В начале 1918 г.великий Гарри Гудини на глазах у изумленной публики Нью-Йоркского ипподромазаставил исчезнуть слона. 100 лет спустя эта история все также актуальна вкачестве аналогии для описания ситуации в сфере киберугроз. Но что можносделать? Как разглядеть иллюзию? Как обнаружить скрытое? Есть старая притча прослепцов, пытавшихся описать это гигантское млекопитающее. Каждый из нихприкасался к определенной части животного: ноге, хвосту, бивню, хоботу или уху.И в зависимости от этого у каждого из них получался свой собственный, отличныйот других и реальности, образ. Так же как и слон, обширное пространствокиберугроз не может быть описано с помощью всего лишь одной точкисоприкосновения. И для того, чтобы найти спрятанное, необходимо использоватьинформацию о миллионах таких точек по всему интернету. Такой подход позволяетанализировать множество угроз с разных ракурсов, отбросить информационный белыйшум и вычленить важные данные.

Последние сводки показываютнебольшое снижение активности киберпреступников. Согласно исследованию Fortinet,посвященному киберугрозам в I квартале 2018 г., обнаружение новых эксплойтоввыросло на 11% и превысило 6,5 тыс., но общее количество выявленных угрозснизилось на 13% и составило менее 250 на компанию. Снизилось и число уникальныхвредоносов – падение составило 15%, однако на этом фоне хорошо заметен росткриптоджекингового ПО – также 15%.

Одним из главных событийначала 2018 г., несомненно, стала новость об обнаружении дыры в безопасности большинствасовременных микропроцессоров и двух методов, эксплуатирующих эту уязвимость ипозволяющих сторонним процессам обращаться к памяти ЦПУ без авторизации. Ониполучили имена Meltdown и Spectre. Несмотря на то, что эти эксплойты имеютневероятно высокий потенциал, к настоящему времени они так и не смогли егореализовать. За весь наблюдаемый период общая активность Meltdown и Spectre отмеченана уровне 0,07% от общего количества компаний, а пик обнаружения пришелся на 30января со значением 1 запуск на 5 200 организаций (0,02%). Однако стоитотметить, что преступники активно использовали эту уязвимость как ширму для прикрытияряда других атак. К примеру, были зарегистрированы попытки распространениябэкдор-троянов под видом официального патча-заплатки для защиты от Meltdown и Spectre.

Но, несмотря наширокую шумиху, поднятую прессой вокруг проблемы безопасности процессоров, в Iквартале 2018 г. верхние позиции в топе жертв кибератак занимали совсем другиеигроки. Лидером стало программное обеспечение Microsoft. На соседних строкахсписка расположилась группа интернет-ориентированных технологий, таких как SSL,Telnet, SSH, HTTP, Bash, PHP и Apache – они также регулярно подвергалисьатакам. Кроме этого в топ-лист попали WordPress и Joomla – две наиболеепопулярных интернет-системы управления контентом (CMS). Стоит отметить еще одинCMS-проект – Drupal – он остался за рамками топа, но достоин упоминания из-завысоко критичной уязвимости в коде удаленного исполнения.

И если с защитойобычных ИТ-систем и инфраструктуры ситуация более-менее привычна и понятна, тобезопасность операционных процессов (OP), и в частности промышленных системконтроля (ICS), не столь прозрачна. В I квартале 2018 г. всего 1% от общегочисла организаций сообщили об эксплойтах против их ICS. Но эксперты Fortinetуказывают, эти данные не настолько безобидны, как может показаться на первыйвзгляд. Низкий процент связан прежде всего с тем, что лишь относительнонебольшая подгруппа компаний использует подобные системы. Но при этом многие изних отвечают за критически важные сферы бизнеса и инфраструктуры (к примеру,водоснабжение, энергетика и АЭС, авиасообщение и т.д.) и, в случае успеха,атака на подобные объекты может иметь серьезные последствия для общественнойбезопасности.

Вредоносное ПО осваивает майнинг криптовалют

В I квартале 2018 г.ландшафт активности вредоносных программ претерпел качественные иколичественные изменения: на 10% компаний распространилось всего лишь 3семейства вредоносов и два из них имеют в своем названии «coin», «монета». Онипредставляют собой угрозу, которая показала действительно примечательный рост втечение первых месяцев этого года. Эти семейства специализируются накриптоджекинге – захвате компьютера вредоносным ПО для майнинга криптовалют.Как правило, осуществляют такой «угон» через скрипт, загружаемый в веб-браузере.

