Антивирусная правДА!TM

пятніца, 7 сакавік 2025

Одной из главных тенденций в сфере информационной безопасности в последние годы является увеличение количества кибератак на корпоративный сектор. Этому способствует множество факторов, в числе которых можно назвать развитие вредоносного ПО и моделей его распространения, а также общий рост IT-индустрии, то есть увеличение числа целей, ценности информации и успешных для злоумышленников прецедентов. Разумеется, это не означает, что обычные пользователи перестали интересовать киберпреступников. Вычислительные системы и информационные сети, будь то домашний ПК или сервер в организации, работают по единым принципам и законам. Поэтому справедливо будет сказать, что перед многообразием цифровых угроз и методов атак сегодня равны все.

Если вы интересуетесь темой информационной безопасности, то наверняка слышали о таких понятиях как целевая атака, таргетированная атака или APT (англ. Advanced Persistent Threat; адаптированный перевод: продолжительная атака повышенной сложности). Их упоминания вы могли встречать в публикациях СМИ и антивирусных вендоров. Несмотря на задокументированные случаи таких атак, множество деталей и истинный масштаб последствий редко становятся достоянием общественности. Во многом поэтому до сих пор не существует единства в четком определении критериев, по которым инцидент можно однозначно трактовать как APT. Тем проще заинтересованным сторонам спекулировать на этой теме, в том числе в маркетинговых целях.

Мы посвятим сегодняшний выпуск «Антивирусной правды» целевым атакам и, в частности, APT, поставив условный знак равенства между этими терминами, а заодно попробуем разобраться, какие угрозы под ними подразумеваются. Безусловно, обычный пользователь, находясь у себя дома, вряд ли столкнется с компьютерной целевой атакой напрямую. Однако об этом явлении следует знать для расширения кругозора и осведомленности о возможностях киберпреступности. Впрочем, последствия целевых атак совершенно точно могут косвенно затрагивать всех пользователей, о чем мы расскажем ниже.

Что такое APT-атака?

Аббревиатура APT в качестве термина для обозначения отдельного класса угроз появилась примерно в середине нулевых. Авторство приписывается министерству обороны США. Тогда под APT понимались «особые» компьютерные инциденты и кибершпионаж, которые рассматривались как угроза национальной безопасности. Со временем термин был подхвачен журналистами при описании громких компьютерных атак на крупные цели (например, Google) и в целом прижился и в среде специалистов по информационной безопасности.

Следует сразу сказать, что термин появился значительно позже самого явления. Так что же подразумевается под угрозой класса APT? Одно из наиболее общих определений звучит так: это заранее подготовленная, целенаправленная и технически изощренная атака, которая обычно характеризуется длительным скрытым присутствием злоумышленника в скомпрометированной информационной системе. Целями такой атаки могут являться кража данных, кибершпионаж или саботаж информационной системы жертвы в целях нанесения репутационных потерь или подрыва деятельности организации. К обязательным критериям APT-атаки часто относят долгосрочные цели злоумышленников и использование сложного, зачастую уникального вредоносного ПО для взлома, маскировки и выполнения деструктивных действий. Кроме того, APT подразумевает тщательное планирование и наличие соответствующих ресурсов — не только финансовых, но и профессиональных, то есть высокой квалификации киберпреступников.

Со временем термин APT получил значение «великой и ужасной», таинственной и катастрофической угрозы, от которой практически невозможно защититься либо для защиты от которой нужно использовать некий продукт такой-то компании. Иными словами, без маркетинга не обошлось. Здесь следует сделать оговорку о том, что сложные и целенаправленные атаки действительно существуют, но важно помнить, что безопасность информационной системы зависит не столько от серьезности угрозы, сколько от готовности компании и сотрудников в частности принимать превентивные защитные меры.

