Методы обнаружения вирусов

Kaspersky Security Bulletin 2013. Корпоративные угрозы


PDF-версия отчета


Оглавление

  1. Развитие угроз в 2013 году
  2. Корпоративные угрозы
  3. Основная статистика за 2013 год
  4. Прогнозы

За последние два года количество обнаруживаемых серьезных кибератак выросло настолько, что каждая новая атака уже редко вызывает удивление. Отчеты антивирусных компаний об обнаружении очередного ботнета или хитрого образца вредоносного программного обеспечения для сбора данных  появляются регулярно.

Все чаще потенциальными жертвами кибератак становятся коммерческие компании. Согласно результатам опроса, проведенного «Лабораторией Касперского» и аналитической компанией «B2B International», 91% опрошенных организаций в мире хотя бы один раз в течение года подверглись кибератаке, 9% компаний стали мишенью целевых атак.

 

Использование компьютеров и других цифровых устройств во всех бизнес-процессах создало основу для успешного применения  вредоносного программного обеспечения для коммерческого шпионажа и кражи корпоративных данных. Это открывает настолько большие возможности, что в ближайшем будущем вредоносные программы могут полностью заменить инсайдерскую разведку. Но риски для корпоративного сектора этим не ограничиваются. Зависимость успешности бизнеса от надежной работы компьютеров и каналов связи между ними дает злоумышленникам основание для использования различных программ деструктивного действия: от шифровальщиков и «программ-стирателей», распространяющихся, как болезнь, в корпоративной среде, до армии послушных зомби, поглощающих все свободные ресурсы корпоративных интернет-серверов и сетей передачи данных.

Зачем атакуют

  1. Кража информации. Хищение ценных корпоративных данных, коммерческой тайны или персональных данных сотрудников и клиентов компании, мониторинг деятельности компании являются целью многих: от бизнесменов, которые обращаются к услугам  киберпреступников для проникновения в корпоративные сети конкурентов, до разведывательных служб разных стран.
  2. Уничтожение данных или блокирование работы инфраструктуры. Некоторые вредоносные программы используются для своего рода диверсий: их задача состоит в уничтожении важных данных или нарушении работы инфраструктуры компании.  Например,  троянские программы Wiper и Shamoon  стирают системные данные на рабочих станциях и серверах без возможности их восстановления.
  3. Кража денег. Заражение специализированными троянскими программами, похищающими финансовые средства через системы дистанционного банковского обслуживания (ДБО), а также целевые атаки на внутренние ресурсы процессинговых и финансовых центров приводят к финансовым потерям атакованных компаний.
  4. Удар по репутации компании. Успешность бизнеса и очень высокая посещаемость официальных сайтов компаний, особенно работающих в сфере интернет-услуг, привлекает злоумышленников. Взлом корпоративного сайта с последующим внедрением ссылок, направляющих посетителей на вредоносные ресурсы, вставка вредоносного рекламного баннера или размещение политически ориентированного сообщения на взломанном ресурсе наносит существенный урон отношению клиентов к компании.
    Еще одним критически важным репутационным риском является кража цифровых сертификатов IT-компаний. В отдельных случаях, например для компаний, имеющих свои публичные центры сертификации, потеря сертификатов или проникновение в инфраструктуру цифровой подписи может привести к полному уничтожению доверия к компании и последующему закрытию бизнеса.
  5. Финансовый ущерб. Одним из популярных способов нанесения прямого вреда компаниям и организациям являются DDoS-атаки. Киберпреступники разрабатывают новые способы проведения таких атак. В результате DDoS-атак порой на несколько дней выводятся из строя внешние веб-ресурсы компаний. В таких случаях клиенты не только не могут воспользоваться услугами атакованной компании, что наносит ей прямой финансовый ущерб, но и нередко  совсем отказываются от них в пользу более надежной компании, что ведет к уменьшению базы клиентов и долгосрочным финансовым потерям.
    В 2013 году выросла популярность атак типа DNS Amplification, когда злоумышленники с помощью ботнетов отправляют рекурсивные запросы к DNS-серверам, возвращая ответ на атакуемые системы. Именно так была проведена одна из самых мощных в этом году DDoS-атак — атака на сайт проекта Spamhaus.

Организации-мишени

При массовом распространении вредоносных программ жертвой киберпреступников может стать любая компания, компьютеры которой им удастся заразить. Так, даже в небольшую коммерческую компанию может проникнуть популярный банковский троянец (ZeuS, SpyEye и др.), что в результате приведет к потере и денег, и интеллектуальной собственности.

По результатам наших исследований, в 2013 году объектами целевых атак (тщательно спланированных действий по заражению сетевой инфраструктуры определенной организации или частного лица) стали предприятия нефтяной индустрии, телекоммуникационные компании, научно-исследовательские центры и компании, занятые в аэрокосмической, судостроительной и других отраслях промышленности, связанных с разработкой высоких технологий.

