Динамика поведения пользователей при социальной инженерии
При этом интересна статистика атак на обычных людей. Ведь бесконечные утечки персональных данных упрощают работу хакеров с точки зрения выбора нужных людей при планировании атаки на организацию. Так, в 2021 году в 58% атак хакеры заражали устройства пользователей вредоносным ПО: это были приложения для удаленного управления (34%), шпионское ПО (32%) и банковские трояны (32%). При этом к концу 2022 года шпионское ПО использовалось уже в 49% успешных атак.
По итогам 2022 года чаще всего источником заражения становились фишинговые сайты (42% успешных атак) и письма электронной почты (20%). Также хакеры объединяли личные устройства людей и организовывали так называемые ddos-атаки, то есть просто перегружали ИТ-инфраструктуру организации-жертвы. И в массовых фишинговых атаках хакеры использовали актуальную новостную повестку: покупка поддельных сертификатов о вакцинации, создание мошеннических сайтов перед чемпионатом Европы по футболу, премьерой нового эпизода сериала «Друзья» или другого «вкусного» события.
Ну, и в-пятых, менеджеры – люди прагматичные, они хотят гарантий. В итоге мы и пришли ко второму тренду – формулированию простых и понятных для топ-менеджеров запросов, чтобы недопустимое невозможно было реализовать.
По моему мнению, это вполне нормальная ситуация. Бесконечно наращивать броню и закрываться невозможно. Если вы любите погонять в танки, то помните пример с танком Маус, который в итоге стал неповоротливым и в жизни вообще не мог передвигаться, став лишь музейным экспонатом. При этом развитие техники все равно сделало его пробиваемым. В борьбе брони и снаряда всегда в итоге выигрывает снаряд.
Возвращаясь к языку бизнеса, поделюсь наблюдением. Наращивание брони порой приводит к росту бесполезной бюрократии. Я видел компании, которые закрывались так, что останавливались бизнес-процессы, и люди просто выходили за контур компании, начинали вести рабочую коммуникацию и обмен документами в открытых мессенджерах и личной почте. Ведь у них есть KPI и с них требуют результат. А ждать по неделе-две пока техподдержка решит очередную проблему, они не могут. В итоге хотим защититься, но только множим риски.
Третий тренд – развитие киберполигонов и кибербитв, которые предоставляют возможность специалистам по кибербезу пробовать свои силы в обнаружении и пресечении действий злоумышленников, тестировать инфраструктуру и получать информацию для анализа и развития. Также с начала 2023 года идет активное создание программ по поиску уязвимостей за вознаграждение. Такие программы называются Bug bounty. Это позволяет «белым» хакерам и исследователям применять свои знания во благо и получать за это вознаграждение. В основном это относится к финансовой сфере (программы поиска уязвимостей) и крупным корпорациям (участие в кибербитвах).
Глава 4. Что происходит в отраслях
Атаки на корпорации и организации становятся все больше похожими на спланированные военные операции – идут атаки и на оборудование, и на людей. Так, мы уже с вами знаем про фишинг, использование уязвимостей и так далее. Но помимо этого, существуют и специализированные компании, которые занимаются разработкой инструментария для проникновения в различные информационные системы. Особенно это развито в тех странах, где такая работа не попадает под ограничения законодательства. То есть в принципе это не нелегальный бизнес, и с учетом текущей ситуации многие страны, скорее всего, вообще начнут закрывать глаза на него.
Государственное управление и организации
Государственные организации сейчас, в 2022—2023 годах, проходят настоящее боевое крещение. В 2022 году число успешных атак на государственные учреждения увеличивалось в каждом квартале. Госучреждения столкнулись с наибольшим числом инцидентов среди любых организаций. На их долю пришлось 17% от общего числа успешных атак (в 2021 году этот показатель был 15%). Всего за 2022 год PT зафиксировали 403 инцидента с государственными организациями, что на 25% больше, чем в 2021 году.
