Кибервойны нового времени

Все чаще «топовые» общественно-политические события касаются безопасности в сфере интернет-технологий, лейтмотивом прошлого года стали обвинения госорганов США неких «русских хакеров» во вмешательстве в выборы президента. Все больше впечатляющих случаев утечки данных становится достоянием общественности, атаки на финансовые институты оказываются все более масштабными и болезненными; по мере того как государственный шпионаж и нападения на критические инфраструктуры перемещаются в онлайн-пространство, государства меняют свой подход к вопросам защиты своих интересов и данных в интернете. В руках как нападающих, так и обороняющихся оказываются новые инструменты: большие данные, биометрические технологии, интернет вещей, искусственный интеллект и машинное обучение. При этом ни у государств, ни у бизнеса, ни у рядовых пользователей пока нет достаточных навыков в области кибербезопасности.
Утром 5 февраля 2016 года, в пятницу, топ-менеджер Банка Бангладеш Зубайр бин Худа обратил внимание на то, что лоток принтера, распечатывающего в автоматическом режиме подтверждения переводов от межбанковской системы SWIFT, опустел. Так начинается история, которая вполне может претендовать на звание киберограбления века.
За вышедшим из строя принтером последовала целая цепь поломок и отключений, и к тому моменту, когда все неисправности были устранены, выяснилось, что финансовая организация пропустила почти полсотни запросов о сомнительных переводах от Федерального резервного банка Нью-Йорка, а с ее счетов на Филиппины и Шри-Ланку бесследно утекли $100 млн.
В течение нескольких месяцев вдохновленные успехом хакеры готовили атаку на новую жертву – один из банков Юго-Восточной Азии. Он обратился за помощью к специалистам «Лаборатории Касперского», которые впоследствии обнаружили в его корпоративной сети вредоносное ПО.
Началось расследование, которое длилось около года. В его ходе было выявлено, что оба ограбления связаны с деятельностью преступников, входящих в кибергруппировку Lazarus. Экспертам удалось детально изучить методы и инструменты хакеров из Lazarus, обнаружить более 150 образцов вредоносного ПО, которое они используют, и предотвратить по меньшей мере два новых хищения крупных сумм у финансовых учреждений.
Целевые (или таргетированные) атаки в кибермире грозят вполне ощутимыми последствиями: глава Центробанка Бангладеш Атиур Рахман ушел в отставку после кражи хакерами почти $100 млн. Хищение стало результатом целевой атаки – подготовленной под конкретное предприятие, конкретную цель – Центральный банк Бангладеш. За большинством скандально известных краж денег и данных последних лет стоят именно таргетированные атаки.
По оценкам экспертов «Лаборатории Касперского», такая атака остается необнаруженной в инфраструктуре предприятия минимум в течение ста дней.
За это время киберпреступники успевают хорошо изучить свою жертву: какое ПО и оборудование используется в компании, каковы пристрастия ключевых сотрудников, каким образом выстроена защита от взломов.
Затем с помощью обнаруженных слабых мест в корпоративную сеть загружается, в зависимости от ситуации, сложное ПО для кражи средств или шпионажа, кибероружие вроде Stuxnet, или используются легальные, никак не обнаруживаемые антивирусами программы для контроля нужного компьютера.
В это сложно поверить, но в 2015 году атаке хакеров подверглась сама цитадель кибербезопасности – «Лаборатория Касперского». Признаки шпионажа в собственной корпоративной сети сотрудники компании обнаружили во время тестирования прототипа Kaspersky Anti Targeted Attack Platform – решения для защиты от подобных угроз. Вирус-шпион действовал тихо и практически не оставлял следов в системе: не создавал и не модифицировал файлы, не менял системные настройки. Была обнаружена вредоносная платформа Duqu 2.0, которая имела прямое отношение к одной из самых загадочных кампаний кибершпионажа Duqu.
Компьютерный червь Duqu был обнаружен в 2011 году и успел наследить в Венгрии, Австрии, Индонезии, Великобритании, Судане и Иране.
