Массовое распространение

В 2013 году 95% российских компаний хотя бы один раз подвергались кибератаке, а 8% стали жертвами целевых атак. Как отмечают в "Лаборатории Касперского", сейчас созданы идеальные условия для "процветания" киберпреступников, поскольку активно растет количество электронных устройств, используемых в бизнес-целях, а также увеличивается зависимость успешности различных организаций от надежной работы информационных систем. Создавая все больше вредоносных программ и совершенствуя методы проникновения в корпоративные сети, злоумышленники стремятся украсть информацию или деньги, уничтожить важные данные или блокировать работу организации и тем самым нанести ей финансовый или репутационный ущерб.

По результатам исследования "Лаборатории Касперского", основными объектами таргетированных атак в 2013 году стали предприятия нефтяной индустрии, телекоммуникационные компании, научно-исследовательские центры, организации, ведущие свою деятельность в аэрокосмической, судостроительной и других отраслях, связанных с разработкой высоких технологий. Впрочем, при массовом распространении вредоносных программ жертвой киберпреступников может стать абсолютно любая компания вне зависимости от масштабов и сферы деятельности.

Самые распространенные угрозы

Из программ, используемых в атаках на компании, злоумышленники нередко предпочитают эксплойты - программы, загружающие на компьютер жертвы вредоносный функционал через открытые уязвимости в легитимном ПО. В 2013 году рекордное число брешей было замечено в популярной программе Oracle Java. По данным "Лаборатории Касперского", из всех зафиксированных попыток эксплуатации уязвимостей 90,52% пришлось именно на уязвимости в Java.

Другое популярное орудие киберпреступников - программы-вымогатели. По сути, эти зловреды представляют собой DOS-атаки на отдельно взятый компьютер. Их цель - блокировка доступа к файловой системе или шифрование данных на жестком диске. Дальнейшими действиями злоумышленников в такой ситуации обычно бывают шантаж и вымогание денег за восстановление доступа к данным. Популярность этого вида вредоносных программ в атаках на российские организации довольно высока: по данным "Лаборатории Касперского", в уходящем году жертвой каждой пятой атаки с использованием программ-вымогателей стала именно российская компания.

И, наконец, мобильные устройства, используемые в корпоративной сети, также все чаще начинают попадать в поле зрения злоумышленников. Нередко смартфоны и планшеты становятся самостоятельной целью в кибератаках, поскольку объем и ценность хранимых на них данных постоянно возрастает.

Целью может стать любой

Компании, которая еще не стала жертвой целевой атаки, очень легко убедить себя в том, что с ней этого не случится и что целевые атаки - это проблема исключительно крупных организаций. Однако не все атаки нацелены на известные имена или на организации, занятые в проектах критически важных отраслей. Даже, казалось бы, малозначимая информация может быть использована как мостик на пути к другим жертвам. Это ярко продемонстрировали атаки хакерских групп Winnti и Icefog.

Киберпреступная группировка Winnti с 2009 года специализируется на краже цифровых сертификатов, подписанных легитимными разработчиками ПО, а также занимается кражей интеллектуальной собственности (в том числе кражей исходного кода онлайн-игр). Троянец, который использовала группа, представляет собой DLL-библиотеку для 64-битной среды Windows. Вредоносное ПО использует легитимно подписанный драйвер и работает как полноценный инструмент удаленного администрирования - так злоумышленники получали полный контроль над взломанным компьютером.

В свою очередь, Icefog для "заражения" своих жертв применяют целевые фишинговые рассылки (spear-phishing) электронных писем, содержащих вредоносные вложения или ссылки на вредоносные сайты. Тем не менее, Icefog имеет несколько ключевых отличий от других атак. Во-первых, эта компания - пример нарождающейся тенденции, т.е. атак, проводимых быстро и с хирургической точностью малыми группами кибернаемников. Во-вторых, злоумышленники скрупулезно выбирают потенциальных жертв, среди которых - государственные учреждения, военные подрядчики, судоходные и судостроительные компании, телекоммуникационные компании, операторы спутниковой связи, промышленные и технологические компании и средства массовой информации. Наконец, мошенники широко применяют средства кибершпионажа собственной разработки для Windows и Mac OSX и напрямую управляют взломанными компьютерами. Как обнаружили специалисты "Лаборатории Касперского", в дополнение к Icefog атакующие используют бэкдоры и другие вредоносные утилиты для заражения других компьютеров в сети организации-жертвы и для передачи краденных данных на свой сервер.

Хищник в засаде

Впрочем, несмотря на широкий набор вредоносного ПО для заражения компьютера, киберпреступники в 2013 году стали все чаще полагаться на человеческий фактор. Об этом свидетельствуют, к примеру, участившиеся атаки типа watering hole, когда злоумышленники преднамеренно заражают часто посещаемый пользователем веб-ресурс, даже если этот ресурс и этот пользователь не служат их конечной целью. Такой подход дает преступникам высокие шансы успешно проникнуть в корпоративную сеть при минимальных трудозатратах.