В сети можно найти примеры известных целевых атак на крупные частные компании и даже государственные учреждения, при этом во многих аспектах они соответствуют критериям APT. Вирусная лаборатория «Доктор Веб» также занимается расследованиями компьютерных инцидентов, некоторые их которых трактовались нами как целевые атаки. В ряде случаев при выявлении интересных подробностей удается опубликовать исследования таких атак — разумеется, с сохранением конфиденциальности пострадавшей стороны. Вот материал об одной из целевых атак, которая, к счастью, не была успешной для злоумышленников. Иной раз компании обращаются за помощью в тот момент, когда все «уже случилось». Нашим специалистам также известны случаи, когда хакеры находились в корпоративной сети несколько лет до момента первичного обнаружения.

Целевые атаки принято отличать от прочих сетевых атак на корпоративный и государственный сектор. Выше мы упоминали, что атаки на компании — это тенденция последних лет. Так, «рядовые» атаки могут быть направлены против любых компаний, которые кажутся злоумышленником уязвимыми или потенциально прибыльными. Они часто носят одноразовый характер и могут не отличаться длительной подготовкой и сложными техническими решениями. Киберпреступники могут использовать известные и доступные на черном рынке инструменты, при этом действовать небольшими группами или даже в одиночку. Основная цель таких взломов — получение финансовой выгоды. Целевые атаки, в свою очередь — не совсем рядовое событие. Как правило, основной целью такой атаки является промышленный или даже государственный шпионаж, жертвы никогда не выбираются случайным образом. В настоящий момент в мире известно несколько десятков APT-группировок с собственным почерком, инструментами и целями. Истинные масштабы угрозы неизвестны, подробности событий, равно как и последствия, по понятным причинам редко всплывают на поверхность. При этом исследователи и антивирусные вендоры, которые занимаются расследованиями таких атак, как правило, делятся друг с другом важными данными, которые помогают избежать повторения инцидентов и обезопасить пользователей. Также в рамках расследования аналитики как правило публикуют так называемые индикаторы компрометации (англ. IoC — Indicators of Compromise). Это хеши вредоносных файлов, IP-адреса и доменные имена управляющих серверов злоумышленников, причастных к конкретной атаке. Так специалисты могут проанализировать подозрительные файлы или сетевую активность в организации и тем самым проверить, не подверглась ли ее инфраструктура аналогичной атаке.

Сценарии целевых атак

Сценарии целевых атак могут быть разнообразными, при этом они практически всегда имеют многоэтапную структуру. В самом начале предполагается тщательная подготовка к удару по конкретной жертве. Злоумышленники могут собирать информацию об инфраструктуре организации, ее сотрудниках, используемом ПО или даже внутренних регламентах. Да, такая атака не всегда подразумевает только цифровую составляющую. В рамках разведки для получения нужной информации группировка может использовать методы социальной инженерии и подставных лиц (например, соискателей, сотрудников или контрагентов). Это является важным этапом для определения метода и точки входа в корпоративную сеть.

Как ни странно, для взлома первого узла в сети киберпреступники часто используют все тот же фишинг. Разумеется, это не случайный, а так называемый целевой фишинг (англ. spear phishing). Собранная на первом этапе информация и весьма грамотная социальная инженерия позволяют злоумышленникам максимально эффективно использовать такие простые, казалось бы, уловки. Одним из распространенных способов являются целевые фишинговые рассылки по электронной почте, при этом адресатом становится конкретный сотрудник или определенная группа лиц.

Другой вариант — использование малоизвестных уязвимостей или даже уязвимостей нулевого дня в программном обеспечении, операционных системах и оборудовании. Это становится возможным также благодаря разведке и изучению инфраструктуры и ПО, которое используется в целевой организации. Поиск и эксплуатация уязвимостей нулевого дня — это дорого и сложно, однако, как мы отмечали выше, APT-группировки располагают нужными ресурсами.

В ряде случаев злоумышленники для взлома целевой организации могут совершать так называемую атаку на цепочку поставок (англ. supply chain attack). Это означает, что хакеры компрометируют партнеров, поставщиков или подрядчиков организации-жертвы, надеясь через них получить доступ к целевой сети. Это достаточно актуальный метод, так как многие компании для обеспечения своей работы используют сторонние сервисы и продукты. Метод может быть выбран, если контрагента жертвы взломать заведомо проще, и если тем самым возможно обеспечить точку входа в целевую организацию. Все это определяется также в рамках разведки: есть ли подходящее слабое звено и может ли оно быть использовано. Далее злоумышленники могут модифицировать продукт или сервис, внедрив, например, бэкдор со следующим легитимным обновлением.

