Тихая угроза

Автор: Всеволод Иванов, исполнительный директор компании InfoWatch

С одной стороны, рынок средств защиты от целенаправленных атак существует довольно давно. Однако едва ли можно сказать, что руководители российских компаний в достаточной степени осведомлены о сути, особенностях целенаправленных атак, а также о том, кому они действительно угрожают.

У всех на слуху хакерские атаки исключительно государственного масштаба: Stuxnet, Duqu, Красный Октябрь, Операция Аврора и пр. Их широко обсуждают, о них пишут в СМИ, но в конечном итоге это лишь способствует формированию представления о целенаправленных атаках как о чем-то очень далеком, что случается с крупными государственными учреждениями и организациями, имеющими статус стратегически важных для страны, но с ними – никогда. «Кому мы нужны, чтобы так стараться?», – вот квинтэссенция этих рассуждений.

В этой связи хотелось бы рассказать подробнее о недавнем случае использования целенаправленной атаки как средства конкурентной борьбы.

Небольшая организация, торгующая автомобильными запчастями, стала страдать от оттока клиентов. При этом дело было не в том, что клиенты, купившие какую-либо запчасть, в дальнейшем предпочитали обращаться к конкурентам, – нет. До покупки дело просто не доходило: человек заказывал деталь, и впоследствии отменял заказ буквально за несколько часов до покупки. Какое-то время владельцы бизнеса объясняли все неудачным стечением обстоятельств, пока им не стало известно, что дело обстоит сложнее: оказалось, что клиентов, накануне сделавших заказ, обзванивали конкуренты, предлагая им аналогичную деталь, но дешевле. Разумеется, большинство соглашались и отменяли заказ на деталь.

Необходимо было понять, как база заказов с телефонами клиентов попадает к конкурентам. В компании было установлено решение InfoWatch Targeted Attack Detector, которое и обнаружило на одном из компьютеров специально написанное ПО, которое в определенное время после окончания рабочего дня активизировалось, копировало базу заказов и высылало ее куда-то вовне. Как выяснилось в дальнейшем, специально написанное ПО, которое не смог обнаружить антивирус, было принесено и установлено на рабочем компьютере одним из сотрудников компании.

Из чуть более давних примеров атак вспоминается случай в банке, когда платеж на сто миллионов рублей вместо легитимного маршрута внезапно ушел на счет, открытый на Кипре, после чего программа самоуничтожилась. И это тоже не какой-то уникальный случай: разработка злонамеренного ПО, нацеленного на конкретную инфраструктуру и обход средств защиты.

Почему-то у многих существует убеждение, что средство для реализации целенаправленной атаки – это программа, создание которой представляет собой технически крайне сложную задачу. Это глубокое заблуждение, написание такого ПО – не более чем востребованная услуга, предмет купли-продажи на черном рынке. Сложность и качество такой программы зависит только от того, сколько денег готов заплатить хакеру заказчик. По данным National Research Division, количество таких утилит на черном рынке за последнее время выросло примерно в 30 раз, а количество выпускаемых версий еще больше, что свидетельствует о высоком спросе.

Что может делать такой типовой «троянец»? К примеру, находиться в процессинговом центре банка и при проведении каждого платежа направлять на счет злоумышленника не всю сумму, как в приведенном выше примере, а только процент от нее, причем настолько небольшой, что никто не придаст этому значения. Главное – не жадничать, и тогда троянская программа сможет оставаться незамеченной достаточно долго. Известен случай, когда в крупной компании-ритейлере через систему обновлений ПО для кассовых аппаратов была загружена вредоносная программа, которая перенаправляла очень скромный процент от каждого платежа на счет злоумышленника. Однако, оставаясь незамеченной в течение двух лет, эта программа «вывела» из компании в общей сложности $20 млн, после чего самоуничтожилась. Вся история стала известна только благодаря тщеславию хакера, который стал хвастаться своими успехами в Интернете.

Как можно видеть, антивирусы бессильны перед такими «кастомизированными» зловредами. Это признают и сами антивирусные вендоры. Проверку функционала какого-либо программы в изолированной среде (в т.н. «песочнице») тоже можно обойти. Современное злонамеренное ПО вполне в состоянии определять, что его запускают в «песочнице» и маскироваться под легитимное. Фильтрация сетевого трафика часто дает огромное количество ложных срабатываний, из-за которых ИТ-специалист со временем просто перестает обращать пристальное внимание на предупреждения, и использование системы становится неэффективным.

Наш подход отличается от прочих тем, что InfoWatch Targeted Attack Detector реагирует не на определенные признаки злонамеренного ПО, а на нехарактерные, аномальные изменения в ИТ-системе компании, которые являются следствием действий такого ПО. Действия злоумышленников неизбежно приводят к аномальным изменениям в работе хотя бы одной из систем компании. Так что если антивирус можно сравнить с сигнализацией, а файрволл – с замком, то наш продут – это охранник, который обходит здание и проверяет, все ли в порядке.

Как можно видеть, главная проблема компаний сегодня состоит не в отсутствии средств защиты от целенаправленных атак. Главный друг и помощник хакера сегодня – русский менталитет, суть которого заключена во фразе «пока гром не грянет, мужик не перекрестится». А учитывая, что инструменты целенаправленных атак стараются вести себя как можно тише, угроза выглядит серьезной и близкой, как никогда раньше.


Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.