Главное отличие APT (Advanced Persistent Threat – «целенаправленных устойчивых угроз») от других типов компьютерных атак заключается в организованном проектном подходе, планировании, финансировании и методичном исполнении. Пожалуй, самым полным и хорошо документированным описанием информационных угроз этого типа можно считать Операцию Аврора, материалы по которой были опубликованы McAfee и Google, а также Титановый Дождь, Ночной дракон, GhostNet. Хорошим примером может послужить атака на Nortel, которая интересна тем, что атакующие собирали данные внутри компании более 10 лет. Многие скажут, что такие атаки актуальны только для крупнейших компаний за пределами России. Однако, в процессе осуществления операции Lurid были атакованы коммерческие и правительственные организации из 61 страны. В том числе из России и СНГ.
Атака может длиться не один месяц или даже год, в зависимости от задач, поставленных перед ее исполнителями. И, что характерно, атака такого типа почти никогда не сворачивается, похитители информации не пытаются «спрятаться», в случае если факт атаки раскрыт. Более того, после обнаружения они начинают действовать еще более агрессивно, стараясь как можно прочнее закрепиться в системе.
При этом не стоит думать, будто APT – это какой-то новый, высокотехнологичный способ информационного шпионажа. На самом деле, основные программные и технологические инструменты таких атак, как правило, уже давно известны в мире ИБ, а многие их них относятся к «морально устаревшим». Основная сила и опасность APT не в технологиях, а в целенаправленности и задействованных ресурсах. Слово «Advanced» в APT относится не к ИТИБ технологиям, применяемым в ходе атаки, а к методу управления операцией в целом.
В ходе APT используется не какой-то один, а множество возможных инструментов несанкционированного доступа к информации и контроля сети. Злоумышленники работают методично, не стремятся к быстрому извлечению прибыли и последовательно перебирают все возможные уязвимости и их комбинации. Стоит отметить, что в сообществе бытует миф об обязательном использовании в атаках ранее неизвестных, так называемых «zero day» уязвимостей. Это не так, чаще всего используются уязвимости известные полгода и более, для закрытия которых уже давно выпущены обновления. Но, как известно, они далеко не всегда устанавливаются в инфраструктуре жертвы. Чаще всего причиной такого несоблюдения базовых требования безопасности является халатность или отсутствие должных процессов ИБ.
Активно используются и традиционные средства промышленного и политического шпионажа, такие как подкуп, шантаж, внедрение собственных агентов. Если речь идет о крупной корпорации с распределенной структурой, скорее всего, злоумышленники попытаются внедрить своих сотрудников в филиалы или головной офис, и уже с этого плацдарма атаковать внутреннюю сеть. В этом случае межсетевые экраны в их традиционном понимании не спасают организацию от атакующих.
Также широко используются возможности социальной инженерии и анализ информации в социальных сетях. Последние зачастую дают исчерпывающее представление об организационной структуре компании, неформальных взаимоотношениях сотрудников и позволяют имитировать поведение доверенных отправителей информации в переписке по электронной почте, в мессенджерах или в самих социальных сетях. Результатом подобных действий нередко становится внедрение следящего ПО на компьютеры высокопоставленных сотрудников или ИТ-персонала.
Закрепившись в организации, злоумышленники собирают хеши паролей с захваченных ПК и серверов. Затем их с помощью осуществляют атаку pass the hash, пытаясь проникнуть в наибольшее количество других систем, чтобы собрать хеши с них и попутно установить свое следящее ПО. Обычно используются стандартные и широкодоступные инструменты, такие как Windows Credential Editor, minkatz, pwdump. Конечная цель – найти привилегированных пользователей, получить хеши паролей и использовать их права для доступа к сети на уровне администратора домена. Все вместе может занимать месяцы работы, но в итоге позволяет произвести захват Active Directory и получить доступ к управлению всеми компьютерами и серверами в сети компании. После этого атакующие могут захватить системы распространения ПО, управления конфигурациями и централизовано распространять злонамеренное ПО внутри организации. Также они могут создавать так называемые «золотые образы» со своими закладками, которые впоследствии будут устанавливаться на компьютеры новых сотрудников.
После того, как злоумышленники, получают контроль над всей, интересующей их информацией, они могут достаточно долго не выдавать своего присутствия. В большинстве случаев перед ними не стоит задачи разрушить сеть компании или нанести ей сокрушительный удар. Как правило, речь идет о продолжительном получении и анализе информации с последующим избирательным использованием.
Многие причисляют нашумевшую атаку Stuxnet, разрушившую центрифуги на ядерных объектах Ирана к APT. Однако, это – не совсем верно. С точки зрения продуманности и сложности операции Stuxnet на голову выше того что обычно случается в типовых операциях APT. Также стоит отметить, что уничтожение инфраструктуры жертвы совсем не характерно для APT. Атакующие стремятся паразитировать на захваченной территории как можно дольше. Если компания и умрет, то скорее не от атаки а от того что может утратить коммерческую инициативу и утратить прибыльность.
В большинстве случаев атакующие охотятся за интеллектуальной собственностью и новейшими разработками. Поэтому APT-атаки могут быть нацелены не только на крупные, но и на сравнительно небольшие технологические компании. Приведу простую аналогию: некая компания проводит дорогостоящую геологоразведку, находит места, в которых потенциально выгодно вести разработку и подает заявку на добычу полезных ископаемых. Однако, на этом этапе выясняется, что такую же заявку уже подала другая компания-конкурент. Потеря средств и ресурсов, потраченных на геологоразведку, не приведут к банкротству, но заставят задуматься на тему аудита ИБ. То же самое можно сказать о выпуске конкурентом продукта удивительным образом повторяющего разработанный, но еще не выпущенный вашей компанией. Аналогию можно перенести в любую область бизнеса или политической борьбы. Заказчиком нацеленной атаки могут выступать не только бизнес-конкуренты, или политические оппоненты, но и друзья, партнеры или политические союзники, которым важно знать, что именно происходит внутри вашей организации по принципу: «Предупрежден – значит вооружен».
Примечательно, что далеко не все руководители понимают, насколько важными являются предупредительные меры по защите компании. Изгнание злоумышленников, проникших в сеть в ходе успешной APT-атаки, может стать очень продолжительным, сложным, и не обязательно успешным. Часто руководство компании, принимает решение бороться с захватчиками, но осознав, что процесс исцеления может длиться годами, оставляет все, как есть. Многие варианты противодействия атакующим в разветвленной инфраструктуре, несмотря на кажущуюся простоту, довольно дороги. Борьба с APT может привести к остановке жизненно важных для компании сервисов, а значит нарушению SLA. В такой ситуации у многих менеджеров возникает искушение замолчать сам факт атаки. Такое решение становится идеальной иллюстрацией выражения «спрятать голову в песок» и приводит к дискредитации компании, а в долгосрочной перспективе – к серьезным проблемам для ее партнеров и клиентов.
В следующем посте я расскажу о типовых методах проникновения злоумышленников в инфраструктуру организации и сравнительно простых средствах противодействия APT.
Тем, кто интересуется этой темой профессионально, предлагаю ряд интересных ссылок (ниже), а также возможность задавать мне вопросы, посвящённые этой и другим темам ИБ в социальных сетях Facebook и Twitter.