Подготовка атаки

Киберпреступники используют большой арсенал сложных инструментов для проникновения в корпоративные компьютерные сети. Планирование целевой атаки на компанию может занимать несколько месяцев, после чего используются все возможные технологии, начиная социальной инженерией и заканчивая эксплойтами к неизвестным уязвимостям в программном обеспечении.

Атакующие скрупулёзно изучают коммерческий профиль предприятия, публичные ресурсы, в которых можно почерпнуть любую полезную информацию, веб-сайты и веб-порталы компании, профили сотрудников в социальных сетях, анонсы и итоги различных презентаций, выставок и прочее. Преступники могут изучать сетевую инфраструктуру компаний, сетевые ресурсы и коммуникационные узлы для планирования стратегии проникновения и похищения информации.

Злоумышленники при планировании атаки могут создавать поддельные вредоносные веб-сайты, в точности копирующие внешний вид сайтов, принадлежащих компаниям-клиентам или партнерам атакуемой организации, регистрировать похожие по названию доменные имена. В дальнейшем их используют для обмана и заражения жертвы.

Методы проникновения

В 2013 году одним из самых популярных у злоумышленников методов проникновения вредоносных программ в корпоративную сеть стала рассылка сотрудникам атакуемой компании электронных писем с вредоносными вложениями. Чаще всего в такие письма вложен документ в привычном для офисных работников формате Word, Excel или PDF. При открытии вложенного файла эксплуатируется уязвимость в программном обеспечении и происходит заражение системы вредоносной программой.

Слабое звено

Зачастую получателями вредоносных писем становятся сотрудники, которые по характеру своей деятельности часто общаются с адресатами вне своей корпоративной структуры. Чаще всего вредоносная корреспонденция отправляется сотрудникам PR-отделов.

Подразделения, занимающиеся подбором кадров, также получают много писем от внешних пользователей. Злоумышленник может выступить в роли потенциального кандидата на открытую вакансию, вступить в переписку и прислать зараженный PDF-файл с резюме. Несомненно, такой файл будет открыт сотрудником HR, и при наличии уязвимости его рабочая станция будет заражена.

В финансовые подразделения компаний киберпреступники могут рассылать  вредоносные письма от имени налоговых органов — под видом разнообразных запросов, требований, заявлений и т.п. Юридические отделы могут получить вредоносные послания якобы от судебных органов, приставов и прочих органов государственной власти.

Социальная инженерия

Содержание письма обычно представляет интерес для сотрудника, которому оно адресовано, – оно связано либо с его обязанностями, либо со сферой деятельности компании. Так, например, в целевой атаке, направленной против частных компаний, занятых в сфере видеоигр, хакерская группа  Winnti использовала письма с предложением о сотрудничестве:

 

А шпион Miniduke рассылался с помощью письма о планах украинской внешней политики, в частности о взаимоотношениях Украины с НАТО:

 

Уязвимости и эксплойты

Киберпреступники активно используют эксплойты к известным уязвимостям в программном обеспечении.

Знаменитый Red October, например, использовал как минимум три различных эксплойта для уже известных уязвимостей в Microsoft Office — CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) и CVE-2012-0158 (MS Word), а зловред Nettraveler — эксплойт для CVE-2013-2465, уязвимости в  Java версий 5, 6 и 7, которая была устранена Oracle лишь в июне 2013 г.

Но наиболее опасными являются уязвимости, которые еще неизвестны разработчику (0-day уязвимости). Киберпреступники активно ищут в популярных программах еще неизвестные бреши и создают к ним эксплойты. При наличии такой уязвимости в ПО вероятность ее эксплуатации очень высока. Такую уязвимость (CVE-2013-0640) в Adobe Reader версий 9, 10, 11, на время атаки еще неизвестную, использовал Miniduke.

Технологии

Киберпреступники постоянно совершенствуют вредоносное программное обеспечение, используют необычные подходы и решения для хищения информации.

Red October  после проникновения в систему работал как многофункциональная модульная платформа и в зависимости от цели добавлял в зараженную систему различные модули, каждый из которых осуществлял определенный набор действий: первичный сбор информации о зараженной машине и сетевой инфраструктуре, кражу паролей от различных сервисов, клавиатурный шпионаж, самораспространение, передачу похищенной информации и т.д.

Также стоит отметить, что киберпреступники не могли не обратить внимания на развитие мобильных технологий и распространение мобильных устройств в корпоративной среде. Современный смартфон или планшет является практически полноценной рабочей станцией и хранит множество данных, становясь таким образом целью злоумышленников. Создатели Red October  разработали специальные модули, которые определяли, когда к зараженной рабочей станции подключались смартфоны на платформах Apple iOS, Windows Mobile и телефоны производства Nokia, затем копировали с них данные и отсылали на сервер управления.

