Во сколько злоумышленникам обходятся подготовка и проведение целевых кибератак (Advanced Persistent Threat, APT)? Компании должны понимать методики APT-атак, ведь очевидно, что прибыль от реализованного взлома должна превосходить затраты, помноженные на время. Именно из этих соображений подбирается тактика, определяется скорость продвижения в инфраструктуре и создаётся инструментарий взломщика.
- Введение
- Экономика атаки
2.1. О разведке
2.1.1. Разведка как отличительная черта APT-атаки
2.1.2. Трудозатраты (ФОТ) на этапе разведки
2.2. Дальнейшее развитие атаки
2.3. Стоимость используемых инструментов и технологий
3. Выводы
Введение
Это исследование посвящено деятельности APT-группировок и применяемому ими инструментарию. В основу легли аналитические материалы зарубежных и отечественных специалистов, а также проведённый сотрудниками «Ростелеком-Солара» мониторинг открытых и теневых ресурсов для примерной оценки стоимости тех средств, что используют злоумышленники при подготовке и проведении атак.
Мы не будем рассматривать деятельность какой-либо конкретной APT-группировки, а проанализируем их активность как единое комплексное явление, т. к. в основе каждой подобной атаки лежат так или иначе схожие между собой техники и тактики, методики и инструменты. Именно поэтому в данном исследовании мы рассматриваем цепочку угроз (kill chain) как тактику, которая в принципе характеризует деятельность кибернаёмников (4-й уровень злоумышленника из 5 возможных, согласно нашей модели нарушителей). Безусловно, каждая преступная группировка имеет свои специфические (в большинстве случаев) самописные инструменты, но так или иначе всё сводится к эксплуатации уязвимостей более-менее известного ПО, используемого подавляющим большинством компаний, к созданию и применению вирусов-вымогателей, троянов, шифровальщиков, программ скрытого мониторинга и т. д. Ключевой вопрос здесь состоит в разработке специфического инструмента под конкретную жертву — именно это обусловливает его конечную стоимость.
Представляется, что такое исследование поможет лучше понимать саму методику APT-атаки, а также оценить те средства, которые злоумышленники затрачивают на их проведение — ведь очевидно, что полученная ими прибыль должна существенно превзойти расходы, в противном случае игра не стоит свеч.
Экономика атаки
О разведке
В поэтапной подготовке атаки особую и немаловажную роль играет разведка. Стоит отметить, что именно этот этап является одним из ключевых отличий APT-группировок. У киберхулиганов (злоумышленники 3-го уровня, согласно нашей 5-уровневой модели) разведка отсутствует, а сама атака ориентирована на «слепое» пробивание брешей в массиве жертв, преимущественно принадлежащих к одному экономическому сектору.
Фактически разведка является первоначальным и весьма длительным этапом, требующим тщательной подготовки и аккуратности, т. к. малейшая ошибка может привести к срыву реализации преступного замысла, а это в первую очередь влечёт за собой немалые денежные потери. Именно поэтому хотелось бы рассказать о данной стадии несколько подробнее.
Разведка как отличительная черта APT-атаки
Проведение разведки может осуществляться с использованием открытых источников, т. е. OSINT. Этот вариант позволяет не только собрать максимально полную информацию о компании и её технические данные (хосты, DNS, IP-адреса, учётные записи, прочие реквизиты), но и просканировать её инфраструктуру, то есть исследовать сетевую топологию и определить, какие уязвимости могут быть использованы в ходе непосредственной реализации атаки. Однако очевидно, что у членов APT-группировки есть достаточно ресурсов, как финансовых, так и кадровых, чтобы провести разведку на более глубоком уровне с применением специализированных средств. Именно поэтому здесь мы можем говорить о таких инструментах и методах, как отслеживание и анализ сетевого трафика, платные подписки на различные службы сбора данных, применение удалённых служб для подключения ко внутренним ресурсам компании (например, VPN, Citrix, удалённое управление Windows и т. п.), а также о разведывательном фишинге. Последний, скорее всего, будет осуществляться через сторонние сервисы, например социальные сети (примеры подобных фишинговых рассылок есть у таких APT-группировок, как Windshift, Magic Hound и др.), в результате чего злоумышленник может войти в доверие к сотрудникам и получить требуемую информацию, а также найти инсайдера. К сожалению, многие успешные атаки совершаются именно с привлечением инсайдеров, которые за определённое денежное вознаграждение готовы предоставить требуемые доступы, токены (например, для обхода двухфакторной аутентификации, что крайне сложно без инсайдера и / или физического доступа к АРМ или серверу), пароли и прочую конфиденциальную информацию. Человеческий фактор никто не отменял, поэтому социальная инженерия остаётся столь популярной у хакеров.
