Advanced Persistent Threat – расставляем точки над "i"

Зачастую эксперты ставят знак равенства между целенаправленными атаками (Targeted Attack) и APT. С нашей точки зрения, это не совсем корректное определение. Термин АРТ определяет в первую очередь характер, а не направленность угрозы. При этом такая атака вполне может быть и массовой, направленной практически на всех без разбора или же какую-то отрасль. Но оставим точный перевод для филологов: что действительно важно понимать, так это то, что АРТ – это не просто угроза, это – угроза, которая многие годы находится среди нас. С учетом существующей геополитической ситуации можно смело утверждать, что ТОП-100 банков, государственных, промышленных, оборонных, телекоммуникационных компаний условно можно разделить на два типа: тех, кто уже расследует АРТ в своей инфраструктуре, и тех, кто пока еще нет.

Как правило, массовая АРТ направлена в первую очередь на получение финансовой выгоды. Это атаки на клиентов банков и финансовые организации, нацеленные на сбор персональных данных и их дальнейшую монетизацию, и т.п. Но хуже всего, когда злоумышленников не очень интересуют деньги, и их целью является информация, технологии, а их бюджет превосходит годовой бюджет маленького государства. И, к сожалению, подобные истории – это не эпизоды фильма, а реальность. Ярким примером является Equation Group, часть инструментария которых оказалась в публичном доступе благодаря данным, опубликованным хакерской группировкой Shadow Brokers. Архив содержал данные за 2014 г. и включал в себя импланты для сетевых устройств, эксплойты для уязвимостей и различные модули обеспечения скрытого присутствия. Стоимость подобного арсенала исчисляется миллионами долларов. А качество исполнения зачастую соответствует уровню промышленной разработки. Или же APT RemSec, поразивший в 2016 г. более 20 российских ведомств и государственных компаний и, по оценке аналитиков, имеющий явные связи с Equation Group.

В принципе, к осознанию того, кем и чем являются АРТ, индустрия плотно подошла только в последние годы. И сейчас эксперты начинают более или менее синхронно говорить о методах обнаружения, включая аномалии, песочницы, индикаторы компрометации, тактики, техники и процедуры атакующих, модно именуемые Kill Chains, или "убийственными цепочками".

Характеристики и этапы атаки

В массовых АРТ большое значение имеет широта охвата и время раскрытия операции. Классификация жертв и соответствие профилю атакуемых происходит уже после взлома системы. В подобного рода атаках особое внимание уделяется механизмам обеспечения живучести, которые позволяют успешно дирижировать оркестром даже при широкой известности фактов заражения, потере компаниями-жертвами контроля над критичными системами или раскрытии протоколов взаимодействия с командным центром. Для массовых АРТ характерна высокая степень автоматизации. Зачастую при реализации атак такого типа существует жертва-посредник, помогающая принять атаке поистине массовые масштабы. Это могут быть, например, Web-сайты средств массовой информации и медиа, порталы правительственных учреждений, банковские системы, социальные сети и др.

Таргетированные атаки в первую очередь характеризуются тщательным этапом сбора информации о жертве. То есть классификация и соответствие профилю атакуемых происходит строго до момента атаки и может включать в себя атаки на партнеров или сотрудников компании с целью получения максимального количества сведений о жертве. Сбор информации включает в себя работу с OSINT, включая популярные поисковики (Google, Yandex, Yahoo), Domain Tools (Whois, Lookup, Reputation) сервисы Shodan и Virus Total, социальные сети, публикации СМИ, данные об опубликованных вакансиях, пресс-релизы, референсы, данные о закупках, уже имеющиеся сведения о ранее существовавших утечках или инцидентах ИБ.

Следующий этап – это подготовка инструментария. В зависимости от уровня подготовки группировки инструментарий может быть поистине уникальным и содержать в себе эксплойты для ранее неизвестных уязвимостей (в том числе в системах ИБ), модули обхода средств защиты, механизмы работы в изолированных сетях, уникальные модули вывода информации за периметр организации. Подобные инструменты часто остаются незамеченными по пять и более лет!

После создания инструментария идут этапы доставки, эксплуатации, закрепления в инфраструктуре и т.д. Все они неоднократно описаны и с незначительными вариациями присутствуют во множестве статей.