Основной способ атаки – социальная инженерия. Цель атак – данные. И это понятно, ведь автоматизация и цифровизация в гос. управлении идет полным ходом. А значит, государственные органы начинают генерировать большие данные: налоги, медицинская информация, биометрия и т. д. Медицинские данные представляют для хакеров особый интерес, в том числе и для целей социальной инженерии, повышения эффективности фишинговых атак.
Наиболее популярными типами вредоносного ПО оказались шифровальщики (56%) и программы для удаленного управления (29%). Также постоянно растет доля атак на веб-ресурсы, – в 2020 году таких было 14%, к концу 2022 – 41%.
Причем госструктуры под ударом не только у нас в стране.
Пример 1
В середине октября 2021 года хакер получил доступ к базе данных правительства Аргентины, в которой содержится информация обо всех удостоверениях личности граждан. В итоге на черном рынке были выставлены на продажу данные и ID-карты всего населения Аргентины, то есть более 45 млн граждан. Причем в качестве подтверждения достоверности данных хакер раскрыл информацию о 44 известных личностях, в том числе президента страны.
Пример 2
Полицейское управление столицы США Вашингтона. Там случилась массовая утечка внутренней информации после атаки программы-вымогателя. В дарквебе (сегмент Интернета, который скрыт от обычных пользователей, где продают поддельные документы, оружие, наркотики, получают заказы хакеры) были опубликованы тысячи конфиденциальных документов. Также были обнаружены сотни личных дел полицейских, данные об информаторах и разведывательные отчеты со сведениями, полученными от других государственных органов, включая ФБР и Секретную службу.
Пример 3
Атакой шифровальщиком данных хакеры вызвали коллапс IT-инфраструктуры трех больниц в США, сорвали несколько плановых операций, нарушили процесс приема пациентов и похитили 1,5 ТБ персональных данных, включая медкарты. Группировка получила выкуп в размере 1,8 млн долларов за дешифратор и непубликацию похищенной информации. А кибератака вымогателей на одну из главных больниц Барселоны (Clinic de Barcelona) привела к повреждению ИТ-инфраструктуры клиники и вынудила отменить 150 неотложных операций и до 3000 обследований пациентов (по данным Associated Press).
Пример 4
Также интересный случай был в ноябре 2022 года. На одном из форумов в дарквебе появилось сообщение о взломе инфраструктуры Федеральной налоговой службы России. Хакеры утверждали, что скачали 800 Гб конфиденциальной информации. Официальных комментариев ведомства не поступило. В качестве доказательств прилагались ссылки на несколько проектов, которые, по сообщению хакеров, взяты из базы данных ФНС. «На то, чтобы проникнуть в сеть налоговой, нам понадобилось всего одну неделю времени, а во взломе участвовали лишь три человека. На самом деле, нами уже захвачено несколько десятков государственных структур такого уровня. Но заявлять о них надобности пока нету», – написали хакеры в сообщении.
При этом еще один курьезный случай с ФНС произошел в 2019 году. Тогда была возможность получить доступ к двум базам данных. Первая содержала более 14 млн данных о людях, а вторая – 6 млн. В них можно было найти имена, адреса, номера паспортов, данные о месте проживания, номера телефонов, номера ИНН, названия компаний-работодателей, а также информацию об уплаченных налогах.
Пример 5
Атака вымогателей на госучреждения Коста-Рики в апреле 2022 года. Группировка вымогателей Conti напала на госучреждения Коста-Рики и потребовала выкуп в размере 20 млн долларов. Из-за недоступности большей части IT-инфраструктуры в стране было объявлено чрезвычайное положение, а несколько позже к атакованному государственному сектору присоединилось здравоохранение Коста-Рики, учреждения которого атаковала группировка Hive.
Пример 6
Власти города Берлингтон в Канаде подверглись фишинговой атаке, в результате которой 503 000 долларов США были переведены не настоящему поставщику услуг, а киберпреступнику.