Безусловно, для грамотного внедрения и правильного использования методов социальной инженерии необходимо не только владеть техническими знаниями, но и уметь использовать психологические приёмы, что также требует определённого времени и тщательного изучения климата в компании, её сотрудников, их настроений и т. д. Важно понимать, что не каждый работник решится на нарушение внутренних правил: корпоративная этика, режим коммерческой тайны, политика безопасности — ошибка здесь может поставить под удар проведение всей APT-атаки.
Одна из основных задач разведки — это также своего рода выбор мишени, т. е. поиск того ПО, где есть уязвимость (0-day), которую впоследствии можно использовать для эксплуатации и дальнейшего получения контроля над требуемыми системами, сервисами, сегментами инфраструктуры. Важно отметить, что на данном этапе может быть принято решение об атаке через подрядчика, т. н. «trusted relationship». На это может повлиять информация, опубликованная, например, на сайте вендора, где сообщается о разработке для компании, выбранной в качестве мишени для APT-атаки. Зачастую такие пресс-релизы становятся отличной наводкой для злоумышленников, получающих сведения о выпуске специализированного ПО, которым гарантированно пользуются в организации. Следовательно, в подобной ситуации можно «совершить заход» именно через поставщика и, например, заразить жертву через обновление.
Что касается экономической составляющей самой разведки, то часть инструментария здесь может быть бесплатной и общедоступной (например, средства OSINT) либо стоить весьма мало (обычно в пределах 50 долларов США). Сейчас же попробуем проанализировать непосредственно трудозатраты участников APT-группировки, т. е. фактически фонд оплаты труда (ФОТ).
Трудозатраты (ФОТ) на этапе разведки
Когда мы говорим об APT-атаке, то под жертвой скорее подразумеваем компанию среднего или крупного размера, где трудится не менее 1,5 тыс. работников, в таких секторах экономики, как промышленность, ретейл, энергетика, телекоммуникации, транспорт и т. д. Если компания весьма велика, то она, скорее всего, имеет распределённую сеть (филиалы в разных точках мира) и многомиллиардные годовые обороты (например, Maersk, NorskHydro, Saudi Aramco и проч.). Это важно для определения числа задействованных специалистов, которые будут производить разведку — каждый по своему направлению. Для детального изучения компании и её инфраструктуры, получения различных сведений, включая права доступа и различные утёкшие данные, поиска инсайдера и / или слишком доверчивых сотрудников (социальная инженерия) потребуется примерно 3-4 специалиста и в среднем около 1 недели времени, если компания не очень велика; в противном случае — гораздо больше.
Безусловно, специалисты, осуществляющие все эти мероприятия, хорошо оплачиваются, т. к. работа напрямую связана с риском, включая существенные финансовые потери, поэтому лучший повод их простимулировать и «заставить» пойти на риск — предложить хорошую плату, которая во многом зависит от таких факторов, как:
- наличие у группировки своих специалистов или необходимость привлекать внешних,
- успех предыдущих атак (влияет на объём имеющихся денежных средств),
- сложность, объём и характер работ (во многом зависят от размера и уровня защищённости атакуемой компании), срочность.
Безусловно, сюда можно отнести и параметр «поставленные цели», но сейчас мы рассматриваем классический пример, когда речь идёт о полномасштабной длительной атаке, связанной с проникновением, закреплением, пролонгированным присутствием в инфраструктуре жертвы, заражением требуемых сегментов и систем, получением контроля и т. д.
Важно понимать, что, анализируя ФОТ принимающих участие в APT-атаке лиц, мы не говорим о каком-либо постоянном окладе — здесь имеет место плата за выполненную работу. Безусловно, знать точно, какое вознаграждение получают привлечённые лица, невозможно, однако если брать среднерыночные зарплаты ИТ-специалистов профиля «пентестер», то можно говорить о 1600–2500 долларах (здесь и далее расчёт производился при курсе порядка 75 рублей за 1 доллар). Отметим тот факт, что иногда сотрудники, которые привлекаются, например, для написания кода либо проведения иных подобных мероприятий, могут даже не знать, что выполняют заказ для лиц занимающихся противоправной деятельностью. Иначе говоря, они выступают в качестве фрилансеров / разовых подрядчиков: выполнили работу, получили деньги — на этом сотрудничество обычно заканчивается.
Полная версия с таблицей "Примерная стоимость хакерских инструментов и технологий"
#аналитика
#кибербезопасность
#уязвимости
#хакеры
#кибератаки