Некоторые свидетельства указывают на то, что Duqu создан для сбора данных об иранской ядерной программе. По мнению экспертов, подобный шпионаж вполне может финансироваться на государственном уровне. В пользу этой версии говорит, в частности, тот факт, что разработка и организация такой хорошо подготовленной вредоносной кампании требует ресурсов, значительно превосходящих те, которыми располагают рядовые киберпреступники: ее проведение может обойтись в сумму до $50 млн. Часто с помощью подобных атак злоумышленники не воруют деньги у банков и бизнес-структур, а занимаются промышленным и государственным шпионажем. Целью безуспешной атаки на «Лабораторию Касперского» была кража интеллектуальной собственности компании – разработок в области противостояния киберпреступникам.
Для обнаружения подобных атак нужны специальные системные решения и предиктивные технологии, поскольку в защите важно отследить угрозу и принять меры до того, как злоумышленники начнут собирать данные. В решении Kaspersky Anti Targeted Attack Platform комплекс сенсоров постоянно отслеживает ситуацию внутри охраняемой ИТ-инфраструктуры: от информации о веб-трафике до активностей в электронной почте и на конечных устройствах, – а потенциально вредоносные объекты пропускаются через анализатор, использующий технологии машинного обучения и способный сопоставлять различные аналитические данные.
Но первыми шагами в выстраивании надежной системы безопасности должны стать осознание проблемы и личная ответственность руководителей предприятий: хищение денежных средств не всегда является самым неприятным последствием.
Последняя утечка данных из Uber тому наглядный пример: в отношении компании ведет расследование прокуратура штата Нью-Йорк США, компания сменила руководителя, ушли в отставку глава службы безопасности Джо Салливан и его помощники.
Диверсию против энергосистем Украины 23 декабря 2015 года специалисты называют знаковой. Буквально накануне католического Рождества хакеры обесточили 220 тыс. потребителей в Прикарпатье, Киевской и Черновицкой областях.
«Надо отдавать себе отчет, что случилось беспрецедентное событие для Украины – проведена успешная кибератака на инфраструктурные объекты», – писала тогда украинская пресса. За помощью в расследовании Украина обратилась к нескольким американским агентствам, включая ФБР и Министерство внутренней безопасности США. Но блэкаут в Прикарпатье был лишь первой ласточкой.
16 декабря 2016-го – в самом конце финансового года – кибертеррористы атаковали главные денежные институты Украины: Минфин и Государственное казначейство.
Госструктуры потеряли 3 ТБ информации, а переживающая экономический кризис страна – как минимум $3 млн (именно столько правительству Украины пришлось выделить атакованным ведомствам на «восстановительные работы» и обновление ИТ-оборудования).
Совокупный финансовый ущерб, нанесенный государству и его гражданам этой атакой, так и не был объявлен.
В России борьба с киберугрозами является вопросом государственной важности и одной из ключевых тем выступлений президента и заседаний Совета безопасности. В октябре 2017 года Владимир Путин предложил повысить уровень персональной ответственности госчиновников за обеспечение информационной безопасности, дав им понять, что теперь они за это, что называется, отвечают головой. В начале этого года вступил в силу закон о безопасности критической информационной инфраструктуры. Согласно документу, к критической инфраструктуре относятся информационные системы и информационно-телекоммуникационные сети госорганов, автоматизированные системы управления технологическими процессами в оборонной индустрии, в сфере здравоохранения, связи, транспорта, в кредитно-финансовой сфере, энергетике и ряде отраслей промышленности (топливной, атомной, ракетно-космической, металлургической, химической, горнодобывающей).
Иногда хакеры, взламывающие критические инфраструктуры, ведут себя как тролли и хулиганы.
Этой весной злоумышленники взломали систему управления сиренами в американском Далласе, из-за чего горожане были вынуждены ночью почти час слушать вой 156 тревожных сирен. Отключить систему предупреждения удалось только вручную.
Но даже при отсутствии фатальных последствий хакерские атаки на государственно важные системы не стоит недооценивать. Это такой же терроризм, только с приставкой «кибер-». Чтобы обрушить информационные базы и остановить работу важных инфраструктурных систем, больше не нужны взрывные устройства. Угроза национальной безопасности – в одном зараженном файле.
