
2020 год можно смело назвать «вирусным» во всех отношениях. Рост числа инцидентов ИБ ощутимо ускорился, чему способствовала пандемия и вызванный ей массовый переход на удаленную работу и цифровые каналы взаимодействия. Пройдя через такие испытания, лучшее, что может сделать человечество – это извлечь из них правильные уроки.
Менеджер по развитию бизнеса группы компаний Angara Анна Михайлова вместе с партнерами компании – Trend Micro, Positive Technologies, Palo Alto Networks, ГК InfoWatch, «Код Безопасности», «Гарда Технологии», Krontech и UserGate – подготовила список самых заметных и опасных кибератак, а также проанализировала, как им можно было противостоять.
Компрометация SolarWinds
Хит-парад опасных инцидентов возглавила атака на ИТ-компанию SolarWinds. Во-первых, взломать и скомпрометировать ИТ-компанию с надежной киберзащитой достаточно сложно. Во-вторых, эта атака имеет цепную сеть последствий, одна компрометация приводит ко множеству последующих взломов. Причем скомпрометированы оказались в том числе ИБ-компании. Это, в свою очередь, привело к компрометации их клиентов и другим ИБ-инцидентам. В-третьих, мы увидели «на деле» опасность атак на цепочку поставок, или «supply chain attack».
«При компрометации такого масштаба (SolarWinds) у злоумышленников открывались возможности устроить атаку, по масштабам сравнимую с эпидемией вымогателей WannaCry и BadRabbit, однако злоумышленников больше интересовали конфиденциальные данные компаний», – комментирует Денис Кувшинов, руководитель группы исследования угроз экспертного центра безопасности Positive Technologies.
«Помимо явной компрометации большого числа крупных компаний, атака на SolarWinds заметно усилила значимость концепции Zero Trust в части ее практической применимости. Также стоит отметить, что данная атака показала неспособность даже крупных компаний правильно оценивать риски и идти на опережение, применяя контрмеры в случае подобных прецедентов», – добавляет Николай Романов, руководитель группы инженеров Trend Micro СНГ, Грузия, Монголия. Для противостояния киберпреступникам он рекомендует сформировать принцип недоверия для инфраструктур предприятия: «Как показывает опыт, угрозы нулевого дня (причем как в части ВПО, так и в плане уязвимостей ПО), используемые в комбинированных атаках подобного рода, охватывают весьма широкий спектр сервисов, через бреши в которых атака может быть успешно осуществлена как на само предприятие, так и на его контрагентов. И часть этих сервисов нередко считается априори защищенными с точки зрения невозможности их использования в качестве «опорных точек» для злоумышленников. Формирование принципов недоверия для всех элементов инфраструктуры предприятия (как на уровне пользователей, так и на уровне сети и сопутствующих сервисов) существенно усложняет злоумышленникам задачу и уменьшает поверхность атаки».
Отголоски этой атаки будут слышны и в 2021 году, но вернемся к уходящему 2020 году.
Коронавирус занял не только все новостные каналы, но и стал популярной темой для фишинга и различного кибермошенничества.
«В период пандемии, когда многократно возросла роль дистанционных каналов обслуживания, злоумышленники охотно использовали схемы с регистрацией мошеннических сайтов, имитирующих известные интернет-магазины и службы доставки. Новый виток фишинговой активности на пользователей так или иначе был связан с темой COVID-19», – считает Андрей Арсентьев, руководитель направления аналитики и спецпроектов ГК InfoWatch. – «Текущий срез угроз отражает некоторое ослабление уровня киберзащиты компаний: в условиях пандемии многие вынуждены были находить компромисс между удобством обслуживания клиентов, переводом сотрудников на удаленную работу и требованиями корпоративной безопасности. При этом по мере роста числа атак стало заметно уменьшение количества утечек конфиденциальной информации – по-видимому, многие инциденты ушли в тень, и сведения о них не стали достоянием общественности».
Денис Кувшинов добавляет: «Результаты расследований инцидентов, проводимых PT Expert Security Center, показывают, что есть два наиболее распространенных вектора компрометации сети: фишинговые рассылки и компрометация внешнего периметра. Практически во всех инцидентах с этими векторами решающую роль играет человеческий фактор: сотрудник открыл вредоносное вложение, администратор выставил на периметр сервис удаленного доступа со стандартным паролем, на сайте организации висит уязвимое веб-приложение и т.п.».
Кроме того, как считает Денис Батранков, консультант по информационной безопасности компании Palo Alto Networks, большая часть атак успешна потому, что устройства безопасности часто плохо настроены, а если и настроены, то в режиме журналирования, но мало кто качественно анализирует журналы событий устройств безопасности. «Для значительного повышения уровня защищенности, банально, нужно начать полноценно пользоваться стандартными функциями, которые уже есть и встроены в операционные системы и средства защиты», – рекомендует он.
Множество инцидентов было направлено на медицинские и исследовательские центры как в поисках информации о вирусе, разработках вакцин, так и в попытках вывести из строя пошатнувшуюся систему здравоохранения. Только в марте от атак Ryuk в США пострадали 10 больниц. В этих атаках использовалась уже ставшая привычной для Ryuk схема заражения с использованием фишинговых писем и вредоносной программы TrickBot.
