камер, внедрять код в сеть, заменяя данные с камеры поддельными, а также отключать системы. Два эксперта по системам безопасности (Василиос Хиуреас (Vasilios Hioureas) из «Лаборатории Касперского» и Томас Кинзи (Tomas Kinsey) из компании Exigent Systems) недавно провели исследование потенциальных слабых мест в системах видеонаблюдения в одном городе. отчет Василиоса доступен на нашем сайте.

К сожалению, камеры никак не были скрыты или замаскированы, так что можно было легко увидеть их названия и модели, изучить технические параметры и создать в лаборатории собственную модель. Используемое оборудование было оснащено эффективными средствами безопасности, но они не использовались. Передаваемые по ячеистой сети пакеты данных не шифровались, так что атакующая сторона могла создать свою собственную версию используемого ПО и получить возможность вмешиваться в пересылаемые данные. Злоумышленники могут, в частности, подменять видеопотоки, передаваемые на полицейские участки, и таким образом заставить полицию поверить, что в каком-либо месте произошёл инцидент, и отвлечь ее силы от реального происшествия в другом месте.

Исследователи сообщили о выявленных проблемах соответствующим органам, отвечающим за системы видеобезопасности; проблемы устраняются. Важно, чтобы в этих сетях было внедрено WPA-шифрование, защищенное надежными паролями; с оборудования следует удалять всю маркировку моделей и производителей, чтобы потенциальным злоумышленникам было не так просто выяснить, как работает оборудование; наконец, следует применять шифрование видеоданных, пересылаемых по сети.

В 2015 году наблюдался непрерывный поток инцидентов, связанных с нарушением систем безопасности #KLReport

Tweet

Если же посмотреть шире, то проблема заключается в том, что всё больше аспектов нашей каждодневной жизни приобретают «цифровое значение». Если меры безопасности не планируются на этапе разработки, то это может привести к серьезным последствиям, а исправлять задним числом проблемы безопасности может оказаться не таким простым делом. Инициатива Securing Smart Cities, поддерживаемая «Лабораторией Касперского», направлена на то, чтобы помочь ответственным за разработку «умных» городов делать свою работу, не забывая о кибербезопасности.

Международное сотрудничество в борьбе против киберпреступников

Киберпреступность стала одной из характерных черт нашего существования — как следствие постоянно растущей активности пользователей онлайн. Теперь этот факт отражается в официальной статистике. Например, Национальная статистическая служба Великобритании теперь включает информацию о киберпреступлениях в свои отчёты по статистике преступности, признавая тем самым, что меняется сама природа преступности в обществе. Без сомнения, киберпреступления могут приносить неплохой доход, но при этом киберпреступники не всегда могут проворачивать свои тёмные дела и оставаться безнаказанными; и здесь многое зависит от действий правоохранительных органов всего мира. В борьбе с киберпреступностью, учитывая его глобальную природу, очень важно международное сотрудничество. В этом году прошли несколько показательных операций правоохранительных органов.

В апреле «Лаборатория Касперского» приняла участие в операции по уничтожению ботнета Simda, координируемой Глобальным инновационным комплексом Интерпола. Это расследование было начато компанией Microsoft, затем круг участников расширился, и к расследованию подключились компания TrendMicro, японский Cyber Defense Institute, сотрудники голландского Национального центра по борьбе с преступлениями в сфере высоких технологий (NHTCU), ФБР, полиция Люксембурга, а также сотрудники Управления «К» МВД России и Национального центрального бюро Интерпола в Москве. В результате совместных действий была остановлена работа 14 командных серверов в Нидерландах, США, Люксембурге, Польше и России. Предварительный анализ некоторых логов sinkhole-серверов, подменивших командные серверы, показал, что от ботнета Simda пострадали 190 стран.