В случае с энергетическим коллапсом в Прикарпатье это был Word. Файл содержал встроенный макрос, который собирает и запускает троян BlackEnergy. В ходе атаки на украинскую финансовую систему хакеры использовали аналог BlackEnergy. Оба трояна содержали компонент KillDisk, популярный у хакеров и подвергающийся постоянной модификации вирус, который повреждает системные файлы и разрушает жесткий диск.
Расследование показало, что вредоносное ПО попало в энергосистему Украины за полгода до блэкаута.
Это значит, что подобные программы – бомбы замедленного действия: важная инфраструктурная система может быть уже атакована, а ее оператор об этом даже не подозревает.
Очевидно, что трояны, подобные BlackEnergy, хорошо натасканы на разного рода системы безопасности и постоянно совершенствуются. Использование исключительно стандартных антивирусных решений в этом случае является провальной стратегией.
Единственный вариант защиты – это многоуровневая система, объединяющая административные, операционные и сетевые меры, а также специализированные технологические меры, касающиеся отдельных слоев защищаемой ИТ-инфраструктуры. На первый взгляд, защита от злоумышленников, которые покушаются на инфраструктурные системы, – головная боль государства и к бизнесу отношения не имеет. Но только не в сегодняшних реалиях, когда частные компании стали основными поставщиками услуг при выстраивании и поддержании критически важных инфраструктурных систем. Сейчас ответственность за последствия кибератак на национально значимые объекты в равной степени лежит и на чиновниках, и на бизнесменах.
Самые громкие кибератаки 2017 года
Petya, пожалуй, самое цитируемое русское имя в СМИ на конец июня – июль 2017 года. Так назвали троянца-шифровальщика, орудовавшего на просторах интернета. По мелочам он не разменивался и пленных – в виде отдельных файлов – не брал: на самом раннем этапе загрузки захватывал доступ ко всему жесткому диску. За его расшифровку злоумышленники требовали $300 в биткоинах. Однако эксперты полагают, что главной целью создателей этого троянца было не заработать, а навредить, что у них и получилось.
По подсчетам Международного валютного фонда, ущерб от атаки вируса ExPetr (или Petya) составил $850 млн. Абсолютное большинство жертв – представители корпоративного сегмента.
Несколькими месяцами ранее по полумиллиону компьютеров в 150 странах прошелся еще один вирус-шифровальщик – WannaCry. Злоумышленникам поступило 302 платежа на сумму примерно $116,5 тыс., притом что эксперты по кибербезопасности в один голос твердят: «Не платите кибервымогателям!». Ущерб от атаки WannaCry оценили в $1 млрд, учтя потерю данных, снижение производительности, простои в работе предприятий и организаций, судебные и репутационные издержки.
Вирус-шифровальщик – это универсальный инструмент. В погоне за быстрыми и легкими деньгами им пользуются мелкие мошенники; не гнушаются прибегать к его помощи и серьезные структуры, цель которых – шпионаж или саботаж.
Только в первом квартале 2017 года «Лаборатория Касперского» обнаружила 11 новых семейств троянцев-шифровальщиков и почти 56 тыс. новых модификаций зловредов этого типа. Эксперты отмечают, что в последнее время внимание специализирующихся на шифровальщиках киберпреступников сместилось с обычных интернет-пользователей на организации. Для злоумышленников это финансово выгодно: компании готовы платить много и быстро, чтобы восстановить доступ к своим базам данных и разблокировать файлы, необходимые для ведения бизнеса. Однако, как в случае с ExPetr, за обычным шифровальщиком может скрываться ПО для саботажа: эксперты подтвердили, что злоумышленники не заложили инструменты для расшифровки данных, т.е. вирус был нацелен на уничтожение информации.
Кстати, киберсаботаж не уникальная методика. Еще летом 2012 года вирусом, полностью стирающим данные, было заражено более 30 тыс. корпоративных компьютеров саудовского нефтяного гиганта Saudi Aramco. На восстановление полноценной работы предприятия ушло полторы недели. Компания понесла многомиллионные убытки.
Как показали эпидемии прошлого года, дело не ограничивается техническими проблемами. Многие компании с установленной современной защитой стали жертвами какой-либо из этих программ.
К успеху первой волны WannaCry привело несколько негласных правил, существующих в российском крупном бизнесе.
