Например, злоумышленники проникли на фармацевтический завод, разбрасывая рядом со входом зараженные флеш-карты.
Времена антисоциальных вирусов прошли, теперь любое вредоносное программное обеспечение старается украсть деньги пользователей или информацию, которую можно продать. Такие выводы сделал региональный представитель по УФО, Пермскому краю, Омской области и Удмуртской республике «Лаборатории Касперского» Георгий Филиппов на шестнадцатой ежегодной осенней конференции «Арсенал +».
По данным известной антивирусной лаборатории, количество вирусов, которые создаются под конкретную жертву, все время увеличивается. Около 10% всех вирусных атак — целевые.
«Целевые атаки — это суровая реальность, — отметил Георгий Филиппов. — Развитие зловредов полностью повторяет развитие информатизации нашего общества. В 1994 году мы детектировали один новый вирус каждый час. К 1996 году их количество выросло в 60 раз. Каждую минуту — новый вирус. Еще пять лет — новый вирус каждую секунду. Причем я говорю об уникальных объектах, а не модификациях кода. По итогам 2014 года — 325 тыс. новых вирусов в день. Это к вопросу о том, что „Лаборатория Касперского“ сама пишет вирусы: зачем, когда их такое количество каждый день выходит?»
Целевые вирусы часто пишутся под конкретного сотрудника организации. К примеру, бухгалтеру Марии Ивановне приходит письмо в котором контрагент (реально существующий) говорит, что после сверки они задолжали конторе Марии Ивановны 500 тыс. рублей. «Ну какой бухгалтер устоит перед соблазном открыть файл сверки? Это простейший образец целевой атаки: провели небольшую разведку, собрали данные, отправили вирус», — пояснил представитель лаборатории.
Сам принцип целевой атаки сотрудник Касперского пояснил на более сложном примере, имевшем место в реальной жизни. Названия предприятий, ставших заказчиками и жертвами атаки, разумеется, не разглашаются.
«Существует крупный фармацевтический завод, который производит определенное лекарство. Первый этап атаки на него — подготовка. Злоумышленники должны собрать примерно такую же конфигурацию оборудования. Это можно сделать как реально, так и виртуально. Нужно понять, в каком состоянии их защита, какие средства они используют, какие права доступа есть у разных сотрудников. То есть полностью имитируется инфраструктура потенциальной жертвы», — описал первый этап целевой атаки Филиппов.
После этого находятся уязвимые места и начинается проникновение. Тут варианты разные: от хитрого эксплойта (программы, использующей уязвимости системы), который отправляется конкретному человеку, до разбросанных возле офиса зараженных флешек. Есть шанс, что хотя бы один из сотрудников возьмет эту флешку и вставит в рабочий компьютер. Такое реально случается, уверяют в «Лаборатории Касперского».
«Вариантов проникновения в инфраструктуру масса. Чем больше мы с ними сталкиваемся, тем больше поражаемся фантазии товарищей, которые это придумывают. Человек — самое слабое звено в любой структуре безопасности», — отмечает сотрудник лаборатории.
Еще один яркий пример: человек в дорогом костюме приходит в нужную организацию и обращается к сотруднице: Здравствуйте, у меня сегодня собеседование с вашим руководителем, но я забыл резюме напечатать. Оно у меня с собой на флешке, можете его распечатать, пожалуйста?" Девушка берет флешку, вставляет в компьютер, и в сеть организации проникает эксплойт.
Следующий этап после проникновения — развертывание вредоносного ПО. «Все зависит от целей, которую преследовали создатели зловреда. Наш фармацевтический завод заказали конкуренты. Банально было бы настроить оборудование так, чтобы произошел взрыв. Они действовали хитрее: пригласили хорошего химика, знающего оборудование, на котором работает завод. Он нашел способ изменить процедуру производства лекарства. На рынке килограмм стопроцентного лекарства стоит, допустим, $ 2000, а 98% - $ 200».
Четвертый этап — исполнение основной функции. Пока завод разбирался, в чем дело, где ошибка и что случилось, соседний завод успел перехватить всех клиентов, рассказав им о том, что лекарство, который они покупали, не очень качественное. С этого момента атаку уже можно было бы считать успешной.
Дальше существует два варианта развития событий: если создатели кода уверены, что их не заметят, они могут продолжить наблюдение, чтобы в будущем сделать что-то еще, украсть, испортить; если это была одноразовая акция, начинается зачистка. Удаляются все следы пребывания вируса, даже по горячим следам отследить хакеров очень сложно. Люди, которые занимаются атаками такого уровня, очень подготовленные.
«Такими атаками занимаются не отдельные люди, а целые группировки. Не надо думать, что если вы маленькая организация, вас это не коснется. У нас есть много примеров, когда даже небольшие организации, работавшие с более крупными компаниями, подвергались атаке, чтобы хакеры смогли получить доступ к системам крупного бизнеса», — предупредил участников конференции Георгий Филиппов.
Полностью защититься нельзя, признают в антивирусной лаборатории. Сколько бы ни покупали различных средств защиты предприятия, они просто делают свой взлом более дорогим. Стоимость целевой атаки сильно варьируется в зависимости от объекта и метода. Если говорить об обычном интернет-магазине, достаточно DDoS атаки, если речь о среднем региональном банке, достаточно, чтобы его сервисы лежали три дня, чтобы он больше не смог подняться. Все его клиенты и деньги уйдут. Если взять, к примеру, строительную организацию, злоумышленники могут просто удалить базу 1С.
«У многих укоренился образ хакера — лохматого человека в каморке. Сейчас эта индустрия продвинулась вперед. В сети Tor есть целые магазины вредоносного программного обеспечения, которое может купить любой школьник, — рассказал региональный представитель „Лаборатории Касперского“. — Мы неоднократно выходили на след вируса-шифровальщика и находили на том конце провода 15-летнего школьника, который просто купил программу, немного изменил ее и начал рассылать шифровальщик в надежде на легкие деньги».
Первые вирусы не пытались украсть ваши деньги, напомнил Георгий Филиппов, они портили данные, пытались сжечь материнские платы и вставляли матерные слова в документы, которые выходили на печать. «Сейчас же любой зловред преследует только одну цель: забрать деньги и данные, которые могут принести деньги. Это очень крупный бизнес», — отмечает эксперт в компьютерной безопасности.