Промышленность и энергетика
Промышленность все больше привлекает киберпреступников: количество атак в 2021 году превосходит результаты 2017 года более чем в 7 раз. А в 2022 году около 10% всех успешных атак пришлось на промышленность. При этом промышленные компании, по сути, не готовы противостоять сложным атакам и вредоносному ПО. Так, 95% компаний либо не защищают свои автоматизированные системы управления технологическими процессами (АСУ ТП) специальными решениями, либо делают это частично. И системного подхода к управлению кибербезопасностью, например, управления уязвимостями и обновлениями компонентов ПО, в 93% случаев тоже нет. Это с учетом того, что ущерб от остановки бизнес-процессов может быть катастрофичным, в том числе с повреждением и разрушением оборудования, техногенными катастрофами. Компаниям проще идти на поводу у хакеров и тихо выплачивать выкуп.
Спасает сейчас то, что злоумышленникам просто невыгодно заниматься изучением технологических параметров, разбираться, что именно надо изменить, ведь можно просто зашифровать или украсть конфиденциальные данные. По моему мнению, это ключевой сдерживающий фактор.
Также здесь сохраняется и общий тренд – атаки становятся все более комплексными:
– использование вредоносного ПО (71% успешных атак)
– социальную инженерию (около 50%)
– эксплуатацию уязвимостей в ПО (41%).
Само вредоносное ПО распространялось через ИТ-оборудование (49% случаев) и почту (43%). Перебои в работе из-за вмешательства в технологические и бизнес-процессы возникали в 47% случаев. И главным образом из-за шифровальщиков данных и ПО для удаления данных (вейперов). В течение 2022 года доля шифровальщиков увеличивалась с 53% в первом квартале до 80% в третьем. Доля вейперов достигла 7% (в 2021 году их было 1—2%).
Рост доли эксплуатации уязвимостей в атаках говорит о том, что эти методы экономически целесообразны, а это уже свидетельствует о низком уровне защиты в промышленности. И именно в программных и аппаратных продуктах, предназначенных для промышленности, в 2021 были обнаружены и исправлены наиболее опасные уязвимости.
Промышленники и энергетики вроде и осознают все риски, но и специфика отрасли не дает возможности проводить полномасштабные учения с отработкой практических сценариев и выявлением недопустимых событий. Поэтому сейчас появляются киберполигоны, где можно через виртуальную или дополненную среду без риска сломать процессы и оборудование, проводить любые учения и оценивать последствия. Один из таких примеров – мероприятие Standoff, которое организовывают PT.
В целом, в 2021 году интересы хакеров в России по отраслям промышленности распределились следующим образом:
– 31% авиакосмическая отрасль;
– 23% государственные организации;
– 23% IT-компании;
– 15% военно-промышленный комплекс;
– 8% топливно-энергетический комплекс.
Что касается статистики PT, то в своих проектах с первой половины 2020 по вторую половину 2021 года им удалось реализовать 87% недопустимых событий.
Финансы
Финансовый сектор – один из тех, кто чувствует себя относительно хорошо. Доля атак на эти организации от общего числа снижается из года в год. И что интереснее всего, новых группировок, стремящихся выводить деньги со счетов в банках, не появляется. Причина этому – зрелость отрасли и усилия Центробанка: регламенты, вложения в ИТ-инфраструктуру и ПО, налаженный информационный обмен. И это понятно, если воруют деньги, то это видно здесь и сейчас.
Атакуются организации вновь через социальную инженерию (47%) и использование вредоносного ПО (загрузчики, шпионское ПО, трояны, шифровальщики.
Типичными целями атак на банки стали хищение конфиденциальной информации и остановка ключевых бизнес-процессов (53% и 41% случаев соответственно). Хищение денег было в 6% успешных атак.
Сейчас финансовые организации атакуются с целью:
– получения более выгодного курса обмена валют;
– кражи денег со счетов пользователей или обмана комиссии;
– получения конфиденциальной информации о пользователе и её использования в других атаках при помощи социальной инженерии;
– увеличения нагрузки на систему и сбоев в работе личных кабинетов пользователей.
Кроме того, все еще встречаются небезопасные реализации систем быстрых платежей.
