Как стать автором
Обновить
0
Varonis Systems
Защита от внутренних угроз и комплексных кибератак

Кибершпионаж: Можно ли было остановить российских и корейских хакеров (используя UBA)?

Время на прочтение4 мин
Количество просмотров3K
Автор оригинала: Andy Green
Раньше для того, чтобы проникнуть в Национальный комитет Демократической партии не виртуальным ворам было необходимо взломать реальные дверные замки и «порыться» в картотеках. Кража секретов производства реактивного истребителя, например, предполагает незаконное проникновение в помещение в отсутствии владельца и требует реализации некоторых талантов вора, а так же активизации определенных знаний, касающихся скажем особенностей работы малюсеньких шпионских камер. Затем, этот шпион мог передать микро-фильм курьеру, обмениваясь одинаковыми конвертами.

Времена изменились.

image



За последние несколько дней, две истории предоставили нам достаточное количество доказательств того, насколько сильно современный шпионаж переплетается с хакерскими взломами. Кибер-шпионы могут вести первоклассные разведывательные операции, не выходя со своего рабочего места в ИТ-подразделениях силовых структур.

«Шпионы как мы»

Вчера, The Washington Post заявила, что российские правительственные хакеры проникли в компьютерную сеть DNC.

По мнению экспертов в области безопасности, которые были вовлечены в историю со взломом сети DNC, кибер-шпионы тщательно скомпрометировали компьютеры DNC и смогли прочитать все сообщения электронной почты и чата.

К сожалению, эта новость вряд ли является неожиданностью. На самом деле, прогнозировалось, что это произойдет.

Считается, что две самостоятельные и, возможно, конкурирующие российские хакерские группы участвовали в этом, одна из которых уже внедрялась в сеть DNC прошлым летом. Никакой информации о спонсорах получено не было. Хакеры занимались шпионажем, получая доступ к информации об оппозиции Донольда Трампа, размещенной в сети DNC.

Позже на Корейском полуострове, должностные лица Южной Кореи обнародовали 40000 документов, связанных с дизайном крыла американского истребителя F-15, который с радостью были приняты для использования северными соседями.

Скрытность атак

Для начала давайте рассмотри инцидент с российскими хакерами.

Одна из российских кибер-групп, участвующих во взломе сети DNC, называется Cozy Bear. Это та же самая группа, которая взяла на себя ответственность за кибер-атаку Белого Доме. Вторая группа называется Fancy Bear, и они были известны за использование атак нулевого дня.

Эксперты по безопасности говорят, что обе группы ранее также использовали фишинг-атаки. Считается, что Cozy Bear и Fancy Bear связаны с российскими спецслужбами.

На данный момент, однако, неизвестно, как именно хакеры внедрились в сеть DNC.

Тем не менее, известно, что получив доступ к сети, они внедряют дистанционные трояны (RATs) и закладки, которые позволяют им удаленно входить при нажатии определенных клавиш, выполнять команды, а также передавать файлы. Российские кибер-преступники также используют команды управления и контроля (C2), которые помогают управлять RATs в потоке HTTP.

И пока ИТ-администраторы были обеспокоены, некоторые пользователи сети DNC пользовались одним или несколькими веб-сайтами, хотя на самом деле эти C2 веб-сайты были введении кибер-преступниками и использовались для организации атаки.

Российские кибер-шпионы маскировали свои действия с помощью команд PowerShell(malware-less hacking). И они также украли учетные данные с Mimikatz, который был запущен как скрытый сценарий PowerShell, в Pass-The-Hash / атаки Pass-The-Ticket.

Снимая шляпу перед нашими спецподразделениями, можно с уверенностью сказать, что северокорейцы использовали подобные методы. Фишинг почты, например, с участием поддельных удостоверений личности Apple, был использован для первоначального входа Sony в массивный doxing Пхеньяном этой компании.

Нынешняя атака, которая была начата против Korean Air Lines, началась в 2014 году. Вероятно, северокорейские кибер-шпионы использовали вышеупомянутые stealth-методы, чтобы сохранить свои implants и документ exfiltrating вне возможности их отследить.

Шпионские Уроки

Если просмотреть все вышеизложенное, ничего из этого – к сожалению, — не покажется вам новым или необычным. На самом деле, для тех, кто занимается отслеживанием подобных инцидентов в течение последних нескольких лет, очевидно, что различные методы и инструменты, просто части одного пазла.

В течение очень долгого времени умные хакеры обходили периметры защиты с помощью фишинга, SQL-injection, или атак нулевого дня. И как только они проникали внутрь, у них появлялось много способов, чтобы оставаться незаметными и избегать triggering вирусных сканеров.

Вместо того чтобы пытаться выстроить «высокую стену», более практичным в защите от хакеров, когда они внутри, было бы предотвращение их доступа к данным и утечки конфиденциальных данных.

В обоих случаях — с DNC и Korean Air Lines, — ИТ-команды в конце концов заметили некоторые аномалии. Тем не менее, на данный момент, уже слишком поздно улучшать надзор за оборотом внутренних электронных писем и удалением данных.

Гораздо более хорошим решением будет автоматизировать обнаружение таких аномалий, для того, чтобы в случае если некий пользователь открывает доступ к файлам в необычное для этого время или пользователь, который почти не запускает или никогда не запускает исполняемые файлы, с помощью PowerShell делает это, раздавался сигнал тревоги.

В данном случае речь идет о User Behavior Analytics (UBA). Данные случаи учат нас, что защита конфиденциальных данных слишком важна, чтобы основываться на догадках или слепой удаче IT специалиста при контрольной проверке.

Вместо этого, прогнозируемые алгоритмы UBA могут сравнивать текущие модели доступа c историческими для того, чтобы заметить хакеров в реальном времени.

Представьте, что UBA может помочь Вашей IT-структуре шпионить за хакерами и кибер-шпионами. Это гораздо эффективнее и дешевле, чем обучать и оснащать агента. Почти 007!

Хотите получить UBA? Узнайте больше о том, как VARONIS может защитить Ваши данные!
Теги:
Хабы:
Всего голосов 5: ↑1 и ↓4-3
Комментарии5

Публикации

Информация

Сайт
varonis.com
Дата регистрации
Дата основания
Численность
1 001–5 000 человек
Местоположение
США

Истории