Как выглядят современные целевые атаки

    image

    Целевые кибератаки отличаются от массовых хакерских атак тем, что направлены на конкретную компанию или организацию. Такие атаки максимально эффективны, поскольку спланированы и персонализированы с использованием собранной о жертве информации. Всё начинается со сбора сведений. Как правило, это самая длительная и трудоёмкая часть операции. А далее нужно подготовить и провести нападение. Со стороны всё выглядит довольно сложно и кажется, что провернуть такое под силу лишь элитным взломщикам. Однако реальность выглядит иначе.

    Если в 2017 году доля нецелевых атак составляла 90%, а целевыми было всего 9,9%, в 2018 и 2019 году наблюдается устойчивый рост именно целевых атак. Если они настолько сложны в исполнении, почему их становится больше? И как проводятся современные целевые атаки, почему хакеры переключаются с массовых атак на таргетированные? Почему количество таких инцидентов, связанных с известными кибергруппировками, не так велико, как может показаться? Давайте разбираться.

    Представим себе группу хакеров, которые решили провести атаку на завод, выпускающий фигурные зубочистки, чтобы похитить секрет их производства и продать его конкурентам. Рассмотрим, из каких этапов может состоять такая атака и какие инструменты для этого понадобятся.

    Этап 1. Сбор информации


    Хакерам нужно собрать как можно больше сведений о заводе, его руководстве и сотрудниках, сетевой инфраструктуре, а также о поставщиках и заказчиках. Для этого злоумышленники исследуют с помощью сканера уязвимостей сайт завода и все IP-адреса, принадлежащие предприятию. По публичным источникам составляется список сотрудников, изучаются их профили в соцсетях и сайты, которые они постоянно посещают. На основании собранной информации готовится план атаки и выбираются все необходимые утилиты и сервисы.

    Инструменты: сканер уязвимостей, сервисы по продаже логов веб-сайтов, похищенные учётные данные электронной почты и сайтов.

    Этап 2. Организация точек входа


    Используя собранную информацию, хакеры готовят проникновение в сеть компании. Наиболее простой способ — это фишинговые письма с вредоносными вложениями или ссылками.

    Преступникам не нужно владеть навыками социальной инженерии или разработки веб-эксплойтов для разных версий браузера — всё необходимое доступно в виде сервисов на хакерских форумах и в даркнете. За относительно небольшую плату эти специалисты подготовят фишинговые письма по собранным данным. Вредоносный контент для сайтов также можно приобрести как услугу «malicious-code-installation-as-a-service». При этом заказчику не понадобится вникать в детали реализации. Скрипт автоматически определит браузер и платформу жертвы и проэксплуатирует, воспользуется соответствующей версией эксплойта для внедрения и проникновения на устройство.

    Инструменты: сервис «вредоносный код как услуга», сервис по разработке вредоносных фишинговых писем.

    Этап 3. Соединение с управляющим сервером


    После проникновения в сеть завода хакерам нужен плацдарм для закрепления и проведения дальнейших действий. Это может быть скомпрометированный компьютер с установленным бэкдором, принимающим команды от управляющего сервера на выделенном «абузоустойчивом» хостинге (или «жалобоустойчивый», он же «пуленепробиваемый» или BPHS — bulletproof hosting service). Другой способ предполагает организацию управляющего сервера прямо внутри инфраструктуры предприятия, в нашем случае завода. При этом не придётся скрывать трафик между установленным в сети вредоносом и сервером.

    image
    ИСТОЧНИК: TREND MICRO

    На киберпреступных маркетах предлагаются различные варианты таких серверов, выполненные в виде полноценных программных продуктов, на которые даже предоставляется техническая поддержка.

    Инструменты: «жалобоустойчивый» (пуленепробиваемый) хостинг, С&C server-as-a-service.

    Этап 4. Боковые перемещения


    Далеко не факт, что доступ на первый сдавшийся скомпромитированный компьютер в инфраструктуре завода даст возможность получить сведения о производстве фигурных зубочисток. Чтобы добраться до них, требуется выяснить, где хранится главный секрет и как до него добраться.