В результате банки внедряют все новые технологии защиты:
– ужесточают проверки KYC (обязательная проверка персональных данных клиента), в том числе развиваются сервисы проверки документов (видеозвонки с распознаванием документов, загрузка фотографий документов, проверки по базам данных, оценка социальной активности) для понимания, реальный ли человек скрывается за тем или иным аккаунтом;
– вводят системы машинного обучения для ускорения, упрощения и улучшения поиска информации о клиенте, распознавания и блокирования подозрительных операций.
В итоге количество стандартных веб-уязвимостей уменьшается, но количество логических уязвимостей, наоборот, увеличивается. И во многом это происходит из-за развития экосистем: создание все новых и более сложных интеграций, микросервисов, введение голосовых помощников и чат-ботов.
Однако, есть два негативных фактора, позволяющие специалистам PT находить в каждой организации уязвимости, которые дают возможность проникнуть во внутреннюю ИТ-инфраструктуру. Во-первых, защитные патчи, которые выпускают разработчики ПО, зачастую игнорируются ИТ-службами организаций и не устанавливаются. Во-вторых, всегда есть вероятность наличия уязвимости, о которой пока неизвестно разработчикам, но ее обнаружили исследователи злоумышленников. Такие уязвимости называют «уязвимостями нулевого дна». И эти факторы – залог того, что хакер проникнет внутрь инфраструктуры, поэтому нужно учиться их вовремя выявлять.
Всего в ходе исследований специалисты PT смогли проникнуть во внутреннюю сеть организаций в 86% случаев. Также исследователи PT получали полный контроль над инфраструктурой и реализовывали недопустимые события: доступ к критически важным для банков системам, к АРМ казначеев, серверам обмена платежными поручениями. Всего экспертам PT удалось реализовать более 70% недопустимых событий в каждой финансовой организации.
В итоге вымогатели продолжат свои атаки на банки. Пока эти атаки проще в исполнении и в совокупности приносят больше прибыли, чем попытки вывести крупную сумму денег со счетов. Но теперь одной из основных целей хакеров будут клиенты банков, которые пользуются онлайн-банкингом. По данным Центробанка России уже в 2020 году 75% взрослого населения пользовались онлайн-банкингом. Поэтому хакеры продолжат развивать направление компрометации банковских приложений. Также в ходу останутся приемы социальной инженерии.
Основным же методом также является фишинг – на него приходится 60% атак. Хакеры с удовольствием получали кредиты на чужие имена, чужие фирмы, которым эти кредиты теперь нужно выплачивать.
В результате, если раньше рентабельно было атаковать компании с целью кражи денег со счетов, то работа, которую провел регулятор, и развитие систем защиты снижают привлекательность финансовых компаний, нужна слишком высокая компетентность и техническое оснащение. Но вот с промышленностью всю наоборот. Там хакерам как раз интересны данные о клиентах, внутренних пользователях и любая информация, которая относится к коммерческой тайне.
Опять же, это приводит и к росту атак на конфиденциальные данные (с 12% до 20%). Также популярны персональные данные (32%), учетные данные (20%) и медицинская информация (9%).
На обычных людей в целом было направлено 14% атак, и в 88% случаев через социальную инженерию. И конечная цель в 66% случаях – учетные и персональные данные.
Закрывая главу, приведу еще несколько примеров наиболее резонансных атак 2022 года на организации из коммерческого сектора:
– Группировка Lapsus$ взломала ряд крупных IT-компаний. Сначала была атакована Okta, которая разрабатывает решения для управления учетными записями и доступом, в том числе обеспечивает поддержку многофакторной аутентификации. Затем атаковали разработчика графических процессоров Nvidia, в результате чего был украден 1 ТБ данных, среди которых – исходный код драйверов видеокарт и сертификаты для подписи ПО. Украденные сертификаты Nvidia использовались для распространения вредоносных программ. В марте преступники смогли взломать Microsoft и Samsung, украв исходный код некоторых продуктов.
– Швейцарская компания Swissport, являющаяся провайдером грузовых авиаперевозок и работающая в 310 аэропортах в 50 странах мира, подверглась атаке программы-вымогателя. Атака привела к задержкам множества рейсов и утечке 1,6 ТБ данных.
