Целевые атаки (в том числе APT-атаки) становятся все более изощренными и частыми. Киберпреступники используют целый ряд сложных методов, чтобы проникнуть в сеть организации и получить ценную информацию, часто – с опасными последствиями.
Ранее мы рассказали, что такое APT- атаки, а также затронули влияние APT-атак на бизнес в России, согласно исследованиям Positive Technologies. Сегодня мы разберем реальные примеры целевых атак, узнаем стоимость успешной APT-атаки и рассмотрим защиту корпоративной сети с помощью комплексного решения Positive Technologies Anti-APT.
Примеры направленных атак
APT-атака – это сложная, продуманная атака с конкретными целями и специальными методами, направленными против конкретной организации. Для успешного развертывания целевой атаки на ее разработку тратится несколько месяцев, а то и больше. Так что проникновение злоумышленников в сеть остановить крайне сложно. Проникнув же в инфраструктуру, киберпреступники долгое время остаются незамеченными, собирая всю необходимую информацию для продолжения атаки, а после нанесения ущерба – быстро «исчезают», а в случае желания вернуться в систему – оставляют бэкдоры.
В 2019 году 60% кибератак являлись целенаправленными, а в 2020 году их количество вырастет еще больше.
Чаще всего APT-атакам подвергаются:
- Государственные предприятия
- Медицинские учреждения
- Промышленные предприятия
- Сфера науки и образования
- Финансовые компании
- IT-компании
– согласно исследованиям нашего партнера Positive Technologies.
IBM опубликовали отчет, в котором обозначили среднюю сумму ущерба от вредоносного программного обеспечения (ВПО) в 239 миллионов долларов США. Помимо финансовых потерь в среднем компаниям требуется около 512-ти часов, чтобы полностью восстановить работоспособность системы (после воздействия таких ВПО, как Dark Seoul, NotPetya, Stuxnet, Shamoon).
Рассмотрим конкретные примеры. И начнем мы с кампании Carbanak, предназначенной в основном для финансовых учреждений. Она была обнаружена Kaspersky (фирмой по разработке систем защиты от компьютерных вирусов, хакерских атак и киберугроз) и использовалась для кражи денег. APT-группа украла более 900 миллионов долларов у банков и частных клиентов.
Именно от этой хакерской группы пострадал ПИР Банк, потерявший в результате атаки более 58 миллионов рублей. После атаки выведенные денежные средства были обналичены в разных регионах России.
Другой пример целевой атаки – это история с «Прикарпатьеоблэнерго», украинской электроэнергетической компанией, которая вынуждена была прекратить свою работу из-за взлома системы группой хакеров. Злоумышленники переписали критически важные устройства на 16-ти подстанциях, из-за чего 225 тысяч человек осталось без электричества.
Металлургическая компания Норвегии Norsk Hydro пострадала от шифровальщика LockerGoga. И хоть это не относится к APT-атакам, пример отлично демонстрирует влияние нарушений на работу предприятий. Ведь завод остановил работу из-за программы-вымогателя, от чего пострадали и американские промышленные предприятия. Компании был нанесен ущерб в более, чем 40 миллионов долларов.
Бизнес и киберугрозы
Ущерб исчисляется колоссальными цифрами. В примерах мы представили самые разные сферы деятельности, которые затронули целевые атаки и не только. Важно отметить, что среднее время присутствия хакеров внутри сети в среднем 206 дней (согласно Cost of Data Breach Report 2019). При этом лишь 10% компаний смогли обнаружить злоумышленников.
Есть ли структуры, которые могут не беспокоиться об APT-атаках? Мы задали ряд вопросов директору экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексею Новикову.
Может ли тенденция целевых угроз пойти на спад в ближайшем будущем?
«Не думаю. Злоумышленники все активнее переходят в цифровой мир. Активность проявляют прогосударственные и финансово-мотивированные кибергруппировки, кибершпионы, и снижения числа целевых угроз не происходит. 10―15 лет назад кибероружие и APT-группировки использовало всего несколько стран, а сегодня их число значительно выросло. Например, по итогам I квартала 2020 года высокую активность проявляли 23 APT группировки, атаки которых были направлены преимущественно на государственные учреждения, промышленные предприятия, финансовую отрасль и медицинские организации.
Также на рынке дарквеба растет количество предложений о продаже вредоносного ПО и услуг, которые применяются для взлома. Часто такое ПО поставляется сразу с «мануалом», поэтому даже хакеры с невысокой квалификацией могут освоить инструменты и техники APT-атак. В итоге проведение сложных целевых атак становится более доступным.»
Под угрозой только крупные компании и госучреждения или абсолютно все структуры?
