20 сентября 2012 г.

Elderwood Project – искусство войны



Elderwood Project – искусство войны

«Когда ты близок [к врагу] — кажись далёким»
Сунь Цзы, трактат  «Искусство войны», VI в.до н.э.

На днях специалисты исследовательской лаборатории Symantec обнародовали результаты расследования незаконной деятельности хакерской группы Elderwood Project. В отчёте указывается, что организованная группа киберпреступников совершила серию атак на государственные и коммерческие структуры, имеющих отношение к производству систем вооружения. Жертвами преступников стали субподрядчики и контрагенты предприятий оборонной промышленности в США, Канаде, Китае, Гонконге, Австралии и других странах мира. Организационная структура, число участников и цели группы до сих пор не выяснены. Учёные предполагают, что хакеры могли действовать в интересах крупной ОПГ или иностранного государства.

Объектом атак Elderwood Project  стала интеллектуальная собственность компаний,  участвующих в цепочке выполнения оборонных заказов. Эти организации, которые связаны с производством оружия, аэрокосмической промышленностью, логистикой, научно-исследовательскими и опытно-конструкторскими работами, энергетикой, машиностроением, производством высокоточной электроники и программного обеспечения для нужд армии и флота. Заражение происходило путём внедрения троянских программ на рабочие станции сотрудников компаний. Хакеры из Elderwood Project использовали как классические инструменты мошенничества, так и сравнительно новые методы незаконного проникновения. Так, в числе прочих, преступниками применялась тактика «хищник у водопоя» (англ. «watering hole»): в течение длительного времени хакер изучает сетевое поведение будущей жертвы – часто посещаемые сайты, порталы, прочие открытые сетевые ресурсы. Затем, на выбранных сайтах размещается троянская программа, которая, подобно хищнику у водопоя, поджидает выбранную цель и внедряется в компьютер, а затем и в корпоративную сеть.



Elderwood Project являет собой новую веху в истории хакерских атак. В этот раз преступники отказались от попыток взлома сетей крупных предприятий и государственных структур, поскольку организации такого масштаба, как правило, имеют развитую систему средств информационной защиты. Жертвы выбирались среди компаний, участвующих в цепочке выполнения работ по госзаказу – уровень защищённости у них значительно ниже (или практически отсутствует). Тем не менее, информация, похищенная у контрагентов заказчика, даёт достаточно полную картину финального проекта или исследования.

Отличительной чертой хакерской группы Elderwood Project стало широкое использование т.н. «угроз нулевого дня» – уязвимостей пользовательского  программного обеспечения, ещё не известных производителям антивирусных систем информационной безопасности. Исследователи уверены, что вторжения на рабочие станции сотрудников производились через уязвимости браузеров и программ воспроизведения flash-контента. В арсенале хакеров выявлено не менее восьми эксплойтов неизвестных уязвимостей ПО, которые не обнаруживались классическими антивирусными средствами. Напомним, что авторы знаменитого червя Stuxnet, который атаковал иранский ядерный проект, оперировали всего четырьмя уязвимостями нулевого дня.

Важным аспектом, который открывается при изучении современной истории кибервойн, является новая тактика нападений. Ещё свежи в памяти прогремевшие на весь мир атаки на крупнейшие банки, государственные и коммерческие корпорации, важные объекты инфраструктуры. «Большие дяди» сделали соответствующие выводы и принялись усиленно возводить линии информационной обороны. Хакеры Elderwood Project изменили стратегию кибератак – вместо попыток вскрыть превосходно защищённую цель, преступники нападают на компании-контрагенты, выполняющие работы для объекта нападения. Действительно, зачем пытаться штурмовать неприступный замок, если можно нападать на снабжающие его караваны? Подобно караванам, доставляющим провиант в замок, компании-подрядчики не могут похвастать продуманной и сильной защитой – это ли не приманка для злоумышленников. На практике это означает, что крупные компании и государственные заказчики теперь должны требовать у своих подрядчиков должного уровня информационной безопасности.

