Сезон киберохоты на крупную дичь

Статья публикуется одновременно в журналах «Эксперт» и «Стимул»

В последнее время участились случаи крупных «удач» у хакеров, которым в мае этого года даже удалось остановить работу американского трубопровода Colonial Pipeline.

С чем это связано? С успехами хакеров в разработке новых методов совершения своих преступлений или с халатностью компаний, подвергшихся нападениям?

Мы обратились с этими вопросами в американскую транснациональную корпорацию Fortinet («Стимул» уже не раз публиковал советы ее специалистов, см., например, «Проверьтесь: возможно, вы уже киберзомби», «Кто сильнее: ИИ или хакеры?», «Программы, вымогающие ваши миллиарды»), которая специализируется на разработке и продвижении программного обеспечения, решений и сервисов в области информационной безопасности. По оценкам специалистов, компания занимает четвертое место по объему выручки среди всех компаний, специализирующихся в области сетевой безопасности.

На наши вопросы ответили Михаил Родионов, генеральный директор компании Fortinet в России и СНГ, и Дерек Мэнки, руководитель отдела аналитики и безопасности Global Threat Alliances, FortiGuard Labs.

Дерек Мэнки: Эволюция киберпреступности всегда идет в ногу с развитием технологий. Поэтому совсем неудивительно, что с каждым годом мы фиксируем появление все более изощренных методов атак. Более того, киберпреступники по всему миру все чаще нацеливаются на предприятия критической инфраструктуры — это лакомый кусочек, ведь цена даже краткосрочной остановки деятельности таких предприятий может быть слишком высокой. Современная киберпреступность приобретает все больший размах: все чаще злоумышленники действуют как крупные распределенные предприятия с собственными центрами обработки данных и платежей. Многие такие организации теперь нацелены на крупные корпорации и отрасли или на высокопоставленных лиц, чтобы получить максимальные выплаты, — стратегия, известная как «охота на крупную дичь» (BGH).

Примером такого эффективного киберпреступного синдиката является весьма нашумевшая по всему миру группа Sodinokibi (также известная как REvil), которая использует бизнес-модель RaaS (Ransomware-as-a-Service, которая позволяет другим преступникам использовать для своих целей уже готовый и качественный софт. И недавняя атака группы DarkSide на столь важный инфраструктурный объект, как US Colonial Pipeline, лишний раз подтверждает общий вектор развития киберпреступности.

Дерек Мэнки, руководитель отдела аналитики и безопасности Global Threat Alliances, FortiGuard Labs

Фото предоставлено компанией Фортинет

— Каковы основные виды компьютерных преступлений? Какие основные угрозы в настоящее время несут компаниям киберпреступники? Основные приемы таких преступлений?

Михаил Родионов: Мир вредоносов очень разнообразен и изменчив: этот ландшафт находится в постоянном движении. Их эволюция тесно связана со все быстрее меняющимся и развивающимся миром компьютерных технологий. Злоумышленники всегда стремятся быть на самом краю технологического прогресса, использовать для крупных атак новейшие технологии. Например, последние несколько они стали все активнее применять искусственный интеллект, который выводит скорость и эффективность атак на совершенно иной уровень. Но тем не менее даже сейчас огромное число людей по всему миру, иногда даже крупные компании, используют старые и очень уязвимые компьютерные системы, и атаки на них, от которых защищены новые системы, до сих пор успешны.

К 2017 году атаки программ-вымогателей становились все более масштабными — они одновременно нацеливаются на тысячи компьютеров по всему миру. Одним из таких вредоносов, ставшим крупнейшим и самым известным в истории, была программа-вымогатель Wannacry. В мае 2017 года она атаковала компьютеры, работающие на операционной системе Windows, шифровала данные и требовала платы за разблокировку в биткойнах. Хотя экстренные патчи смягчили атаку в течение нескольких дней, Wannacry заразила более 200 тысяч компьютеров в 150 странах, причинив ущерб, исчисляемый миллиардами долларов.

