Целевые кибератаки отличаются от массовых хакерских атак тем, что направлены на конкретную компанию или организацию. Такие атаки максимально эффективны, поскольку спланированы и персонализированы с использованием собранной о жертве информации. Всё начинается со сбора сведений. Как правило, это самая длительная и трудоёмкая часть операции. А далее нужно подготовить и провести нападение. Со стороны всё выглядит довольно сложно и кажется, что провернуть такое под силу лишь элитным взломщикам. Однако реальность выглядит иначе.
Если в 2017 году доля нецелевых атак составляла 90%, а целевыми было всего 9,9%, в 2018 и 2019 году наблюдается устойчивый рост именно целевых атак. Если они настолько сложны в исполнении, почему их становится больше? И как проводятся современные целевые атаки, почему хакеры переключаются с массовых атак на таргетированные? Почему количество таких инцидентов, связанных с известными кибергруппировками, не так велико, как может показаться? Давайте разбираться.
Представим себе группу хакеров, которые решили провести атаку на завод, выпускающий фигурные зубочистки, чтобы похитить секрет их производства и продать его конкурентам. Рассмотрим, из каких этапов может состоять такая атака и какие инструменты для этого понадобятся.
Этап 1. Сбор информации
Хакерам нужно собрать как можно больше сведений о заводе, его руководстве и сотрудниках, сетевой инфраструктуре, а также о поставщиках и заказчиках. Для этого злоумышленники исследуют с помощью сканера уязвимостей сайт завода и все IP-адреса, принадлежащие предприятию. По публичным источникам составляется список сотрудников, изучаются их профили в соцсетях и сайты, которые они постоянно посещают. На основании собранной информации готовится план атаки и выбираются все необходимые утилиты и сервисы.
Инструменты: сканер уязвимостей, сервисы по продаже логов веб-сайтов, похищенные учётные данные электронной почты и сайтов.
Этап 2. Организация точек входа
Используя собранную информацию, хакеры готовят проникновение в сеть компании. Наиболее простой способ — это фишинговые письма с вредоносными вложениями или ссылками.
Преступникам не нужно владеть навыками социальной инженерии или разработки веб-эксплойтов для разных версий браузера — всё необходимое доступно в виде сервисов на хакерских форумах и в даркнете. За относительно небольшую плату эти специалисты подготовят фишинговые письма по собранным данным. Вредоносный контент для сайтов также можно приобрести как услугу «malicious-code-installation-as-a-service». При этом заказчику не понадобится вникать в детали реализации. Скрипт автоматически определит браузер и платформу жертвы и проэксплуатирует, воспользуется соответствующей версией эксплойта для внедрения и проникновения на устройство.
Инструменты: сервис «вредоносный код как услуга», сервис по разработке вредоносных фишинговых писем.
Этап 3. Соединение с управляющим сервером
После проникновения в сеть завода хакерам нужен плацдарм для закрепления и проведения дальнейших действий. Это может быть скомпрометированный компьютер с установленным бэкдором, принимающим команды от управляющего сервера на выделенном «абузоустойчивом» хостинге (или «жалобоустойчивый», он же «пуленепробиваемый» или BPHS — bulletproof hosting service). Другой способ предполагает организацию управляющего сервера прямо внутри инфраструктуры предприятия, в нашем случае завода. При этом не придётся скрывать трафик между установленным в сети вредоносом и сервером.
ИСТОЧНИК: TREND MICRO
На киберпреступных маркетах предлагаются различные варианты таких серверов, выполненные в виде полноценных программных продуктов, на которые даже предоставляется техническая поддержка.
Инструменты: «жалобоустойчивый» (пуленепробиваемый) хостинг, С&C server-as-a-service.
Этап 4. Боковые перемещения
Далеко не факт, что доступ на первый сдавшийся скомпромитированный компьютер в инфраструктуре завода даст возможность получить сведения о производстве фигурных зубочисток. Чтобы добраться до них, требуется выяснить, где хранится главный секрет и как до него добраться.
Этот этап называют «боковыми перемещениями» (lateral movement). Как правило, для его проведения используются скрипты, автоматизирующие сканирование сети, получение административных привилегий, снятие дампов с баз данных и поиск хранящихся в сети документов. Скрипты могут использовать утилиты операционных систем или загружать оригинальные разработки, доступные за дополнительную плату.
Инструменты: скрипты для сканирования сети, получения административных привилегий, слива данных и поиска документов.
Этап 5. Сопровождение атаки
Времена, когда для сопровождения атаки хакерам приходилось сидеть, уткнувшись в терминал, и непрерывно стучать по клавишам, набирая различные команды, ушли в прошлое. Современные киберпреступники используют для координации своей работы удобные веб-интерфейсы, панели и дашборды. Стадии проведения атаки отображаются в виде наглядных графиков, оператор получает уведомления о возникающих проблемах, причём для их решения могут предлагаться различные варианты действий.
Инструменты: веб-панель управления атакой
Этап 6. Хищение информации
Как только необходимые сведения обнаружены, необходимо максимально быстро и незаметно передать её из сети завода хакерам. Передачу нужно замаскировать под легитимный трафик, чтобы система DLP ничего не заметила. Для этого хакеры могут использовать защищённые соединения, шифрование, упаковку и стеганографию.
Инструменты: крипторы, шифраторы, VPN-туннели, DNS-туннели.
Результат атаки
Наши гипотетические хакеры с лёгкостью проникли в сеть завода, нашли необходимую заказчику информацию и похитили её. Всё, что им для этого потребовалось, — относительно небольшая сумма на аренду хакерских инструментов, которую они с лихвой компенсировали, продав секрет зубочисток конкурентам.
Выводы
Всё необходимое для проведения целевых атак легко доступно в даркнете и на хакерских форумах. Купить или арендовать инструментарий может любой желающий, причём уровень предложения настолько высок, что продавцы предлагают техподдержку и постоянно снижают цены. При таком раскладе нет смысла тратить время, стреляя из пушки по колибри и делать широкомасштабные вредоносные кампании. Значительно бо́льшую отдачу принесут несколько целевых атак.
Элитные хакерские группировки тоже идут в ногу с трендами и диверсифицируют риски. Они понимают, что проведение атак — вещь опасная, хотя и прибыльная. Во время подготовки атак и в паузах между ними тоже хочется кушать, а значит, дополнительный доход не помешает. Так почему не дать другим воспользоваться своими разработками за достойное вознаграждение? Это породило массовое предложение хакерских услуг в аренду и по законам рынка привело к снижению их стоимости.
ИСТОЧНИК: TREND MICRO
В результате порог входа в сегмент целевых атак понизился, и аналитические компании год за годом отмечают рост их количества.
Ещё одно следствие доступности инструментария на киберпреступных маркетплейсах состоит в том, что теперь атаки APT-группировок значительно сложнее отличить от атак, проводимых преступниками, которые берут их инструментарий в аренду. Таким образом, защита от APT и неорганизованных киберпреступников требует практически одинаковых мероприятий, хотя для противостояния APT нужно больше ресурсов.
В качестве эмпирического критерия, по которым выявляются действия APT-хакеров, остаются только сложность и оригинальность проводимых атак, использование уникальных разработок и эксплойтов, недоступных на андерграундных маркетплейсах, более высокий уровень владения инструментарием.