Создатели Kimsuky внедрили в зловред целый модуль по удаленному управлению зараженными системами, причем сделали это на основе вполне легитимного средства удаленного администрирования TeamViewer, немного модифицировав его программный код. После чего несколько операторов подключались к инфицированным компьютерам вручную, собирая и копируя информацию, представляющую интерес.

Хакерская группа Winnti похищала в корпоративных сетях разработчиков онлайн-игр цифровые сертификаты и подписывала ими свой вредоносный драйвер, заражая в дальнейшем другие компании. Например, был похищен цифровой сертификат южнокорейской компании KOG. После того как мы уведомили компанию о хищении, сертификат был отозван.

Отозванный сертификат:

 

Кроме того одним из модулей 64-битного троянца был полнофункциональный бэкдор  — это первый известный нам случай использования 64-битных вредоносных программ, имеющих действительную цифровую подпись легальной компании.

Шпионский зловред Miniduke использовал Twitter для получения информации о серверах управления. Операторы Miniduke с помощью специально созданных аккаунтов публиковали определенным образом сформированные твиты с зашифрованным адресом управляющего сервера:

 

Троянец с зараженной машины читал Twitter и подключался к управляющим системам.

Что крадут

Злоумышленники заинтересованы в похищении самой разной информации. Это могут быть новейшие технологические разработки компаний и научно-исследовательских институтов, исходные коды программных продуктов, финансовые и юридические документы, персональные данные сотрудников и клиентов, а также любая иная информация, представляющая коммерческую тайну.  Часто эта информация хранится  в незашифрованном состоянии в сетях предприятий в виде электронных документов, технических заданий, отчетов, чертежей, презентаций, изображений и т.д.

Как говорилось выше, киберпреступники используют различные подходы к сбору данных. Некоторые зловреды собирают практически все виды электронных документов. Например, Red October интересовали документы в форматах txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau и т.д., которые вредоносная программа отсылала на управляющие серверы.

Другой подход, отмеченный нами в Kimsuky и Icefog, – практически сделанный вручную анализ хранящихся данных в корпоративных сетях (с помощью встроенных в зловреды технологий удаленного доступа к зараженным рабочим станциям) и последующее копирование только тех документов, которые представляли интерес для злоумышленников. При этом злоумышленники учитывают все особенности атакуемой компании и четко представляют, какие форматы данных там используют и какую информацию хранят. Так, в случае Kimsuky и Icefog происходила кража весьма специфичных для компаний-жертв документов в формате hwp, популярных в Южной Корее.

Новая тенденция: кибернаемники

Исследуя последние целевые атаки, мы пришли к выводу, что в мире киберпреступников появилась новая категория атакующих, которую мы назвали «кибернаемники». Это организованные группы хакеров с очень высоким уровнем подготовки, которые могут быть наняты правительствами и частными компаниями для организации и проведения сложных эффективных целевых атак на частные компании с целью кражи информации, уничтожения данных или инфраструктуры.

Кибернаемники получают контракт, в котором указаны цели и характер задания, после чего начинают тщательную подготовку и осуществление атаки.  Если раньше при целевых атаках происходило массовое хищение различной информации, то кибернаемники стремятся добыть вполне конкретные документы или контакты людей, которые могут владеть искомой информацией.

В 2013 году мы расследовали деятельность группы кибернаемников IceFog, осуществлявшей одноименные целевые атаки. В ходе расследования нам удалось обнаружить журнал активности операторов Icefog, подробно описывающий все действия атакующих. По этим записям было понятно, что злоумышленники знали, в каких директориях должна находиться интересующая их информация.

Последствия громких разоблачений

2013 год принес масштабные разоблачения атак шпионских программ, прямо или косвенно связанных с деятельностью различных государств.  Результатом этих разоблачений может стать утрата доверия к глобальным сервисам и корпорациям, а также зарождение идеи создания собственных аналогов глобальных сервисов, но уже в границах отдельных государств. Это, в свою очередь, может привести к своеобразной деглобализации интернета и росту спроса на локальные IT-продукты и сервисы. Уже сегодня во многих странах существуют местные аналоги глобальных служб, таких как национальные поисковые системы, почтовые службы, национальные системы обмена сообщениями и даже местные социальные сети.

При этом рост числа новых программных продуктов и сервисов обеспечивают национальные компании–разработчики. Как правило, это компании, размер и бюджет которых меньше, чем у ведущих мировых разработчиков. Соответственно, и качество продуктов в этих компаниях проверяется не столь тщательно. По нашему опыту расследования кибератак, чем мельче и неопытнее разработчик ПО, тем больше уязвимостей будет найдено в его коде. Это обстоятельство значительно упрощает задачу киберпреступникам, осуществляющим целевые атаки.

Более того, получив преимущество в контексте контроля информации и аппаратных ресурсов, отдельные государства могут обязать локальные компании пользоваться национальными программными продуктами или интернет-службами, что, в конечном итоге, может негативно сказаться на безопасности корпоративного сектора.

НОВОЕ НА САЙТЕ