«Целью APT-атак могут становиться не только госорганы и крупные компании, но даже средний и малый бизнес. В последние годы широкое распространение получили так называемые атаки на цепочки поставок (supply chain attacks), злоумышленники часто взламывают небольшие компании, которые являются подрядчиками крупных — уже через них они попадают в инфраструктуру конечной жертвы (trusted partnership attacks). Такое возможно, когда подрядчику в рамках контрактных обязательств необходимо иметь постоянный доступ в инфраструктуру заказчика.»
Какой ущерб может понести компания, подвергнувшаяся целевой атаке?
«В том случае, когда целевую атаку проводят с целью хищения денежных средств, оценить ущерб довольно легко. Сложнее сделать это в ситуациях, когда злоумышленников интересуют данные либо возможность компрометации организаций-партнеров компании-жертвы. Здесь могут быть не только непосредственно финансовые потери, но и масштабный репутационный ущерб. При этом бывали случаи, когда компании объявляли о закрытии и в результате инцидентов вызванных массовыми атаками. Так что для целевых атак такие кейсы тоже можно ожидать.»
Как часто уже атакованные компании подвергаются повторному взлому?
«Все зависит от уровня информационной безопасности в компании. Как только на периметре сети появляется незащищенный сервис — это может быть просто отсутствие патча для новой уязвимости — сразу начинаются массовые попытки атаки.
Создатели ботнетов постоянно пытаются эксплуатировать уязвимости, чтобы добавить в свою армию ботов как можно больше скомпрометированных инфраструктур. Поэтому нельзя говорить о том, что если компанию один раз взломали, то риски повторного взлома для нее снижаются. Атаки идут постоянно: попытки эксплуатации незакрытых уязвимостей, фишинговые письма, к этому нужно быть всегда готовым. Чтобы не быть повторно взломанным необходимо строить постоянно действующие и адаптивные процессы по мониторингу событий ИБ, реагирования на инциденты, а самое главное по расследованию всех произошедших инцидентов для того чтобы понять почему они произошли и что надо улучшить в технике, процесса или квалификации людей, чтобы инциденты данного типа больше не повторились.»
Какова эффективность PT Anti-APT в условиях современной массовой «удаленки»?
«В условиях удаленной работы эффективность работы инструмента не меняется. К примеру, в случае попыток атак через электронную почту неважно, подключается ли пользователь к корпоративному почтовому серверу с помощью рабочего ноутбука или домашнего компьютера — этот сервер все равно будет защищен Anti-APT решением.»
Выявлял ли PT Anti-APT целевые атаки на стадии пилотного проекта?
«В ходе пилотных проектов мы выявляли активность группировки RTM — ею были атакованы компании из промышленной отрасли. Помимо этого, мы находили следы деятельности APT-группировок Calypso, TaskMasters, главная цель которых — госорганы и крупные корпорации.»
Каковы типичные ошибки компаний, ставших жертвами APT-атак?
«Одна из главных ошибок — выстраивание защиты исключительно на периметре корпоративной сети. Компании в прямом смысле слова возводят высокий забор, думая, что через него никто не переберется. На практике же, огромное количество успешных атак начинается с простого фишингового письма, которое открывают сотрудники уже внутри периметра — в таком случае хакерам не нужно преодолевать внешние бастионы.
Попав внутрь сети с помощью инструментов туннелирования трафика или легитимных утилит, которые уже присутствуют в инфраструктуре, взломщики могут пересылать данные из корпоративной сети и средства защиты на периметре уже ничего не заметят. Если компания не проводит мониторинг и анализ трафика и логов в том числе внутри сети — найти следы APT ей будет очень трудно. Именно для решения этой задачи стоит использовать комплекс PT Anti-APT.»
Защита от целевых атак с помощью PT Anti-APT
APT – это одна из самых опасных угроз, так как она исходит от уязвимостей нулевого дня или фишинговых кампаний. Обычные средства информационной безопасности не смогут защитить вас. Однако есть решение для комплексной защиты, своевременного обнаружения и предотвращения продвинутых и скрытых атак – Positive Technologies Anti-APT.
PT Anti-APT включает в себя PT Network Attack Discovery, PT Sandbox и услуги PT Expert Security Center.
- PT Network Attack Discovery – для выявления следов компрометации в сетевом трафике и расследования атак. Система глубоко анализирует сетевой трафик, выявляет сетевые атаки и аномалии, а также помогает детально расследовать кибер-инциденты.
- PT Sandbox – песочница с возможностью кастомизации виртуальных сред для защиты от новейшего ВПО.
- PT Expert Security Center – экспертное сопровождение и помощь в расследовании выявленных инцидентов, а также предоставление при необходимости мониторинга и дополнительного анализа результатов.
Система может быть развернута как на периметре, так и перед критически важными активами в инфраструктуре, что позволит выявить активность злоумышленников, даже если они уже проникли в сеть.
Мы также предлагаем вам бесплатный пилот, при котором вам предоставят оборудование для пилотирования, произведут развертывание / конфигурирование решения, подключат источники и осуществят экспертный мониторинг. А по итогам вы получите отчет об обнаруженных угрозах.