Отчёт по деятельности группы Elderwood Project в проекции громких эпизодов кибер-атак за последние несколько лет позволяет сделать некоторые выводы о состоянии информационной безопасности в мире. Во-первых, налицо не только количественный, но и качественный рост угроз. Крупные антивирусные компании регулярно сообщают всё более устрашающие цифры роста вредоносов. Примечательно, что в отчёты по дополнениям сигнатурных баз антивирусов попадают только те из них, которые были зарегистрированы и однозначно определены как опасные. Действительно, многие вредоносные программы имеют способность к размножению, самокопированию и самомодификации. Действительно, современные антивирусы довольно успешно распознают и блокируют модификации известных вредоносов. Однако их число растёт далеко непропорционально аналитическим мощностям антивирусных вендоров. Но самое главное – практика успешных кибератак показывает, что хакеры используют вредоносные коды, ещё не известные антивирусным продуктам.

Ситуация такова: новое время приносит новые угрозы, но мы пользуемся защитой, концепция которой устарела многие годы назад. Совершенно очевидно, что системы защиты на основе баз антивирусных сигнатур уже не работают. Период времени между появлением нового вредоноса и выпуском блокирующей его сигнатуры слишком велик, чтобы гарантировать безопасность. Более того, механизм распознавания новых угроз построен таким образом, что вредоносный код, написанный под конкретную задачу (атака определённой организации, сети, компьютера) практически никогда не сможет быть нейтрализован до нанесения им ущерба.

По сути, антивирусные сигнатуры формируют так называемый «чёрный список» - перечень известных угроз, которым не разрешено выполняться на компьютере. В виду масштабного роста угроз, такой подход рано или поздно оказывается просто бессильным – все угрозы просто невозможно учесть. Однако, есть возможность пойти от обратного – учесть все программы и приложения, которым доверять можно. Так работает технология динамических «белых списков», один из компонентов проактивной защиты. То есть пользователь компьютера или администратор сети разрешает исполнение только тех программ и действий пользователя, которые имеют гарантию безопасности. Все новые процессы – в том числе и скрытые – априори рассматриваются как потенциально опасные, для их исполнения запрашивается отдельное разрешение у пользователя/администратора. Таким образом достигается эффект превентивной защиты – у вредоносов практически не остаётся шансов проникнуть в систему. Технологии проактивной защиты успешно блокируют не только известные типы вредоносных кодов, но и угрозы нулевого дня. Проактивная защита прекрасно уживается с традиционными технологиями антивирусных сканеров, формируя надёжную комплексную защиту от известных и пока неизвестных угроз. С недавнего времени, некоторые производители антивирусов снабжают свои продукты модулями проактивной защиты, но их эффективность пока далека от совершенства.

В своём трактате «Искусство войны» видный стратег древности Сунь Цзы пишет: «Стратегия ведения войны такова: не полагайся на то, что враг не придет, полагайся на средства, которыми располагаешь, чтобы принять его». Сколько бы ни молодились крупнейшие антивирусные компании, время доказывает, что реактивная, пассивная защита совершенно неэффективна. Важно понимать: изменилась сама парадигма информационной безопасности. В то время, когда хакеры находят всё новые уязвимости, изобретают всё более изощрённые инструменты вторжения и шпионажа, антивирусные средства, по сути, застряли в прошлом. Сама концепция баз антивирусных сигнатур была создана в те времена, когда индустрия инфобезопасности ещё не знала таких терминов как таргетированная атака (Advanced persistent threat  - APT), уязвимость нулевого дня, бэкдор, троян и т.д. Современные вендоры антивирусных решений слишком велики, чтобы признать собственную неповоротливость. Слишком медленно они реагируют на новые вызовы, слишком мало внимания уделяют разработкам принципиально новых средств защиты.

Комментариев нет:

Отправить комментарий