    Этот этап называют «боковыми перемещениями» (lateral movement). Как правило, для его проведения используются скрипты, автоматизирующие сканирование сети, получение административных привилегий, снятие дампов с баз данных и поиск хранящихся в сети документов. Скрипты могут использовать утилиты операционных систем или загружать оригинальные разработки, доступные за дополнительную плату.

    Инструменты: скрипты для сканирования сети, получения административных привилегий, слива данных и поиска документов.

    Этап 5. Сопровождение атаки


    Времена, когда для сопровождения атаки хакерам приходилось сидеть, уткнувшись в терминал, и непрерывно стучать по клавишам, набирая различные команды, ушли в прошлое. Современные киберпреступники используют для координации своей работы удобные веб-интерфейсы, панели и дашборды. Стадии проведения атаки отображаются в виде наглядных графиков, оператор получает уведомления о возникающих проблемах, причём для их решения могут предлагаться различные варианты действий.

    Инструменты: веб-панель управления атакой

    Этап 6. Хищение информации


    Как только необходимые сведения обнаружены, необходимо максимально быстро и незаметно передать её из сети завода хакерам. Передачу нужно замаскировать под легитимный трафик, чтобы система DLP ничего не заметила. Для этого хакеры могут использовать защищённые соединения, шифрование, упаковку и стеганографию.

    Инструменты: крипторы, шифраторы, VPN-туннели, DNS-туннели.

    Результат атаки


    Наши гипотетические хакеры с лёгкостью проникли в сеть завода, нашли необходимую заказчику информацию и похитили её. Всё, что им для этого потребовалось, — относительно небольшая сумма на аренду хакерских инструментов, которую они с лихвой компенсировали, продав секрет зубочисток конкурентам.

    Выводы


    Всё необходимое для проведения целевых атак легко доступно в даркнете и на хакерских форумах. Купить или арендовать инструментарий может любой желающий, причём уровень предложения настолько высок, что продавцы предлагают техподдержку и постоянно снижают цены. При таком раскладе нет смысла тратить время, стреляя из пушки по колибри и делать широкомасштабные вредоносные кампании. Значительно бо́льшую отдачу принесут несколько целевых атак.

    Элитные хакерские группировки тоже идут в ногу с трендами и диверсифицируют риски. Они понимают, что проведение атак — вещь опасная, хотя и прибыльная. Во время подготовки атак и в паузах между ними тоже хочется кушать, а значит, дополнительный доход не помешает. Так почему не дать другим воспользоваться своими разработками за достойное вознаграждение? Это породило массовое предложение хакерских услуг в аренду и по законам рынка привело к снижению их стоимости.

    image
    ИСТОЧНИК: TREND MICRO

    В результате порог входа в сегмент целевых атак понизился, и аналитические компании год за годом отмечают рост их количества.

    Ещё одно следствие доступности инструментария на киберпреступных маркетплейсах состоит в том, что теперь атаки APT-группировок значительно сложнее отличить от атак, проводимых преступниками, которые берут их инструментарий в аренду. Таким образом, защита от APT и неорганизованных киберпреступников требует практически одинаковых мероприятий, хотя для противостояния APT нужно больше ресурсов.

    В качестве эмпирического критерия, по которым выявляются действия APT-хакеров, остаются только сложность и оригинальность проводимых атак, использование уникальных разработок и эксплойтов, недоступных на андерграундных маркетплейсах, более высокий уровень владения инструментарием.
    Trend Micro
    Компания

    Комментарии 1

      +1
      На последней картинке — цена за 1к установок малвари поидее?
      Там давным давно конвеер, одни «хакеры» генерят траф, другие дают сервис для заражений, третьи покупают загрузки и уже делают все плохие вещи по отъему денег у населения.

      Думаю, что снижение цены тут было неправильно интерпретировано.
      Цена 1к лоадов просто определяется тем, сколько в среднем денег удается отжать с этих зараженных машин.
      Пользователей становится больше, ростет сегмент менее платежеспособных пользователей, у которых мало что можно украсть.
      Ну и те у кого есть деньги видимо повышают свои компетенции, отдельные компы под банковские операции и всякие 2fa.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое