Смертельное оружие

Всеволод Иванов
Исполнительный директор компании InfoWatch

Существует убеждение, что средство для реализации целенаправленной атаки – программа, создание которой представляет собой технически сложную задачу. Это глубокое заблуждение. Написание такого ПО не более чем востребованная услуга, предмет купли-продажи на черном рынке. Сложность и качество такой программы зависит только от того, сколько денег готов заплатить хакеру заказчик. По данным National Research Division, количество таких утилит на черном рынке за последнее время выросло примерно в 30 раз, а количество выпускаемых версий еще больше, что свидетельствует о высоком спросе.

Наш подход отличается от прочих тем, что InfoWatch Targeted Attack Detector реагирует не на определенные признаки злонамеренного ПО, а на нехарактерные, аномальные изменения в IТ-системе компании, которые являются следствием действий такого ПО. Действия злоумышленников неизбежно приводят к аномальным изменениям в работе хотя бы одной из систем компании. Так что если антивирус можно сравнить с сигнализацией, а файрвол – с замком, то наш продукт – это охранник, который обходит здание и проверяет, все ли в порядке.

Кто же нуждается в услугах "охранника"?

Пока у всех на слуху хакерские атаки исключительно государственного масштаба, такие как Stuxnet, Duqu, "Красный Октябрь", Операция Аврора" и пр., люди продолжают считать, что целенаправленная атака – это инструмент шпионов и хакеров мирового уровня, вроде команды Итона Ханта, героя фильма "Миссия невыполнима". Кто же станет атаковать скромную организацию, не имеющую не то что международного влияния, но даже серьезных активов?

В этой связи хотелось бы рассказать подробнее о недавнем случае использования целенаправленной атаки как средства конкурентной борьбы. Небольшая организация, торгующая автомобильными запчастями, стала страдать от оттока клиентов. И дело было не в клиентах, купивших какую-либо запчасть и в дальнейшем предпочитавших обращаться к конкурентам, нет. До покупки дело просто не доходило: человек заказывал деталь, и впоследствии отменял заказ буквально за несколько часов до покупки. Какое-то время владельцы бизнеса объясняли все неудачным стечением обстоятельств, пока им не стало известно, что дело обстоит сложнее: оказалось, что клиентов, накануне сделавших заказ, обзванивали конкуренты, предлагая им аналогичную деталь, но дешевле. Разумеется, большинство соглашались и отменяли заказ.

Необходимо было понять, как база заказов с телефонами клиентов попадает к конкурентам. В компании было установлено решение InfoWatch Targeted Attack Detector, которое и обнаружило на одном из компьютеров специально написанное ПО, которое в определенное время после окончания рабочего дня активизировалось, копировало базу заказов и высылало ее куда-то вовне. Как выяснилось в дальнейшем, специально написанное ПО, которое не смог обнаружить антивирус, было принесено и установлено на рабочем компьютере одним из сотрудников компании.

Из чуть более давних примеров атак вспоминается случай в банке, когда платеж на 100 млн руб. вместо легитимного маршрута внезапно ушел на счет, открытый на Кипре, после чего программа самоуничтожилась. И это тоже не какой-то уникальный случай: разработка злонамеренного ПО, нацеленного на конкретную инфраструктуру и обход средств защиты.

Что может делать такой типовой "троянец"?

К примеру, находиться в процессинговом центре банка и при проведении каждого платежа направлять на счет злоумышленника не всю сумму, как в приведенном выше примере, а только процент от нее, причем настолько небольшой, что никто не придаст этому значения. Главное – не жадничать, и тогда троянская программа сможет оставаться незамеченной достаточно долго. Известен случай, когда в крупной компании-ритейлере через систему обновлений ПО для кассовых аппаратов была загружена вредоносная программа, которая перенаправляла очень скромный процент от каждого платежа на счет злоумышленника. Однако, оставаясь незамеченной в течение двух лет, эта программа "вывела" из компании в общей сложности $20 млн, после чего самоуничтожилась. Вся история стала известна только благодаря тщеславию хакера, который стал хвастать своими успехами в Интернете.

Эти примеры наглядно демонстрируют, что такое оружие хакеров, как целенаправленная атака, если ее вовремя не обнаружить, может стать смертельной для компании любого масштаба. Ситуация не изменится, если компании и дальше будут следовать принципу "пока гром не грянет, мужик не перекрестится". Пока целенаправленные атаки кажутся компаниям оружием будущего, хакеры успешно применяют его в нашем с вами настоящем.