Немного статистики: вIV квартале прошлого года 13% фирм зарегистрировали атаки криптомайнинговыхвредоносов, за три месяца 2018 г. это значение удвоилось и достигло 28%. Какуказывают эксперты Fortinet, этот тренд затронул каждый из мировых регионов.Удивляет и скорость, с которой угроза криминальных криптомайнеров так быстро вышлана передний план, и невероятно широкое разнообразие, так несвойственное дляотносительно новых вредоноснов: встречаются майнеры, направленные на несколькооперационных систем, также как и на разные криптовалюты (биткойн или монеро). Появилосьновое поколение «бесфайловых» вирусов, которые внедряют вредоносный Java-код ввеб-страницы (даже легитимные) для взлома посещаемых сайтов.

Еще однойособенностью стало то, что криптомайнеры переняли методы распространения отдругих успешных вредоносов. К примеру, WannaMine использует ту же самуюуязвимость, что и известный вирус-вымогатель WannaCry. Дыра в фреймворке ApacheStruts, на которой прошлой осенью погорело бюро Equifax? Да, криптоджекеры тожеее используют. И даже новая уязвимость в Drupal нашла свое применение для майнингачерез XMRig.

Кроме этогокриптомайнеры научились скрывать свою активность, используя механизмрегулирования объема потребляемых ресурсов ЦПУ и времени их использования.

Аналитики Fortinetотмечают немаловажную деталь в подъеме криптоджекинга – преступники, преследуяденьги, быстро осваивают новые возможности и технологи. Системы «угона»компьютерных мощностей для майнинга криптовалют стали прибыльным делом, и всвязи с этим вполне логично ожидать дальнейших инноваций и инвестиций в этубизнес-модель.

Но не только тема ростакриптоджекинговых атак обратила на себя внимание в I квартале 2018 г., за этовремя случилось еще несколько примечательных событий. В январе отмеченопоявление вымогателя GandCrab, и он правомерно может называться первойпрограммой-шантажистом, использующей криптовалюту Dash в качестве оплаты. Какуказывает Европол, менее чем за месяц GandCrab поразил 50 тыс. жертв. Вскоребыл выпущен инструмент для расшифровки взломанных файлов, но авторы программы-вымогателянезамедлительно ответили новой версией – GandCrab 2.0.

BlackRuby – это ещеодна программа-шантажист, в которую добавили умную схему монетизации. Привыполнении вредоносного кода, вирус устанавливает «персональную» ценурасшифровки пораженных файлов, основываясь на информации о местоположениипострадавшей машины. И кроме этого, чтобы получить дополнительный доход отжертвы, на захваченном компьютере запускается майнинговый компонент XMRig.

SamSam появился вконце 2015 г. и долгое время остался довольно низкопрофильной угрозой. Но недавноего разработчики пошли на прорыв, ориентируясь на широкий спектр организаций отмедицинских и образовательных учреждений до местных органов власти, причемдовольно успешно. В марте SamSam атаковал городские онлайн-сервисы Атлантынастолько удачно, что мэр города назвал положение «ситуацией с заложниками». И,хотя атака была направлена в основном на сервис по оплате счетов и системупланирования работы суда, сообщение «мы можем вызвать у вас серьезные проблемы»было услышано достаточно ясно.

Олимпиада 2018 года вПхёнчхане началась с фальстарта, когда во время церемонии открытия сетевойчервь Olympic Destroyer устроил хаос в ИТ-системах. Несмотря на это, «олимпийская»команда все же сумела взять ситуацию под контроль.

Становление рынков угроз нулевого дня

С начала этого годастатистика угроз нулевого дня приросла 45 эксплойтами, в прошлом году былообнаружено 214 подобных угроз. Всего же с 2006 г. выявлены 556 таких уязвимостей.Все рынки угроз нулевого дня также показывают рост. С каждым днем становитсявсе легче получить доступ к этим эксплойтам. И здесь есть как положительные,так и отрицательные герои.

Легальный рынок или «white hatрынок» – «рынок хакеров в белых шляпах»: в дополнение к внутреннимисследованиям, таким как отчеты компании Fortinet, растет число независимых икорпоративных или правительственных программ, по которым выплачиваетсявознаграждение за найденные уязвимости. Некоторые из участников рынка платят до$200 тыс. за эксплойт. Покупатели разнообразны: начиная от создателей ПО,которые хотят найти и исправить уязвимости с помощью исследовательскогосообщества, и, заканчивая правительственными учреждениями, которые могут иметь нестоль явные цели.