FortiGuard Labs сообщила в своем февральском отчете Global Threat Landscape Report 2020, что во второй половине 2020 года организации по всему миру зафиксировали семикратное увеличение количества атак с использованием программ-вымогателей. Условия для такого интенсивного роста создают следующие факторы: развитие RaaS (программа-вымогатель как услуга), большие выкупы за крупные цели и угроза раскрытия украденных данных в случае невыполнения требований. Кроме того, с разной степенью распространенности наиболее активными из отслеживаемых типов вымогателей были Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING и BazarLoader. Секторы экономики, которые подвергались серьезным атакам программ-вымогателей, — это прежде всего здравоохранение, сфера услуг, госсектор, финансовые организации.

В прошлом году барьеры между домом и офисом значительно размылись, а это означает, что нацеливание на дом приближает злоумышленников на один шаг ближе к корпоративной сети. Во второй половине 2020 года эксплойты, направленные на устройства интернета вещей (IoT), которые существуют во многих домах, были в верхней части списка распространенных вредоносов. Каждое устройство IoT представляет собой новую «границу» сети, которую необходимо защищать и мониторить.

Главной целью атак были платформы Microsoft, связанные с документами, которые большинство людей используют в течение рабочего дня. Веб-браузеры — еще один фронт. В эту HTML-категорию вошли фишинговые сайты и скрипты, содержащие вредоносные программы, которые вводят скрытый код или перенаправляют пользователей на вредоносные сайты. Эти типы угроз неизбежно растут во время глобальных проблем или периодов интенсивной онлайн-торговли. Сотрудники, которые обычно пользуются услугами веб-фильтрации при работе из корпоративной сети, становятся более уязвимыми, когда выходят в сеть из-за пределов защитного периметра компании.

Михаил Родионов, генеральный директор компании Fortinet в России и СНГ

Фото предоставлено компанией Фортинет

— Почему даже крупным компаниям, например US Colonial Pipeline, не удается защититься? Ведь, скорее всего, у них имеются и антивирусные программы, и соответствующие службы.

М. Р.: Одна из многих проблем, связанных с использованием технологии VPN (используется для удаленного доступа сотрудников к рабочему месту), созданной несколько десятилетий назад, заключается в том, что она не обеспечивает никакой собственной проверки данных, отправляемых через эти соединения, а также не аутентифицирует пользователей, устройства или приложения, проходящие через туннель VPN. Исследователи угроз FortiGuard Labs зафиксировали значительный и почти мгновенный переход от атак, нацеленных на корпоративные устройства, на атаки, нацеленные на устройства потребительского уровня, в тот момент, когда организации начали переходить на стратегию подключения к работе из дома.

Чтобы защититься от сегодняшних растущих и развивающихся угроз программ-вымогателей, организациям необходимо сделать ряд вещей. Обеспечить безопасность домашних офисов и удаленных подключений, используя продвинутые технологии. Работать по принципу доступа с нулевым доверием. Это значит, что система должна воспринимать любое устройство, требующее подключения, по умолчанию скомпрометированным. Необходимо принять меры для противодействия программам-вымогателям. Они включают в себя такие вещи, как регулярное резервное копирование критически важных систем и их безопасное хранение вне сети, наличие стратегии реагирования на атаки и наличие команды специалистов (построение цепочек команд с распределенными полномочиями), чтобы критические решения могли приниматься как можно быстрее, автоматизацию на основе ИИ, позволяющую выявлять, исследовать и устранять угрозы с цифровой скоростью.

Важно обеспечить прозрачность сети и собственную информированность. Оперативная информация об угрозах должна быть частью вашей системы безопасности. Вам необходимо знать не только о существующих угрозах, но и о готовящихся, чтобы компрометация в одной части вашей сети не распространилась на другую. А для этого необходимо, чтобы системы безопасности и сетевые системы, развернутые в любой точке вашей распределенной сети, могли видеть, обмениваться, соотносить и реагировать на события, связанные с угрозами, в режиме реального времени.

— Кто эти преступники-хакеры? Каково их «распределение» по странам? Их мотивы? Это «спорт», способ заработка, вредительство? Как вы их выявляете?