Проблемы, касающиеся устройств с возможностью подключения к сети, актуальны и для «умных городов» #KLReport

Tweet

В сентябре полиция Нидерландов арестовала двух человек по подозрению в причастности к атакам с использованием программы-вымогателя CoinVault. Это стало результатом совместных усилий «Лаборатории Касперского», компании Panda Security и голландского Национального центра по борьбе с преступлениями в сфере высоких технологий (NHTCU). Данная вредоносная кампания началась в мае 2014 года и захватила часть текущего года; её жертвы находились более чем в 20 странах, причем большинство – в Нидерландах, Германии, США, Франции и Великобритании. Злоумышленникам удалось зашифровать файлы более чем на 1500 компьютерах под управлением Windows, а плату за расшифровку данных от жертв требовали в биткойнах. Преступники, стоящие за этой кампанией кибервымогательства, изменяли свои творения несколько раз, чтобы они могли поражать все новые жертвы. В ноябре 2014 года «Лаборатория Касперского» и голландский Национальный центр по борьбе с преступлениями в сфере высоких технологий запустили веб-сайт, действующий как репозиторий для ключей расшифровки, а также разместили в интернете инструмент для расшифровки файлов, чтобы помочь жертвам вернуть свои файлы, не выплачивая выкуп кибервымогателям. Наш анализ разнообразных ухищрений, которые использовали авторы CoinVault, можно найти здесь. Программы-вымогатели стали заметной частью ландшафта угроз. Данный случай показывает, что сотрудничество между экспертами и правоохранительными органами может привести к положительным результатам, и поэтому чрезвычайно важно, чтобы и индивидуальные, и корпоративные пользователи принимали меры для нейтрализации риска, связанного с данным типом вредоносного ПО. Применение программ-вымогателей имеет смысл, только если жертвы готовы платить за расшифровку своих данных. В сентябре агент ФБР внес предложение о том, что пострадавшие должны заплатить требуемую сумму, чтобы восстановить свои данные, — и это вызвало серьезные разногласия. На первый взгляд, это прагматичный подход (хотя бы потому, что бывают случаи, когда восстановить данные по-другому просто невозможно), но он опасен. Во-первых, нет гарантии, что в обмен на деньги киберпреступники предоставят программу, необходимую для расшифровки данных. Во-вторых, получение денег подкрепляет эту преступную бизнес-модель и повышает вероятность того, что в будущем будут создаваться новые программы-вымогатели. Мы бы рекомендовали и компаниям, и индивидуальным пользователям регулярно создавать резервные копии данных – таким образом вы не окажетесь в этой незавидной ситуации.

Атаки на индустриальные объекты

Инциденты, произошедшие из-за проблем с кибербезопасностью, на индустриальных объектах происходят довольно регулярно. Например, по данным US ICS CERT в 2014 финансовом году в США было зафиксировано 245 таких инцидентов, а в июле и в августе 2015 — 22. Однако, по нашему мнению, эти числа не отражают действительной ситуации – киберинцидентов гораздо больше. И если о части инцидентов операторы и владельцы предприятий просто предпочитают молчать, то о другой части они просто не знают.

Давайте посмотрим на два случая, которые привлекли наше внимание в 2015 году.

Во-первых, это инцидент, произошедший в Германии на сталелитейном заводе. В самом конце 2014 года федеральный офис по информационной безопасности Германии (Bundesamt für Sicherheit in der Informations technik, BSI) выпустил отчет (документ на немецком, см. приложение на английском), описывающий киберинцидент, произошедший на одном из сталелитейных предприятий Германии. Результатом этого происшествия стало физическое повреждение доменной печи.

На сегодня это второй после Stuxnet случай кибератаки, повлекшей за собой физическое повреждение промышленного оборудования. По заявлению представителей BSI, изначально посредством фишинговой рассылки была заражена офисная сеть предприятия, а затем хакеры смогли заразить SCADA-компьютер и произвести атаку на оборудование. К сожалению, BSI не предоставил никакой дополнительной информации, и мы не можем сказать, какое именно вредоносное программное обеспечение использовалось и как оно работало.

В 2015 году прошли несколько совместных операций правоохранительных органов разных стран #KLReport

Tweet

Такая секретность не полезна всем – операторы аналогичных предприятий (пожалуй, кроме немецких) не могут изучить атаку и внедрить методы противодействия, эксперты по кибербезопасности также пребывают в неведении и тоже не могу предложить клиентам защитные методы.

Другим интересным случаем является атака на аэропорт Фредерика Шопена в Варшаве в июне 2015 года. В один из воскресных дней электронная система подготовки полетных планов польской авиакомпании LOT была выведена из строя приблизительно на 5 часов. По данным Reuters, это вызвало задержку дюжины вылетов.