На теневом рынке или «gray hat рынке» – «рынке хакеров в серых шляпах» кроме поставщиков программ и законопослушных компаний, предлагающих щедрые вознаграждения, существуют также «брокеры нулевого дня», которые приобретают эксплойты для своих клиентов. Покупатели и продавцы на этих рынках обычно анонимны, и в этом есть свои плюсы и минусы. Возможно, поставщик просто хочет незаметно вознаградить исследователя за усилия, но также нельзя исключать вероятность того, что покупатель является враждебным государством, преступным сообществом или злоумышленником. Продавец не имеет никакого контроля над тем, как в дальнейшем будет использоваться уязвимость.

Черный рынок или «black hatрынок» – «рынок хакеров в черных шляпах»: здесь предоставляется возможностьпродавать уязвимости нулевого дня, не беря в расчет вопросы морали и этики,понятия «хорошо» и «плохо». На этом растущем рынке все ставки сделаны, инеизбежно, что некоторые из проданных здесь эксплойтов будут массовоиспользованы.

Существуютпрофессиональные организации и сообщества, работающие вне этих рынков, нопараллельно с ними, и предпочитающие красть информацию по уязвимостям нулевогодня, а не покупать или обнаруживать ее. В качестве примера можно привестигруппу, известную как Shadow Brokers. Не так давно они взломали кэш эксплойтовнулевого дня, по их утверждению, принадлежавший АНБ. Один из них, EternalBlue, сталосновой для создания программы-вымогателя WannaCry и криптоджекера WannaMine.

Ботнет тренды 

В то время, кактенденции использования эксплойтов и вредоносного ПО находятся на стороне атак«до взлома», ботнеты имеют противоположный ракурс – «после взлома». Зараженныесистемы часто взаимодействуют с удаленными вредоносными узлами, и такой трафикв корпоративных сетях указывает на наличие проблем, но также может стать иценным материалом для «учебы на ошибках».

Ботнеты обычно недают поводов для «скуки», но в I квартале 2018 г. они играли лишь третьюскрипку в оркестре эксплойтов и вредоносных программ. И в целом, этот секторугроз не показал существенных изменений. Но есть несколько интересных моментов.В частности, стоит упомянуть ботнет Okiru. В январе была обнаружена новаяверсия этой программы, предназначенная для процессоров Argonaut RISC Core(ARC). Более миллиарда устройства на базе System-on-a-Chip (SoC),лицензированных в 190 странах, используют именно эти ЦПУ. И если случитсяуспешная атака ботнета с потенциалом, подобным Okiru, это может привести кхаосу.

Кроме этого, аналитикиFortinet обращают внимание на то, что ботнет Andromeda продолжает заниматьлидирующие позиции в топе, несмотря на то, что в IV квартале 2017 г.правоохранительные органы провели крупную операцию по уничтожению этой системы.На первый взгляд может показаться, что операция закончилась неудачей, нодальнейший анализ говорит об обратном и свидетельствует, прежде всего, о плохойгигиене в сфере кибербезопасности. Специалисты Fortinet установили, чтокомпании, которые все еще продолжали общаться с призраком Andromeda, имелипочти в 3 раза большее количество активных ботнетов в их сетях.

Что можно сделать для защиты

Прочная защита должнаотражать любую из возможных угроз противника: от разведки перед атакой(эксплойты), размещения оружия (вредоносные программы) и до нелегальногоуправления сетями и устройствами после взлома (ботнеты).

Если организацияиспользует промышленные системы контроля (ICS), первым шагом должна статьполная оценка деловых и операционных рисков, связанных с этими технологиями, и формированиестратегии, которая определит зоны, каналы, границы и уровни безопасности, регулирующиесвязи между разными средами.

В связи с ростомугроз, направленных на устройства интернета вещей (ИВ), аналитики Fortinetрекомендуют использовать метод «Изучай. Сегментируй. Защищай» и обращаютвнимание на необходимость более глубокого сбора информации о подобныхустройствах, их подключении к сети, как они настроены и как проходят процессидентификации. После изучения экосистемы необходима сегментация ИВ-устройств насетевые зоны, защищенные настраиваемыми и динамически обновляемыми политиками. Сегментысети также должны быть связаны друг с другом в целостную структурубезопасности, которая может охватывать и защищать всю распределенную сеть – сособым вниманием к точкам доступа, узлам обмена трафиком между сегментами сетии даже мультиоблачным средам.

Первым шагом дляобнаружения угроз криптоджекинга может стать проверка Диспетчера задач(Windows), Монитора активности (Mac) и «top» в командной строке Linux.Используя эти инструменты, можно также просмотреть все процессы, запущенные накомпьютере, а затем найти или убить программу-виновника, крадущую ресурсы.