Основная причина столь масштабной эпидемии заключается даже не в самом троянце, а в методе распространения при помощи недавно закрытой уязвимости в системах Windows. Многие системные администраторы в компаниях имеют привычку не ставить обновления сразу же после их появления, опасаясь негативного влияния на важные бизнес-процессы и существующие системы. С момента выхода пакета программ, которые защитили бы от заражения, прошло два с лишним месяца – вполне достаточный срок для тестирования совместимости и проверок. Однако обновления многими компаниями установлены так и не были, чем воспользовались злоумышленники. Сыграло свою роль и то, что на большинстве предприятий ИТ-персонал подгоняет настройки защитного ПО под свои системы, зачастую отключая важные, рекомендованные производителем модули.
Каковы основные компоненты системы, защищающей от шифровальщиков?
Первый – мониторинг системы: новые шифровальщики могут отсутствовать в базах, для борьбы с «новичками» нужен анализ их поведения. Второй компонент защищает важные документы, ограничивая доступ к файлам определенного типа и блокируя попытки несанкционированного шифрования. Третий защищает ресурсы с общим доступом. Речь идет не только о машинах, за которыми работают сотрудники. Чрезвычайно важно оградить от вторжения системы хранения данных. Проникнув в один компьютер, имеющий доступ к папкам на сервере, шифровальщик способен добраться до общих файлов, а затем распространиться по всей сети.
Пока же статистика неутешительна: только за первый квартал 2017 года с помощью продуктов «Лаборатории Касперского» атаки шифровальщиков были отражены на компьютерах 240 799 уникальных пользователей.
Слабое звено: как человеческий фактор помогает совершать киберпреступления
«Это катастрофа. Это очень серьезно и подвергает риску страну и жизни шведских граждан»,
– так прокомментировал премьер-министр Швеции Стефан Лёвен грандиозную утечку, в результате которой в свободном доступе оказались личные данные почти всех подданных королевства, в том числе военных, сотрудников полиции и спецслужб. Виновные нашлись быстро. Передавая часть обязанностей агентства по транспорту восточноевропейским фирмам-подрядчикам, шведские госслужащие загрузили базы данных на облачные серверы, а затем разослали содержимое подписчикам, среди которых оказались совершенно посторонние люди. Разразился скандал, за которым последовала отставка главы МВД Андерса Игемана и министра инфраструктуры Анны Юханссон.
Эксперты единодушны: человеческий фактор – самый недооцененный и самый уязвимый аспект кибербезопасности.
Согласно результатам исследований «Лаборатории Касперского», две трети киберинцидентов (67%) вызваны, в том числе, действиями плохо информированных или невнимательных сотрудников.
Оптимальной альтернативой инструкциям и лекциям становятся тренинги и онлайн-игры, где сотрудникам дают четкие указания к действию и модели поведения в той или иной ситуации.
В одной из таких игр, Kaspersky Interactive Protection Simulation, участники управляют ИТ-системой виртуального объекта. Их цель – заработать как можно больше денег в качестве руководителей предприятия, существующего в условиях ограниченного бюджета и в агрессивной киберсреде. Когда человеку предлагают азартное соревнование, чем-то похожее на игру в «Монополию», он гораздо лучше усваивает скучные, но такие важные правила информационной безопасности.
Что касается управленцев высшего звена, то их беспечность в отношении кибербезопасности может иметь поистине катастрофические последствия и для бизнеса, и для них самих – недавняя история с Yahoo! является ярким тому примером. Скандал с утечкой персональных данных 1,5 млрд пользователей забил последний гвоздь в крышку гроба одной из первых в мире интернет-компаний, сервисы которой до конца 2000-х были едва ли не самыми популярными в мире и оценивались в $100 млрд. Утечки обошлись владельцам Yahoo! в $350 млн (именно на эту сумму была снижена цена ее активов при покупке Verizon), а бывшему руководителю компании и некогда одному из самых сильных игроков Кремниевой долины Мариссе Майер стоили карьеры и репутации.
__________________________
А расскажите мне, исполняете ли вы рекомендации айтишников по безопасности?
Ежели вы сами занимаетесь кибербезопасностью, то легко ли вам удается убедить руководство в соблюдении неких правил и инвестировании неких сумм в ПО и железо?