Деталей менеджмент аэропорта так и не предоставил, и эксперты выражали свое мнение, основываясь на своем опыте. Рубен Сантамарта (Ruben Santamarta), главный консультант по безопасности в компании IOActive, ранее уже обращал внимание на проблемы информационной безопасности в авиации. Основываясь на утверждениях представителей LOT, он предположил, что компания стала жертвой целевой атаки: система не смогла сформировать планы полета из-за того, что были скомпрометированы ключевые узлы бэк-офиса, либо атака была нацелена на устройства наземной связи и привела к неспособности осуществить и валидировать загрузку данных в бортовые компьютеры (в том числе планы полетов).

Наши эксперты тоже отреагировали на инцидент: мы предположили, что есть два возможных сценария этой атаки. Инцидент мог произойти из-за человеческого фактора или сбоя в оборудовании. Либо эта атака на сравнительно небольшой аэропорт Варшавы была лишь предвестником более масштабных действий злоумышленников в других крупных аэропортах мира.

Позже официально было объявлено, что это была DDoS-атака, и на самом деле никакого проникновения не было. Но опять же – детальная информация об этом инциденте не раскрывается, и нам остается либо верить официальной информации, либо гадать об истинных причинах и целях атаки.

Кто бы ни стоял за атаками, о которых мы рассказали, и каковы бы ни были их цели, на примере этих атак мы имеем прекрасную возможность убедиться, насколько прочно вошли в нашу жизнь компьютеры и какими уязвимыми стали с годами инфраструктурные объекты.

Инцидент в Германии — вторая после Stuxnet кибератака, повлекшая физическое повреждение оборудования #KLReport

Tweet

К сожалению, политика закрытости используется сейчас многими государствами и регуляторами. По нашему мнению, прозрачность и обмен информацией о кибератаках — важная составляющая построения адекватной защиты индустриальных объектов, без этих знаний очень сложно защитить их от будущих угроз.

В заключение хотелось бы отметить еще одну тенденцию, которая уже начала влиять и будет влиять в ближайшие годы на всех нас: оборудование, используемое на промышленных предприятиях, активно подключается к Сети. Конечно же, интернет изобрели достаточно давно, а вот в производственные процессы он приходит на наших глазах. Без преуменьшения эту тенденцию можно назвать индустриальной революцией – рождается «Промышленный интернет вещей» или Предприятие 4.0. В итоге предприятия получают много дополнительных преимуществ и повышают эффективность производства.

Чтобы успеть за этим трендом, производители оборудования просто оснащают необходимыми датчиками и контроллерами проверенное и надежное оборудование, разработанное для мира «без интернета», подключают устройство к Сети и получают «новое оборудование». Но они забывают, что с оснащением любого устройства функциями работы с Сетью появляются новые риски и угрозы, связанные с кибербезопасностью, это уже не «физические» устройства, а «киберфизические».

В мире физических устройств все промышленные устройства, приборы, протоколы связи и т.д., проектировались с оглядкой на функциональную безопасность или другими словами – с «защитой от дурака». Это означало, что если устройство спроектировано в соответствии с требованиями функциональной безопасности, то при его эксплуатации без нарушения техники безопасности не должно случиться никаких отказов, не пострадают ни люди, ни экология.

«Предприятие 4.0» получило новое измерение безопасности – безопасность информационную или защиту от намеренного внешнего воздействия. Нельзя просто подключить к интернету объект или устройство родом из «до-интернет эры», последствия такого подключения могут быть, да и бывают, самыми плачевными.

На наших глазах происходит индустриальная революция – рождается «Промышленный интернет вещей» #KLReport

Tweet

Инженеры, исповедующие старые, «дореволюционные» принципы проектирования, зачастую не учитывают, что теперь с их устройством возможно будет «работать» не только инженер, который знает, что можно делать, а чего нельзя, но и хакер, для которого нет понятия «неразрешенные действия с удаленным объектом». В этом кроется одна из основных причин того, почему сейчас компании с опытом и традициями выпускают хорошее и надежное с точки зрения функциональной безопасности оборудование, которое не обеспечивает достаточный уровень кибербезопасности предприятий.

В мире киберфизических устройств кибер- и физическая составляющие тесно связаны. Кибератака может вывести из строя технологический процесс, повредить оборудование или вызвать техногенную катастрофу. Хакеры – это реальная угроза, а все, что подключено к Сети, может быть атаковано. Поэтому производителям во время разработки нового подключенного индустриального оборудования необходимо прорабатывать меры защиты от киберугроз так же тщательно, как и меры, обеспечивающие функциональную безопасность.

