Контакты
Подписка
МЕНЮ
Контакты
Подписка

Смертельное оружие

Смертельное оружие

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Смертельное оружие

С одной стороны, рынок средств защиты от целенаправленных атак существует довольно давно. Однако едва ли можно сказать, что руководители российских компаний в достаточной степени осведомлены о сути, особенностях целенаправленных атак, а также о том, кому они действительно угрожают.
Всеволод Иванов
Исполнительный директор компании InfoWatch

Существует убеждение, что средство для реализации целенаправленной атаки – программа, создание которой представляет собой технически сложную задачу. Это глубокое заблуждение. Написание такого ПО не более чем востребованная услуга, предмет купли-продажи на черном рынке. Сложность и качество такой программы зависит только от того, сколько денег готов заплатить хакеру заказчик. По данным National Research Division, количество таких утилит на черном рынке за последнее время выросло примерно в 30 раз, а количество выпускаемых версий еще больше, что свидетельствует о высоком спросе.

Наш подход отличается от прочих тем, что InfoWatch Targeted Attack Detector реагирует не на определенные признаки злонамеренного ПО, а на нехарактерные, аномальные изменения в IТ-системе компании, которые являются следствием действий такого ПО. Действия злоумышленников неизбежно приводят к аномальным изменениям в работе хотя бы одной из систем компании. Так что если антивирус можно сравнить с сигнализацией, а файрвол – с замком, то наш продукт – это охранник, который обходит здание и проверяет, все ли в порядке.

Кто же нуждается в услугах "охранника"?

Пока у всех на слуху хакерские атаки исключительно государственного масштаба, такие как Stuxnet, Duqu, "Красный Октябрь", Операция Аврора" и пр., люди продолжают считать, что целенаправленная атака – это инструмент шпионов и хакеров мирового уровня, вроде команды Итона Ханта, героя фильма "Миссия невыполнима". Кто же станет атаковать скромную организацию, не имеющую не то что международного влияния, но даже серьезных активов?

Антивирусы бессильны перед такими "кастомизированными" вредоносными программами, поскольку они создаются специально для обхода данных средств защиты. Это признают и сами антивирусные вендоры. Проверку функционала какой-либо программы в изолированной среде (в так называемой песочнице) тоже можно обойти. Современное злонамеренное ПО вполне в состоянии определять, что его запускают в "песочнице" и маскироваться под легитимное. Фильтрация сетевого трафика часто дает огромное количество ложных срабатываний, из-за которых IТ-специалист со временем просто перестает обращать пристальное внимание на предупреждения, и использование системы становится неэффективным.

В этой связи хотелось бы рассказать подробнее о недавнем случае использования целенаправленной атаки как средства конкурентной борьбы. Небольшая организация, торгующая автомобильными запчастями, стала страдать от оттока клиентов. И дело было не в клиентах, купивших какую-либо запчасть и в дальнейшем предпочитавших обращаться к конкурентам, нет. До покупки дело просто не доходило: человек заказывал деталь, и впоследствии отменял заказ буквально за несколько часов до покупки. Какое-то время владельцы бизнеса объясняли все неудачным стечением обстоятельств, пока им не стало известно, что дело обстоит сложнее: оказалось, что клиентов, накануне сделавших заказ, обзванивали конкуренты, предлагая им аналогичную деталь, но дешевле. Разумеется, большинство соглашались и отменяли заказ.

Необходимо было понять, как база заказов с телефонами клиентов попадает к конкурентам. В компании было установлено решение InfoWatch Targeted Attack Detector, которое и обнаружило на одном из компьютеров специально написанное ПО, которое в определенное время после окончания рабочего дня активизировалось, копировало базу заказов и высылало ее куда-то вовне. Как выяснилось в дальнейшем, специально написанное ПО, которое не смог обнаружить антивирус, было принесено и установлено на рабочем компьютере одним из сотрудников компании.

Из чуть более давних примеров атак вспоминается случай в банке, когда платеж на 100 млн руб. вместо легитимного маршрута внезапно ушел на счет, открытый на Кипре, после чего программа самоуничтожилась. И это тоже не какой-то уникальный случай: разработка злонамеренного ПО, нацеленного на конкретную инфраструктуру и обход средств защиты.

Что может делать такой типовой "троянец"?

К примеру, находиться в процессинговом центре банка и при проведении каждого платежа направлять на счет злоумышленника не всю сумму, как в приведенном выше примере, а только процент от нее, причем настолько небольшой, что никто не придаст этому значения. Главное – не жадничать, и тогда троянская программа сможет оставаться незамеченной достаточно долго. Известен случай, когда в крупной компании-ритейлере через систему обновлений ПО для кассовых аппаратов была загружена вредоносная программа, которая перенаправляла очень скромный процент от каждого платежа на счет злоумышленника. Однако, оставаясь незамеченной в течение двух лет, эта программа "вывела" из компании в общей сложности $20 млн, после чего самоуничтожилась. Вся история стала известна только благодаря тщеславию хакера, который стал хвастать своими успехами в Интернете.

Эти примеры наглядно демонстрируют, что такое оружие хакеров, как целенаправленная атака, если ее вовремя не обнаружить, может стать смертельной для компании любого масштаба. Ситуация не изменится, если компании и дальше будут следовать принципу "пока гром не грянет, мужик не перекрестится". Пока целенаправленные атаки кажутся компаниям оружием будущего, хакеры успешно применяют его в нашем с вами настоящем.

INFOWATCH
123022 Москва,
ул. 2-я Звенигородская, 13, стр. 41
Тел.: (495) 229-0022
E-mail: info@infowatch.ru
www.infowatch.ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2014
Посещений: 5925

Приобрести этот номер или подписаться
  Автор

Всеволод Иванов

Всеволод Иванов

Исполнительный директор компании InfoWatch

Всего статей:  3

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций