ОБЩАЯ КАРТИНА УГРОЗ

Методы атак сегодня стали куда изощреннее, чем несколько лет назад. Это связано с возросшим интересом к соцсетям. Есть и другой фактор: если раньше хакеры взламывали просто ради кражи, то теперь они занимаются вымогательством. Вот несколько фактов, позволяющих оценить ситуацию, сложившуюся в этой отрасли.

– Потеря данных не лучше, чем потеря денег. Результатом большинства компьютерных атак 2016 года (по нашим данным, 46%) стала компрометация данных. Не обошли вниманием и простых пользователей: утекло множество учетных данных Yahoo, «ВКонтакте» и других массовых сервисов.

– Целевые атаки: через человека – в корпорацию. Более половины кибератак, совершенных в 2016 году, являются целевыми (62%), причем большинство из них направлено на корпоративные активы. В последние годы такие атаки стали более скрытными: среднее время присутствия атакующих в системе увеличилось до 3 лет (максимальное — 8 лет). При этом лишь 10% атак выявляются самими жертвами: в 90% случаев они узнают о том, что были атакованы, из внешних источников.

Популярным способом проникновения является социальная инженерия, чаще всего – таргетированный фишинг в виде делового письма. Атаки с использованием социальной инженерии наблюдаются во всех сферах, уровень осведомленности большинства компаний очень низок. Потери от одного фишингового письма могут превышать 50 млн евро (атака на австрийскую аэрокосмическую компанию FACC, атака на бельгийский банк Crelan). Именно с фишинговых писем начались и многие успешные атаки на финансовый сектор России, стран СНГ и Восточной  Европы, включая атаку Cobalt.

– Выкуп на высшем уровне. В прошлые годы ransomware, то есть программы, требующие выкуп за прекращение вредоносных действий, в основном ассоциировались с троянами-шифровальщиками, которые терроризировали отдельных пользователей, шифруя файлы на их компьютерах. В 2016 году, не в последнюю очередь благодаря удобству и анонимности использования криптовалюты Bitcoin, атакам с требованием выкупа активно подвергались и крупные организации. Иногда это делают те же трояны-шифровальщики, которые атакуют всех без разбора – как в случае бухгалтерии казанского МВД, метро Сан-Франциско и целого множества американских клиник. Однако есть и ряд прицельных бизнес-схем. В частности, продолжает развиваться техника DDoS for Ransom: демонстрация DDoS-атаки с обещанием продолжить ее, если не будет выплачен выкуп. Эта бизнес-модель объясняет некоторые DDoS-атаки, которые со стороны кажутся бессмысленными рекордами: злоумышленники демонстрируют свои возможности на популярных площадках, чтобы пугать потенциальных жертв. В некоторых случаях жертвы платят, даже не дожидаясь какой-либо атаки на их собственные ресурсы.

КТО В ЗОНЕ РИСКА?

Хакерским атакам подвергаются абсолютно все сферы, но есть и самые популярные мишени. В прошлом году в топ уязвимых секторов попали финансовые организации, IoT, телекоммуникация и веб-сервисы.

– Промышленные системы управления – под ударом энергетика. Согласно исследованию Positive Technologies «Безопасность АСУ ТП в цифрах», количество уязвимых компонентов промышленных систем управления из года в год не снижается. Практически половина уязвимостей, найденных уже в 2016 году, имеет высокую степень риска.

Так, наши специалисты выявили уязвимость в системе Siemens SICAM PAS для управления энергосистемами. В целом, среди найденных в интернете компонентов АСУ ТП только две трети можно условно назвать защищенными. При этом самыми распространенными компонентами, доступными через интернет (как правило, с несложным словарным паролем), являются системы для автоматизации зданий (Tridium / Honeywell), а также системы мониторинга и управления электроэнергией, в том числе на основе солнечных батарей (SMA Solar Technology). Такая ситуация приводит к атакам: в декабре 2015 и 2016 годов были взломаны электросети Украины, тысячи людей были лишены электричества. То же самое ПО для систем управления используется и в других странах, поэтому некоторые уже предпринимают новые меры безопасности – опубликована стратегия США и Канады по защите энергосетей, а также черновик руководства по кибербезопасности АЭС от МАГАТЭ.

– Между АСУ и IoT. По итогам 2015 года мы отмечали, что различные системы автоматизации с дистанционным управлением все активнее входят в повседневную жизнь людей – например, взлом «умного дома» может повлиять на работу вентиляции, отопления и других систем жизнеобеспечения. Но если в случае АСУ, применяемых на производстве, уже есть целый ряд средств и политик безопасности, то пользователи IoT лишены такой защиты. Как правило, даже нет интерфейсов, позволяющих понять, что устройство скомпрометировано, обновить его прошивку или поставить на нем антивирус. Поэтому неудивительно появление Mirai и других ботнетов из миллионов зараженных веб-камер. Следующим по популярности (для хакеров) «умным» устройством обещает стать Smart TV. Правда, бизнес-модель здесь другая: телевизор обладает большим экраном, где можно разместить требование выкупа.

Не исключено, что ситуация в сфере интернета вещей может потребовать регулирования минимального уровня защищенности устройств – если производители сами не проявят сознательность в этом вопросе, то подключится государство, которое займется вопросами сертификации и стандартизации подобной продукции. Среди мер противодействия стоит отметить разработку рекомендаций The Industrial Internet Security Framework. Документ, подготовленный экспертами крупных IT- и ИБ-компаний, интересен тем, что связывает ICS и IoT общими практиками безопасности. Однако это лишь рекомендации: не факт, что производители IoT-устройств будут их применять.

– Рост атак на все финансовые системы (SWIFT, межбанковские переводы, процессинг, ДБО, АБС, банкоматы, платежные терминалы, мобильные платежные системы). По оценкам наших экспертов, количество атак будет продолжать расти как минимум на 30% за год. Основные причины такой ситуации – банки используют старые реактивные подходы к ИБ и защиту «из коробки» (которая не работает), отказываются от регулярного анализа защищенности. В то же время хакеры, увидев «легкие деньги», начинают тиражировать успешные атаки. Злоумышленники чаще применяют легитимные коммерческие инструменты, а также встроенные функции ОС, что позволяет им скрывать свою вредоносную активность в инфраструктуре. Ярким примером могут служить атаки на банки России и Восточной Европы, осуществленные группой Cobalt: злоумышленники взяли на вооружение коммерческое ПО для проведения легальных тестов на проникновение, а для загрузки на серверы и рабочие станции необходимых утилит они применяли легитимные веб-ресурсы (в частности, github.com). Для удаленного управления банкоматами использовалась программа RAdmin, которую активно применяли администраторы атакованного банка, потому ее запуск не вызвал подозрений у отдела безопасности.

– Веб-ресурсы являются самым популярным объектом для современных кибератак. В 2016 году был проведен ряд пилотных проектов по внедрению защитного экрана Positive Technologies Application Firewall (PT AF) в различных организациях, что позволило нам проанализировать общую картину веб-атак 2016 года. Вот некоторые выводы:

Атаки на государственные сайты – самые частые (более 3 000 в день). Интернет-магазины занимают вторую строчку в этом рейтинге: в день регистрировалось около 2200 атак. В финансовой сфере PT AF регистрировал около 1400 атак в день. Интересный факт – в 2016 году был активно атакован информационноаналитический центр, в функции которого входит обработка результатов государственных экзаменов. Лидируют простые атаки. Наиболее популярные атаки года – «Внедрение операторов SQL», «Выполнение команд ОС», «Выход за пределы назначенной директории (PathTraversal)» и «Межсайтовое выполнение сценариев». Они не требуют лишних затрат и дополнительных условий, а необходимые для этих атак уязвимости встречаются на сайтах по-прежнему часто.

– Телекоммуникации. Ряд скандалов со взломом аккаунтов в мобильных мессенджерах типа Telegram или WhatsApp продемонстрировали, что угроза атак через древний протокол SS7 и его более молодого преемника, протокол Diameter, по-прежнему актуальна, хотя операторы начали предпринимать меры для улучшения ситуации.

– Слишком много беспроводного. Мода интернет-вещей сопровождается активным использованием известных протоколов с известными уязвимостями (GSM, Wi-Fi, Zigbee, Bluetooth). Интересен случай Deutsche Telekom – после того как почти миллион домашних роутеров пострадали из-за хакерской атаки (попытка включения в Mirai-ботнет), немецкий оператор решил пересмотреть отношения с производителем уязвимых роутеров. Уже известны примеры, когда операторы проводят дополнительное тестирование защищенности новых устройств, прежде чем намереваются предложить пользователям эти устройства в рамках своих сервисов.

– Гаджеты. Большую угрозу представляют легитимные приложения с повышенными привилегиями, которые сами не выполняют вредоносных действий, но содержат уязвимости, позволяющие вредоносным приложениям проводить атаки практически незаметно. Такие уязвимости могут содержаться даже в приложениях, написанных опытными разработчиками. Известны случаи, когда из-за невнимательного отношения к настройке используемых SDK, добавление обычной библиотеки для удобного встраивания рекламы разрешало любому приложению на устройстве выполнять звонки на платные номера. Грядущие атаки на доверенную среду исполнения в мобильных устройствах могут привести к более серьезным последствиям, чем получение root-прав на телефоне. При этом «сфера влияния» мобильных приложений расширяется: приложения для управления бытовыми приборами или для игр с дополненной реальностью (Pokemon Go) дают злоумышленникам новые возможности вмешательства в жизнь своих жертв. А после случаев возгорания Samsung Galaxy Note 7 довольно пугающей представляется идея программного контроля батарей мобильных устройств.


Андрей Новиков, менеджер по работе с
ключевыми клиентами Positive Technologie