Цивилизация
Главные источники корпоративных киберугроз — развлекательные сайты, социальные сети, личная/рабочая почта, интернет-мессенджеры, флешки, мобильные устройства.
На прошлой неделе «Лаборатория Касперского» обнародовала две интересные новости.
Новость первая — согласно исследованию компании, 96% российских малых и средних предприятий регулярно становятся жертвами кибератак, причем 40% таких атак приводят к утечке корпоративных данных, а в некоторых случаях могут нанести непоправимый ущерб бизнесу. Чаще всего российские малые и средние предприятия страдают от спама (74%) и вредоносных программ (71%), а именно вирусов, червей и шпионского ПО. Четверть представителей этого сегмента бизнеса сталкивается с взломом компьютеров, 12% становятся объектами корпоративного шпионажа. При этом почти треть представителей СМБ используют бесплатное или нелицензионное ПО.
Вторая новость - очередной эпизод в истории развития кибершпионажа на Ближнем Востоке. После нашумевшего червя Flame, которого обнаружили в мае и назвали самой совершенной шпионской программой, в регионе «засветился» еще один троян — промышленный шпион под названием Mahdi (Махди). В Иране и в Израиле он заражал компьютеры инженеров, которые занимаются разработкой стратегически важных инфраструктурных проектов. Также среди жертв — израильские финансовые организации и различные правительственные учреждения, действующие на территории Ближнего Востока.
Махди — достаточно примитивная программа, не в пример трояну Flame, с его изощренным вредоносным кодом и мощнейшими алгоритмами для работы с антивирусами. Тем не менее Махди успешно открывала доступ к файлам на зараженных компьютерах, перехватывала электронную почту и мгновенные сообщения, подсматривала логины-пароли, включала микрофоны, чтобы подслушивать то, что происходит вокруг, и делала скриншоты рабочего стола жертвы.
У ранее обнаруженного трояна Flame, который работал в этом регионе, основной функционал примерно тот же, но у него была также весьма необычная опция - он мог активировать bluetooth-модули на зараженных компьютерах и транслировать заранее заданное имя устройства, чтобы хакеры могли его распознать. Ведущий антивирусный эксперт «Лаборатории Касперского» Виталий Камлюк предполагает, что это резервный способ ближней связи с операторами Flame (для передачи файлов) на случай, если зараженный ПК отключен от интернета.
Несмотря на определенное функциональное сходство между Flame и Mahdi, главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев сообщил «Газете.Ru», что это разные проекты.
Его коллега Виталий Камлюк говорит, что в случае с Flame среди зараженных оказались и случайные домашние пользователи — вероятно, они были знакомы с теми людьми (сотрудниками НИИ и предприятий), которые интересовали организаторов шпионской операции. Один из возможных вариантов дальнейшей атаки — через зараженную почту и интернет-мессенджеры посторонних людей нужным субъектам рассылались вредоносные объекты с дистрибутивом червя Flame. Электронная почта «угоняется» значительно реже, чем, например, аккаунты в соцсетях, поэтому доверия к письмам, если они приходят от знакомых, гораздо больше.
В принципе, каждый пользователь ПК может стать жертвой сложнейшей программы типа Flame. Эксперты рекомендуют не скачивать никакие вложения, даже от друзей, а открывать их только в «облаке» (через веб-интерфейс, не загружая его на крмпьютер).
Впрочем, «доверенные источники» электронных писем хакеры имитируют по-разному. Например, почти год назад была обнаружена мощнейшая шпионская атака на японскую корпорацию Mitsubishi Heavy Industries, которая занимается в том числе изготовлением вооружений — истребителей, подводных лодок и т.д.
Как сообщил Александр Гостев, началась она с того, что один из сотрудников предприятия получил обычное, на первый взгляд, деловое письмо. К сообщению было приложено PDF-вложение со сложным вредоносным кодом. В корпоративной сети троян незаметно активировал удаленный доступ к секретным документам через зашифрованное соединение. Объем украденной информации, разумеется, не известен, но японские газеты сообщали, что в числе прочего похищена информация о системе наведения противокорабельных ракет класса «воздух-море».
Вредоносные программы могут также собирать информацию в ERP-системах (управление ресурсами предприятия), которые содержат данные о производственных и торговых процессах крупных компаний. Таким же образом работу этих систем можно нарушить.
«Атакующие могут использовать специальные инструменты для сбора информации из ERP, для изменения важной информации или для блокирования работы системы, - рассказал «Газете.Ru» технический директор Positive Technologies Сергей Гордейчик. – Не стоит забывать, что с точки зрения безопасности ERP-системы крайне зависят от сетевой и системой инфраструктуры. Не обязательно взламывать саму систему, если злоумышленник имеет права администратора домена и может записывать все, что происходит на рабочих станциях, или может прослушивать сетевой трафик и извлекать пароли, или просто имеет полный доступ к СУБД, в которой ERP сохраняет всю информацию».
Известно, что подобным атакам подвергались нефтяные и энергетические гиганты - ExxonMobil, Marathon Oil, ConocoPhillips и другие. Нападение приписывают китайским хакерам. В течение некоторого времени злоумышленники незаметно выкачивали из атакованных систем ценную информацию о мировых залежах нефти, инвестиционные планы и проч.
Впрочем, такие масштабные операции, требующие тщательной подготовки, происходят все же не столь часто, зато есть масса других, далеко не очевидных, но не менее интересных способов проникновения в корпоративные сети.
По словам Сергея Гордейчика, это можно делать, например, через беспроводные принтеры с WiFi-модулями. Во-первых, конфиденциальная информация может сохраняться на самих принтерах, во-вторых, через эти устройства можно получать доступ непосредственно во внутреннюю сеть организации.
Также есть возможность для атаки через корпоративные системы IP-телефонии – если аудио-разговоры передаются в интернет через WiFi, теоретически их можно перехватывать и прослушивать. В ходе реального теста на проникновение в корпоративную сеть компании такую уязвимость продемонстрировали эксперты PositiveTechnologies.
«Данные шифровались при передаче по беспроводной сети с использованием слабого алгоритма WEP, ключ шифрования которого был получен за несколько минут, - рассказал Сергей Гордейчик, - Причем «атакующие», т.е. эксперты по анализу защищенности, при этом находились в соседнем здании, на другой стороне улицы. После этого VOIP-переговоры (которые являлись основным видом связи в компании) записывались и декодировались».
Не секрет, что с помощью WiFi случайно «сдать» хакерам корпоративную информацию может любой сотрудник, работающий с корпоративными данными в публичном месте через открытое беспроводное соединение. О перехвате данных мы рассказывали в предыдущей публикации .
Каждый день преступники придумывают новые способы кибератак и хитроумные методы социальной инженерии, противостоять которым обычным сотрудникам очень сложно. Неудивительно, что количество корпоративных взломов постоянно растет, а кибрешпионаж превратился в высокодоходный бизнес.