Оценка противника

Представьте, что вы столкнулись с АРТ лицом к лицу. Согласитесь, не самый приятный факт. Тем более, статистика Mandiant показывает, что лишь 31% продвинутых атак рано или поздно выявляет сама организация, а 69% становятся нам известными благодаря бдительным соседям и сторонним организациям (а то и вовсе из новостей в СМИ). Так или иначе, мы обнаружили, что наша сеть нам больше не принадлежит. Что дальше? Необходимо собрать максимум информации о противнике, составить его портрет и ответить себе на несколько вопросов:

• Кто цель: является ли атака массовой или целенаправленной, кто еще является или может являться жертвой, какой принцип выбора жертв (страна без разора, отрасль, группа компаний, конкретная компания)?
• Как: каков канал проникновения злоумышленника в инфраструктуру, какие следы он оставил в системе, как организованы канал управления и канал выхода за периметр компании?
• Когда: когда началась атака, был получен доступ к чувствительным данным, пользовались привилегиями Х, каков подтвержденный временной интервал присутствия злоумышленника – недели, месяцы, годы?
• Чем: следы какого инструментария присутствуют и чем еще могли пользоваться злоумышленники?
• Кто: каковы уровень технического оснащения, квалификации, стоимости реализации, масштабируемости атаки, возможная страна и потенциально имеющиеся ресурсы?
• Что: что теперь доступно злоумышленнику: какие данные получили, а что еще не скомпрометировано?
• Зачем: мотивация атакующего – что хотел, что получил, что не успел получить?

Ответы на эти вопросы позволят качественно классифицировать атакующих и сформировать план устранения последствий и минимизации возникновения аналогичных угроз в будущем. Однако на практике поиск ответов на них бывает достаточно затруднен. Как показывает опыт, уровень зрелости компании в вопросах противодействия и расследования инцидентов, связанных с АРТ, растет не пропорционально лучшим мировым практикам, а пропорционально количеству лично собранных грабель.

Сложности экспертизы

Как правило, техническая экспертиза затруднена несколькими факторами. Во-первых, это отсутствие или некорректные настройки журналов событий: пробелы централизованного сбора и хранения, настройки журналирования "по умолчанию" или низкая информативность самих событий (особенно в кастомных ИТ- и бизнес-системах).

Во-вторых, недостаточное обогащение и подтверждение логов данными из сетевого трафика: необходим контроль не только за трафиком внешнего периметра, но и за внутренней сетью, метаданные которой позволяют восстановить картину на момент инцидента и получить ценные данные (в том числе и артефакты злоумышленника, которые могут быть уже уничтожены или самоуничтожены на рабочих станциях и серверах).

В-третьих, отсутствие правильных инструментов для определения сетевых и хостовых аномалий, а также отсутствие аналитики угроз и бумажный Threat Intelligence, который на практике бывает часто не применим ввиду отсутствия точек глубокой интеграции в инфраструктуру компании. А еще не принято делиться информацией об инцидентах и информацией, да и принципы Information Sharing и назначение TLP смогут объяснить далеко не многие эксперты.

Еще один вопрос: как часто бизнес готов тратить ресурсы компании на подготовку к отражению, устранению последствий и/или расследованию APT? Зачастую руководители думают, что "наша компания не интересна", "нам нечего прятать", "мы слишком маленькие", "все, что имеет цену, не подключено к Интернету", "наша ГИС имеет кучу сертификатов" и т.д. Безусловно, стоимость ущерба достаточно тяжело посчитать, и мы здесь не говорим о выводе из строя конкретного сервиса, а речь идет об информации – кибершпионаже и краже данных. При подобного рода атаках оказывается скомпрометированной вся инфраструктура – и зачастую, чтобы излечиться полностью, необходимо полное восстановление всех ИТ-систем.

Таким образом, на одной чаше весов лежит стоимость восстановления безопасного функционирования систем (начиная от заливки операционных систем и прошивок и до замены аппаратных составляющих в том случае, когда речь идет о руткитах). На другой – бдительность, предусмотрительность и готовность защищать свой бизнес от киберугроз. Эффективность такого баланса и окно потенциальных возможностей злоумышленника будут напрямую зависеть от того, насколько серьезно организация подойдет к той или иной угрозе уже сейчас.