В России отдельно запомнилась атака на онкологическую больницу и уничтожение данных анализов, повторение которых в большинстве случаев невозможно. И хотя количественно эта атака не выдающаяся, негативные последствия от нее сложно недооценить.
В вопросах кибербезопасности неприкосновенных, к сожалению, нет. Надо понимать, что часть атак проходит не направленно, а через массовое сканирование интернет-ресурсов и автоматическое или полуавтоматическое распространение вредоносного ПО любыми доступными способами: автоматическими рассылками по почте, через открытые порты, через публичные Web-ресурсы и т.п. Какого бы масштаба ни была инфраструктура, она – потенциальная жертва атаки, и к этому надо быть готовым.
«COVID-19 повлиял и на увеличение активности APT-групп (Advanced persistent threat, APT – сложная целенаправленная атака)», – комментирует Денис Кувшинов. – «Большое количество APT-атак в этом году было нацелено на лаборатории по исследованию COVID-19 с целью получить доступ к конфиденциальным данным. К таким группам можно отнести Lazarus, Winnti, Fancy Bear. Все они считаются проправительственными. Все это говорит о том, что злоумышленники идут вслед за мировыми трендами и почти молниеносно начинают подстраивать свои атаки под события, происходящие в мире. Злоумышленников не останавливает даже тот факт, что от их действий могут зависеть человеческие жизни».
Павел Коростелев, руководитель отдела продвижения продуктов «Кода Безопасности», объясняет рост числа успешных атак на медучреждения человеческим фактором: «В условиях постоянных физических и моральных нагрузок внимание сотрудников медцентров притупляется. Это способствовало созданию брешей в ИТ-безопасности. Установка качественных средств ИБ и обучение сотрудников антифишингу способствовало бы усилению киберзащиты».
Атака на сервис доставки PickPoint с открытием ящиков постаматов вполне подошла бы для ремейка бестселлера «Хакер». Пострадало не более тысячи ящиков, но в зоне риска было почти 50 тысяч, а восстановление компания оценила в 10 млн рублей.
«В очередной раз было показано, насколько серьезные последствия могут быть в случае поверхностной оценки рисков в части промежуточных элементов системы (в случае с PickPoint – выбранного провайдера). Однако «списать» на провайдера гораздо легче, нежели признать слабые звенья в цепочке собственной системы, а именно недостаточный контроль трафика в части аномалий, шифрование канала, защита от атак на уровне конечных элементов и ряда других. Поэтому даже отличная бизнес-идея может сильно пострадать в случае недостаточной проработки как технической составляющей, так и применения лучших практик в аналогичных проектах (иногда «написанных кровью»)», – объясняет Николай Романов.
Роман Жуков, директор центра компетенций «Гарда Технологии», указывает на тренд в области монетизации деятельности хакеров: «Явна тенденция в сторону смещения фокуса злоумышленников на те риски, которые могут обернуться реальным ущербом для компаний. Все заметные киберинциденты последнего времени нацелены на прямое финансовое обогащение (выкуп или шантаж), и этот тренд в 2021 году только продолжится».
Атаки на промышленные системы могут быть крайне опасными. 2 июля 2020 года один из ядерных объектов Ирана в городе Натанз подвергся кибератаке, повлекшей за собой пожар и взрыв. Ответственность за инцидент взяла на себя киберпреступная группировка «Гепарды родины» (Cheetahs of the Homeland), якобы состоящая из бывших сотрудников иранских сил безопасности, решивших бороться против властей. Было еще несколько атак на поставщиков энергетики Пакистана и Великобритании, но обошлось без крупных перебоев.
«Происходящее на Ближнем Востоке иначе как усилением «холодной» и «горячей» войн назвать трудно. А на войне хороши все средства. При использовании кибератак в таких случаях привлекаются наиболее осведомленные люди, имевшие отношение к построению подобных систем (необязательно именно на атакуемых предприятиях). Чаще всего они знают слабые места и выстраивают атаки именно с учетом этих мест. Возвращаясь к Zero Trust – заложенные в эту концепцию принципы могут также усложнить проведение атаки, просто «разорвав» несколько звеньев цепи. Не зря в последнее годы на различных CTF воссоздаются модели таких предприятий – риски и последствия компрометации столь значимы, что привлечение внимания к этой теме даже в игровом формате позволит пересмотреть специалистам и руководителям основные принципы в реализации защиты», – объясняет Николай Романов.
Количество утечек персональных и других конфиденциальных данных в этом году, как и атак шифровальщиков, является колоссальным. Очевидно, киберпреступники также испытывали финансовый кризис и искали пути монетизации. Вот только некоторые из них: утечки у СДЭК, ОФД «Дримкас» (14 млн записей), SkyEng (5 млн записей), онлайн-голосование по поправкам к Конституции России (1,1 млн записей), атаки на ИТ-компанию Cognizant, оператора дата-центров Equinix, тайваньского производителя электроники Foxconn, компании Konica Minolta и Canon.
