USD 92.59 ЕВРО 100.27

Elderwood Project – искусство войны

Общество

На днях специалисты исследовательской лаборатории Symantec обнародовали результаты расследования незаконной деятельности хакерской группы Elderwood Project. В отчёте указывается, что организованная группа киберпреступников совершила серию атак на государственные и коммерческие структуры, имеющих отношение к производству систем вооружения. Жертвами преступников стали субподрядчики и контрагенты предприятий оборонной промышленности в США, Канаде, Китае, Гонконге, Австралии и других странах мира. Организационная структура, число участников и цели группы до сих пор не выяснены. Учёные предполагают, что хакеры могли действовать в интересах крупной ОПГ или иностранного государства.


Объектом атак Elderwood Project стала интеллектуальная собственность компаний, участвующих в цепочке выполнения оборонных заказов. Заражение происходило путём внедрения троянских программ на рабочие станции сотрудников компаний. Хакеры из Elderwood Project использовали как классические инструменты мошенничества, так и сравнительно новые методы незаконного проникновения. Так, в числе прочих, преступниками применялась тактика «хищник у водопоя» (англ. «watering hole»): в течение длительного времени хакер изучает сетевое поведение будущей жертвы – часто посещаемые сайты, порталы, прочие открытые сетевые ресурсы. Затем, на выбранных сайтах размещается троянская программа, которая, подобно хищнику у водопоя, поджидает выбранную цель и внедряется в компьютер, а затем и в корпоративную сеть.


Принцип атаки «Watering hole»

Elderwood Project являет собой новую веху в истории хакерских атак. В этот раз преступники отказались от попыток взлома сетей крупных предприятий и государственных структур, поскольку организации такого масштаба, как правило, имеют развитую систему средств информационной защиты. Жертвы выбирались среди компаний, участвующих в цепочке выполнения работ по госзаказу – уровень защищённости у них значительно ниже (или практически отсутствует). Тем не менее, информация, похищенная у контрагентов заказчика, даёт достаточно полную картину финального проекта или исследования. Атаки на промежуточные звенья в цепочке выполнения интересующего преступников проекта может навсегда изменить отношения между заказчиком и подрядчиком. Теперь информационная безопасность контрагента станет важнейшим пунктом при подписании договоров на выполнение работ.


Отличительной чертой хакерской группы Elderwood Project стало широкое использование т.н. «угроз нулевого дня» – уязвимостей пользовательского программного обеспечения, ещё не известных производителям антивирусных систем информационной безопасности. Исследователи уверены, что вторжения на рабочие станции сотрудников производились через уязвимости браузеров и программ воспроизведения flash-контента. В арсенале хакеров выявлено не менее восьми эксплойтов неизвестных уязвимостей ПО, которые не обнаруживались классическими антивирусными средствами. Напомним, что авторы знаменитого червя Stuxnet, который атаковал иранский ядерный проект, оперировали всего четырьмя уязвимостями нулевого дня.


Отчёт по деятельности группы Elderwood Project в проекции громких эпизодов кибер-атак за последние несколько лет позволяет сделать некоторые выводы о состоянии информационной безопасности в мире. Во-первых, налицо не только количественный, но и качественный рост угроз. Крупные антивирусные компании регулярно сообщают всё более устрашающие цифры роста вредоносов. Примечательно, что в отчёты по дополнениям сигнатурных баз антивирусов попадают только те из них, которые были зарегистрированы и однозначно определены как опасные. Действительно, многие вредоносные программы имеют способность к размножению, самокопированию и самомодификации. Действительно, современные антивирусы довольно успешно распознают и блокируют модификации известных вредоносов. Однако их число растёт далеко непропорционально аналитическим мощностям антивирусных вендоров. Но самое главное – практика успешных кибератак показывает, что хакеры используют вредоносные коды, ещё не известные антивирусным продуктам.


Ситуация такова: новое время приносит новые угрозы, но мы пользуемся защитой, концепция которой устарела многие годы назад. Совершенно очевидно, что системы защиты на основе баз антивирусных сигнатур уже не работают. Период времени между появлением нового вредоноса и выпуском блокирующей его сигнатуры слишком велик, чтобы гарантировать безопасность. Более того, механизм распознавания новых угроз построен таким образом, что вредоносный код, написанный под конкретную задачу (атака определённой организации, сети, компьютера) практически никогда не сможет быть нейтрализован до нанесения им ущерба.


В своём трактате «Искусство войны» видный военный теоретик древности Сунь Цзы пишет: «Стратегия ведения войны такова: не полагайся на то, что враг не придет, полагайся на средства, которыми располагаешь, чтобы принять его». Важно понимать: изменилась сама парадигма информационной безопасности. В то время, когда хакеры находят всё новые уязвимости, изобретают всё более изощрённые инструменты вторжения и шпионажа, антивирусные средства, по сути, застряли в прошлом. Сама концепция баз антивирусных сигнатур была создана в те времена, когда индустрия инфобезопасности ещё не знала таких терминов как таргетированная атака (Advanced persistent threat — APT), уязвимость нулевого дня, бэкдор, троян и т.д. Современные вендоры антивирусных решений слишком велики, чтобы признать собственную неповоротливость. Слишком медленно они реагируют на новые вызовы, слишком мало внимания уделяют разработкам принципиально новых средств защиты.


По сути, антивирусные сигнатуры формируют так называемый «чёрный список» — перечень известных угроз, которым не разрешено выполняться на компьютере. В виду масштабного роста угроз, такой подход рано или поздно оказывается просто бессильным – все угрозы просто невозможно учесть. Однако, есть возможность пойти от обратного – учесть все программы и приложения, которым доверять можно. Так работает технология динамических «белых списков», один из компонентов проактивной защиты. То есть пользователь компьютера или администратор сети разрешает исполнение только тех программ и действий пользователя, которые имеют гарантию безопасности. Все новые процессы – в том числе и скрытые – априори рассматриваются как потенциально опасные, для их исполнения запрашивается отдельное разрешение у пользователя/администратора. Таким образом достигается эффект превентивной защиты – у вредоносов практически не остаётся шансов проникнуть в систему. Технологии проактивной защиты успешно блокируют не только известные типы вредоносных кодов, но и угрозы нулевого дня. Проактивная защита прекрасно уживается с традиционными технологиями антивирусных сканеров, формируя надёжную комплексную защиту от известных и пока неизвестных угроз. Таким образом, сегодня существует возможность сформировать комплексную защиту информационной системы, произведя анализ состояния информационной безопасности и дополнив уже отлаженные средства новыми инструментами защиты от неизвестных угроз.