– Атака на телекоммуникационного оператора Vodafone в Португалии вызвала сбои в обслуживании по всей стране, в том числе в работе сетей 4G и 5G. Vodafone Portugal обслуживает более 4 млн абонентов сотовой связи.
– В октябре в результате кибератаки на Supeo, поставщика IT-услуг для крупнейшей датской железнодорожной компании, на несколько часов остановилось движение поездов. Supeo предоставляет решение, которое машинисты используют для доступа к критически важной информации – данным о работах на путях и об ограничениях скорости. Во время атаки поставщик отключил свои серверы, что вызвало сбои в работе приложения, и машинисты были вынуждены останавливать составы. После восстановления движения поезда еще сутки не ходили по расписанию.
– В марте Toyota на день приостановила работу 14 заводов в Японии из-за кибератаки на Kojima Industries, поставщика комплектующих. Кибератака также затронула других японских производителей автомобилей – компании Hino и Daihatsu Motors.
– Во II квартале произошла крупная атака на 3 иранских сталелитейных завода, в результате которой были нарушены технологические процессы, а на одном из заводов злоумышленникам удалось обрушить ковш с жидким чугуном и вызвать пожар.
Глава 5. Про технологии
Облачные технологии
Одной из самых востребованных технологий цифровизации и цифровой трансформации являются облачные вычисления, хранилища и сервисы. Соответственно, фокус в организации ИБ все больше смещается в область ответственности провайдеров. Тут необходимо смотреть с двух углов:
– крупные провайдеры облачных сервисов и инфраструктуры;
– локальные стартапы и небольшие провайдеры.
Что касается первых, то здесь все неплохо: крупные провайдеры осознают, что их будут атаковать, а значит, будут предпринимать меры. Предупреждён – значит вооружён. И в целом облачные сервисы крупных провайдеров разрабатываются по принципу «вокруг все враги», плюс они имеют компетентных специалистов по ИБ. Также подобная централизация позволяет меньшим количеством специалистов защитить большее количество данных.
А вот относительно стартапов и небольших провайдеров все печальнее. У них нет ресурсов, и скорее всего они потеряют большую часть самых денежных клиентов. То же самое относится к локальным ЦОДам и службам ИТ, которые развиваются внутри промышленных компаний. Они, как правило, не способны обеспечить необходимый уровень защиты. Либо, как говорили ранее, начинают просто уходить в глухую оборону, и для бизнеса теряется всякий смысл таких облачных сервисов, ими просто невозможно пользоваться. В то же время растет и количество вредоносного ПО для Linux.
Заставляет задуматься и тот факт, что почти 40% всех выявленных и закрытых в 2021 году уязвимостей с помощью исследователей от PT имели высокий уровень опасности. А самое важное, что 12,5% всех уязвимостей были выявлены в софте, призванном обеспечивать защиту от хакерских атак. И, несмотря на всю текущую ситуацию и санкции, ребята из PT соблюдают responsible disclosure – политику в отношении найденных уязвимостей, т.е. сообщают разработчикам о всех найденных уязвимостях до их публикации в открытом доступе.
Мобильные приложения
Второе направление, которое развивается вместе с цифровизацией, – мобильные приложения: для клиентов и программы лояльности, для сотрудников, мобильные обходчики, фиксация опасный событий, государственные услуги. Любая более-менее крупная организация имеет свое приложение.
При этом, по данным PT, самая популярная уязвимость мобильных приложений – хранение пользовательских данных в открытом (или легко обратимом) виде. Также встречалась ситуация, когда важные данные хранились в общедоступных каталогах. А общая доля недостатков, связанных с небезопасным хранением данных, составила более 33% от всех найденных уязвимостей. То есть то, что интересно хакерам, и является одной из самых частых проблем.
Эксперты РТ в 2022 году провели исследование 25 пар приложений (Android – IOS). Практически каждое имело проблемы с хранением данных. Одна из ключевых причин – чрезмерная вера разработчиков в системные механизмы защиты на уровне операционной системы, игнорирование многоуровневой защиты.