Евгин Дуярли (Evgin Duyarli), Seсurity Operations Leader в компании Krontech, подтверждает серьезный рост вымогательского ПО. «Количество атак программ-вымогателей увеличилось в 2020 году более чем на 100% по сравнению с предыдущим годом. Согласно различной информации, которую мы получаем от наших клиентов, в настоящее время наиболее опасной комбинацией вредоносных программ является Emotet + TrickBot + Ryuk. Хотя эти вредоносные программы были разработаны до 2019 года, они все еще используются очень эффективно. Попав внутрь сети, злоумышленник внедряет бэкдор RAT или обратный туннель, который он использует для выполнения команд и загрузки утилит и вредоносных программ (включая хорошо известные инструменты, такие как Mimikatz и хакерский инструмент NSA EternalBlue), и все это в попытке продвинуться в горизонтальном направлении в сеть. Цель состоит в том, чтобы достичь конечных точек в локальной сети целевой организации и украсть конфиденциальные данные», – поясняет он.
Специалисты Центра мониторинга и реагирования компании UserGate назвали 2020 год годом уязвимостей и ransomware: «Если 2019 год был годом утечек, то 2020 год можно назвать годом уязвимостей и ransomware. По статистике, предоставленной Агентством кибербезопасности и защиты инфраструктуры США, в этом году было выявлено порядка 18 тыс. уязвимостей в различных программных продуктах, что больше чем в любом другом году. Волна ransomware изменила направление в сторону крупных компаний, большую часть из которых составили компании-вендоры и инфраструктура их заводов с автоматизированными линиями производства. Также изменилась тактика шантажа операторами ransomware своих жертв, теперь помимо шифрования данных и требования выкупа за их дешифрование появились и участились угрозы реальной публикации информации, содержащей коммерческую тайну в публичный доступ в случае отказа оплаты требуемой суммы».
Роман Жуков назвал самым заметным и значимым из инцидентов года атаку на Garmin: «Компания пострадала от атаки шифровальщика WastedLocker. Операторы WastedLocker потребовали выкуп в размере $10 миллионов. И чтобы получить ключ для расшифровки файлов, производитель «умных» часов и GPS-навигаторов заплатил за дешифратор».
«Думаю, что успех атаки на Garmin подстегнул хакеров просить за выкуп все больше и больше», – добавляет Денис Батранков. – «И они просят уже по несколько десятков миллионов долларов. Ну и спасибо правительствам, которые поддерживают криптовалюту – платить выкуп уголовникам можно анонимно».
Об еще одном громком инциденте с использованием вируса-вымогателя напоминает Андрей Арсентьев: «Широко обсуждаемым в западных СМИ стал инцидент в сети облачного провайдера BlackBaud (США). Этот провайдер стал жертвой атаки с использованием вируса-вымогателя. В результате взлома хакеры получили доступ к конфиденциальной информации сотен клиентов BlackBaud, которые хранили информацию в облаке. Вероятно, в руки хакеров попала личная информация миллионов людей. Среди компаний, пользующихся услугами BlackBaud, в основном медицинские учреждения, университеты, колледжи, а также музеи и благотворительные фонды. Этот инцидент – громкий колокол, напоминающий об ответственности, которая лежит на партнерах компаний».
Андрей Арсентьев обращает внимание и на усложнение ландшафта киберугроз: «Увеличилось число многовекторных DDoS-атак, хакеры обзавелись более эффективными инструментами маскировки своей активности во взломанных сетях, в разы увеличились темпы распространения такого типа вредоносного ПО, как вирусы-шифровальщики».
С ним согласен и Евгин Дуярли: «DDOS – это еще один вектор атак, который резко увеличился по сравнению с предыдущими годами во время глобальных блокировок, связанных с COVID-19. В апреле, мае и июне 2020 года количество атак в среднем было на 97% выше, чем за тот же период в 2019 году, достигнув максимума в 200% в декабре 2020 года».
Благодаря пандемии, спешная «удаленка» сотрудников компаний и перевод офлайн-процессов в онлайн создали дополнительные риски для информационной безопасности, заключает Павел Коростелев. «Не все смогли оперативно интегрировать надежную ИТ-инфраструктуру, безопасность каналов связи на «удаленке» и человеческий фактор – основные проблемы этого года. Цифровизация априори подразумевает параллельную интеграцию средств ИБ, затраты на которые в дальнейшем будут только расти. В совокупности с этим повышение качества знаний сотрудников и населения о кибербезопасности помогут в будущем минимизировать ущерб от атак», – поясняет он.
Большинство технологических и бизнес-лидеров считают, что удаленная работа сохранится в последующем 2021 году. Бизнес не вернется к традиционным локальным рабочим моделям даже после вспышки коронавируса, говорит Орхан Йилдирим (Orhan Yildirim), COO компании Krontech. «В 2021 году адаптация технологий кибербезопасности, обеспечивающих безопасный доступ к приложениям и системам, не зависящим от местоположения, станет главным приоритетом для организаций», – заключает эксперт.