В 2013 году одним из самых популярных у злоумышленников методов проникновения в корпоративную сеть стала рассылка сотрудникам атакуемой компании электронных писем с вредоносными вложениями. Чаще всего в подобные письма вложен документ в привычных для офисных работников форматах Word, Excel или PDF. Действуя таким образом, киберпреступники эксплуатируют не только вредоносные программы как таковые, но и слабости человеческой натуры: любопытство, невнимательность, доверчивость и т.п. Именно так, например, был успешно разослан хитрый шпион Miniduke, обнаруженный "Лабораторией Касперского" в феврале минувшего года.

Если объединить такой "целевой фишинг" и "drive-by загрузку" (внедрение вредоносного скрипта в HTTP- или PHP-код одной из страниц незащищенного веб-сайта), то получится так называемая атака типа watering hole. Как объясняют в "Лаборатории Касперского", киберпреступники изучают поведение людей, которые работают в интересующей их организации, чтобы узнать, какие интернет-ресурсы они чаще всего посещают. Затем злоумышленники заражают веб-сайт, пользующийся у сотрудников популярностью - желательно такой, который принадлежит доверенной организации и служит ценным источником информации. В классическом варианте атаки применяется эксплойт нулевого дня. Когда сотрудник открывает страницу этого сайта, его компьютер подвергается заражению: как правило, на него устанавливается троянская программа-бэкдор, позволяющая злоумышленникам получить доступ к внутренней сети компании. Это очень похоже на подкарауливание жертвы у водопоя (watering hole), когда хищник, вместо того чтобы выслеживать добычу, ждет в засаде в таком месте, куда потенциальная жертва наверняка придет сама.

Слабое звено

Часто киберпреступники применяют методы социальной инженерии, чтобы ввести в заблуждение сотрудников организации и вынудить их совершить действия, ставящие под угрозу корпоративную безопасность. Аналитики подчеркивают, что люди попадаются на эти уловки по разным причинам: иногда они просто не осознают опасность; иногда поддаются на заманчивые предложения получить "бесплатный сыр"; а иногда идут в обход правил, чтобы облегчить себе жизнь, - например, используют один пароль на все случаи жизни.

Именно с эксплуатации человеческого фактора начались многие нашумевшие целевые атаки 2013 года. Киберпреступники ищут подход к сотрудникам этих организаций, используя данные, которые удается собрать на официальном сайте компании, на открытых форумах, а также путем тщательного анализа информации, которую люди размещают в социальных сетях. Все это помогает преступникам создавать электронные сообщения, которые не вызывают подозрений и застают людей врасплох.

Аналитики "Лаборатории Касперского" отмечают, что в компаниях часто недооценивают значение человеческого фактора в вопросах безопасности. Даже в том случае, когда информирование персонала об информационных угрозах признается необходимым, используемые для этого методы часто оказываются неэффективными. Однако те, кто игнорируют данный аспект безопасности, делают это на свой страх и риск, поскольку совершенно очевидно, что технологии сами по себе не могут гарантировать полной защиты корпоративной сети. Поэтому крайне важно, чтобы во всех организациях знание и соблюдение мер безопасности персоналом стало неотъемлемой частью стратегии защиты корпоративной сети.

Меры предосторожности

"Сегодня под угрозой кибератаки и связанной с ней потери данных оказывается буквально каждая компания, - подчеркивает ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк. - Даже маленькие и, на первый взгляд, незаметные организации могут стать мишенью злоумышленников - если и не в качестве финальной цели, то в качестве способа подобраться к более крупным компаниям, с которыми они взаимодействуют. При этом ущерб от такой атаки, как финансовый, так и репутационный, для бизнеса любого размера может быть очень существенным. Киберпреступники постоянно совершенствуют свои инструменты и техники и используют целый ряд программ деструктивного действия: от шифровальщиков и "стирателей", распространяющихся как болезнь в корпоративной среде, до целой армии послушных компьютеров-зомби, поглощающих все свободные ресурсы корпоративных сетей. Безопасность инфраструктуры компании и ее бизнеса в таких условиях может обеспечить лишь комплексное защитное решение".

В "Лаборатории Касперского" рекомендуют компаниям для минимизации рисков IT-безопасности использовать самые последние версии всего программного обеспечения, имеющегося на компьютерах корпоративной сети, устанавливать обновления безопасности по мере их появления и удалять ПО, которое больше не требуется для работы. Также можно использовать специальный сканер, позволяющий выявлять приложения с незакрытыми уязвимостями, или установить защитное решение, блокирующее попытки эксплуатации этих уязвимостей со стороны вредоносного ПО.