Д. М.: На эти вопросы не существует точных ответов. Лишь предположения и обобщения. Киберпреступность — среда очень разношерстная и многонациональная. Крупные группировки зачастую имеют распределенную структуру — их представители могут осуществлять свою деятельность из разных точек мира, будучи представителями разных стран, культур и национальностей. Но есть и те, которые состоят по большей части из граждан одного государства. Безусловно, существуют какие-то выделяющиеся тенденции, однако на их основе не стоит строить однозначную картину. Например, эта среда имеет достаточно высокий порог входа в контексте необходимых знаний и навыков. Другой вопрос — мотивация. Быть может, для кого-то это действительно нечто вроде спорта или интеллектуальных упражнений. Но все-таки в первую очередь это глобальный многомиллиардный преступный бизнес, способный принести хороший доход, даже если преступники владеют только базовым инструментарием.

— Как функционирует рынок вредоносных программ? Почему его не удается заблокировать? Какой он по объему?

Д. М.: Вредоносные программы невозможно просто полностью заблокировать. Трудно сделать это с помощью отслеживания сигнатур (когда отслеживается совпадение сигнатуры найденной уязвимости с базой данных уже знакомых) — слишком быстро все меняется. Вам необходимо обнаружение на основе поведения, чтобы заранее обнаружить новые варианты/штаммы (нулевой день). Такие технологии, как песочница (интегрированная в структуру безопасности / межсетевой экран для блокировки), EDR, AntiVirus на основе AI могут помочь заблокировать вредонос. Объем очень большой, в наших лабораториях мы видим более двух миллионов новых образцов вирусов в день и многие из них — это всего лишь незначительные изменения кода, сделанные, чтобы избежать обнаружения.

— Сколько зарабатывают хакеры? Казалось бы, программисты сейчас и в корпорациях могут зарабатывать очень серьезно, почему они идут в хакеры?

Д. М.: Это зависит от позиции в киберпреступной организации. Некоторые должности «начального уровня» вообще не приносят много денег, такие люди, например, могут продавать простые наборы вредоносных программ или код менее чем за тысячу или даже сто долларов. Однако, если хакер обнаружит новую уязвимость нулевого дня в крупном продукте, он потенциально может продать ее за сто тысяч долларов, а в некоторых случаях даже за миллион. На вершине цепочки организации киберпреступников могут зарабатывать огромные суммы, превышающие десять миллионов долларов США в месяц и более. Мы следим за экосистемой киберпреступников, и наша стратегия состоит в том, чтобы сделать работу киберпреступников более дорогой.

— Почему не удается работать против киберпреступников их же средствами, внедряя в их программы средства, разрушительные для этих программ?

М. Р.: Из-за существующих законов против киберпреступности, конфиденциальности информации и тому подобного нам не разрешено взламывать хакеров. Но мы можем проявить творческий подход и бороться с ними другими способами, например усложняя и нарушая работу их бизнес-модели.

— Как общаются члены преступных сообществ? Почему не удается прерывать такое общение? Применяется ли против преступных сообществ практика внедрения в их ряды для разведки и разрушения изнутри? Есть ли удачные примеры?

М. Р.: Во многом это зависит от конкретного случая, большая часть их общения происходит в darkweb и закрытых форумах. Вам нужно знать конкретных людей, чтобы быть представленным другим участникам и получить доступ к форумам. Общение, конечно, можно прервать, обычно мы работаем с правоохранительными органами над этим вместе, но это требует времени. Это активные расследования, которые нельзя провести в одночасье.

— Как вы сотрудничаете с Интерполом? Вы «сдаете» выявленных киберпреступников правоохранительным органам?

Д. М.: С 2015 года я вхожу в экспертную рабочую группу Интерпола под названием IGCEG (Глобальная экспертная группа Интерпола по киберпреступности). В июле пройдет уже шестая сессия, в которой я буду принимать участие. В течение последних двух лет компания Fortinet является партнером программы Interpol Gateway. Это позволяет нам обмениваться информацией об угрозах, отвечать на RFI и общаться с Cyber Fusion Center (CFC). CFC базируется в Сингапуре, в Глобальном комплексе инноваций Интерпола, и у нас есть специалисты, которые могут на месте взаимодействовать с организацией в части аналитических исследований, проводить семинары для представителей правоохранительных органов.

С российскими правоохранительными органами мы работаем через Интерпол, который является связующим звеном между правоохранительными органами во всем мире. Если у нас есть разведданные, относящиеся к определенному региону, информация передается в соответствующие силовые структуры. Это делается через программу Interpol Gateway и Cyber Fusion Center.