Разумеется, киберпреступники могут комбинировать методы и механизмы, дублировать их с целью повышения своих шансов на успех. Главная цель — доставить первичный модуль вредоносной программы в сеть организации и заставить пользователя запустить его. Дальнейшие действия — маскировка своей активности, закрепление и планомерное продвижение по сети.

Первичной вредоносной программой обычно является троян-загрузчик либо другая программа, которая обеспечивает скрытое функционирование и доставку других вредоносных модулей (так называемой «полезной нагрузки») на устройство в сети. Важно отметить, что отличительной чертой APT-атак является использование технически сложного, зачастую «самописного» вредоносного ПО, которое при этом заточено под конкретную жертву. Именно поэтому стандартные антивирусные средства могут быть бессильны, особенно если они работают исключительно по сигнатурным методам. Так, например, некоторые известные образцы APT-троянов используют для своей загрузки системные службы с подменой DLL-библиотек и далее работают только в оперативной памяти. Существуют сложные модификации троянов и бэкдоров с многомодульной структурой, способные по команде от управляющего центра злоумышленников загружать дополнительные плагины для выполнения различных деструктивных действий. Анализ и отладка найденных вредоносных образцов также являются сложными процедурами, так как вирусописатели применяют различные техники для запутывания кода. Однако успешный анализ помогает определить функциональность трояна и возможный ущерб от его работы.

После первичного заражения обычно происходит закрепление в системе, при котором троян обеспечивает стабильное функционирование на устройстве с возможностью дальнейшего продвижения по сети. Как было замечено выше, троян на данном этапе способен получать команды от управляющего центра, загружать дополнительные вредоносные модули, сканировать сеть и т. д. Важнейшей задачей при этом является скрытое функционирование. Злоумышленники всегда предусматривают возможность самоуничтожения трояна и его простаивания, режим ожидания и другие функции для маскировки. Конечной же целью являются непосредственно интересующие устройства в сети и данные на них. Так, особо опасной считается компрометация контроллера домена в сети организации. Получение доступа к этому узлу фактически полностью развязывает руки злоумышленникам.

Как минимизировать риски?

Защита от целевых атак — это достаточно сложный вопрос, во многом выходящий за рамки этой ознакомительной статьи. Конечно, целевые атаки не угрожают обычным пользователям напрямую. Но все, как известно, начинается с малого. Сотрудники компаний-жертв далеко не всегда являются экспертами в области информационной безопасности. Это могут быть такие же «домашние пользователи», через которых действуют злоумышленники. Тот же целевой фишинг остается банальной уловкой, которой каждый может противостоять. Кроме того, далеко не всегда успешный взлом является следствием фантастической экспертизы APT-группировки. Зачастую причина банальна — недостаточная защита корпоративной сети. В своих выпусках мы часто пишем о важности комплексного подхода к обеспечению собственной цифровой безопасности. Он касается всего: от защиты личных данных в сети до создания резервных копий и правильной настройки домашнего маршрутизатора. Защита от целевых атак, как бы банально это ни звучало, подразумевает все то же самое, только с многократно большим количеством аспектов. Но в этом и кроется сложность: предусмотреть все защитные меры, найти баланс и не парализовать работу ограничениями — отнюдь не простая задача.

В заключение хотелось бы абстрагироваться от целевых атак и напомнить о цифровых угрозах для любой организации. Компаниям важно иметь отлаженную стратегию защиты сетевой инфраструктуры, тренировать персонал, пропагандировать принципы безопасной работы. Это касается всех, кто работает за ПК и имеет доступ к данным в сети, в особенности сотрудников с высокими уровнями доступа. Контроль доступа на основе ролей, минимизация привилегий, разделение внутренних сетей — базовые, но важные практики, которые, увы, внедрены не везде. Достаточно очевидна и необходимость использовать защитное ПО, будь то антивирусы на всех узлах или программы для мониторинга и оперативного реагирования на инциденты.