Заключение

В 2015 году, пожалуй впервые за историю существования интернета, проблемы защиты сетей и защиты в Сети обсуждались применительно к каждому сектору экономики и повседневной жизни. Выберите любую отрасль современной цивилизации: финансы, промышленное производство, автомобили, самолеты, мобильные устройства, здравоохранение и многое другое, — и вы гарантированно найдете публикации этого года об инцидентах или проблемах кибербезопасности, касающиеся ее.

К сожалению, кибербезопасность теперь неразрывно связана и с проявлениями терроризма в Сети. Методы защиты и нападения в Сети являются объектом значительного интереса различных нелегальных структур и группировок.

Вопросы кибербезопасности вышли на уровень дипломатических ведомств и высших руководителей государств. В этом году были подписаны договоры о кибербезопасности между Россией и Китаем, Китаем и США, Китаем и Великобританией. В рамках этих документов государства обязуются не только сотрудничать, но и не допускать атаки друг на друга. Одновременно активно обсуждались недавние поправки к Вассенаарским соглашениям по ограничению экспорта шпионского программного обеспечения. Одной из главных тем года стало использование незащищенных почтовых сервисов различными политиками по всему миру, включая бывшего (на время событий — действующего) госсекретаря США Хиллари Клинтон.

Все это привело к значительному росту интереса к проблеме кибербезопасности не только со стороны масс-медиа, но и со стороны индустрии развлечений: снимались полнометражные фильмы, сериалы, некоторые эксперты в области кибербезопасности приглашались для участия в фильмах, иногда они играли самих себя.

В 2015 году слово «кибербезопасность» стало модным, но это не значит, что проблема решена. Мы наблюдаем практически экспоненциальный рост во всем, что связано с кибербезопасностью: рост числа атак и атакующих, жертв, расходов на оборону и защиту, законов и договоров, регламентирующих существующие и устанавливающих новые нормы. Мы, со своей стороны, сталкиваемся с заметным увеличением сложности обнаруживаемых атак. Противостояние перешло в активную фазу и до завершающей стадии еще очень и очень далеко.

О том, что нас ждет в ближайшем будущем, читайте в наших прогнозах на 2016 год.

Kaspersky Security Bulletin 2015. Развитие угроз в 2015 году

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Polinaxej

    В мире давно уже идет невидимая на первый взгляд но жестокая кибервойна. Например Вашингтону приходится отбивать кибер-атаки на протяжении уже нескольких последних лет. Только в прошлом году Федеральное правительство подвергалось дерзким кибер-нападениям около 61 000 раз. Последней волной атак были вскрыты личные данные около 14 млн. нынешних и бывших сотрудников правительства США, некоторые из которых находились на службе еще в далеком 1985 году. Служебные сведения, которые оказались раскрытыми, включают номера социального страхования, трудовые договоры и данные по оценке производительности. Эта конфиденциальная информация теперь находится в руках хакеров и может быть использована во вред. В целом причин больше, чем достаточно, для того, чтобы Директор Национальной разведки США Джеймс Клэппер поставил угрозу, исходящую со стороны кибер-преступности, на первое место, уже после нее разместив терроризм, шпионаж и оружие массового уничтожения.

    Также хочется выделить угрозу из киберпространства для бизнеса потому что, хакеры занимаются не только тем, что играют в игру «навреди правительству», зачастую они промышляют «старым добрым» грабежом. По данным ФБР в 2013 году более 3 000 американских компаний стали жертвами кибер-нападений. Среди них компании различного ранга: от небольших банков до крупных военных подрядчиков и гигантов розничной торговли. Поразительно, в результате хакерских ограблений 2013 году 7 процентов американских организаций потеряли 1 млн. долларов. По другой информации, за тот же год 19 процентов американских организаций потеряли от 50 000 до 1 млн. долларов. По некоторым оценкам, проблема кибер-преступности «стоит» США до 300 миллиардов долларов в год. В международном масштабе эта цифра приближается к 445 млрд. долларов, что составляет 1 процент от глобального мирового дохода. По прогнозам исследовательской компании «Gartner» в 2015 году мировое сообщество будет вынуждено потратить на информационную безопасность 79,9 млрд долларов, в 2018 году сумма достигнет 101 млрд. долларов, и этих денег по-прежнему будет не достаточно.
    В этой связи мне видится деятельность лаборатории касперского очень важной и нужной обществу. После прочтения статьи установила себе Антивирус Касперского.

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике