Эксперты компании Positive Technologies проанализировали тактики и техники десяти APT-группировок, атаковавших финансовые компании за последние два года, и выяснили, что каждая из них прибегает к фишингу, а в поисках банковских систем в сети преступники используют легитимные утилиты для администрирования и скомпрометированные учетные данные.
Исследователи рассказали о техниках, которые используют APT-группировки, чтобы проникнуть в инфраструктуру финансовых компаний, и как они действуют внутри, а также выяснили, на каких этапах можно выявить атаку и предотвратить кражу денег.
Финансовая сфера — одна из самых заманчивых для киберпреступников. Как сообщает ФинЦЕРТ, за 2018 год было зафиксировано 687 атак на организации кредитно-финансовой отрасли. Из них 177 являлись целевыми, то есть были направлены непосредственно на получение финансовой выгоды.
Целевые атаки, которые проводятся хорошо подготовленными преступными группировками, представляют для организаций наибольшую опасность. Такие атаки принято называть атаками типа advanced persistent threat, а преступные группировки, которые стоят за ними, — APT-группировками. По данным ФинЦЕРТ, в 2018 году российские банки потеряли как минимум 44 млн рублей в результате действий APTгруппировки Cobalt и не менее 14,4 млн рублей от действий Silence.
Самым распространенным и эффективным способом проникновения во внутреннюю сеть любой компании эксперты назвали фишинг. «По нашим данным, 75% банков уязвимы к фишинговым атакам, — говорит старший аналитик компании Positive Technologies Екатерина Килюшева. — Этот метод настолько зарекомендовал себя среди киберпреступников, что к нему прибегала каждая исследованная нами APT-группировка, замеченная в атаках на кредитно-финансовую сферу».
По статистике экспертов, в течение нескольких дней, а иногда и недель злоумышленники изучают сеть, готовясь к краже. Преступники активно перемещаются между узлами сети в поисках банковских систем, используя легитимные утилиты для администрирования (техники service execution и Windows admin shares) и скомпрометированные учетные записи.
По мнению специалистов, именно на этом этапе злоумышленники оставляют множество следов, и можно заметить подозрительные действия в системе. Постоянный мониторинг событий ИБ, а также глубокий анализ сетевого трафика в реальном времени и в ретроспективе могут распознать APT-атаку до того, как преступники получат доступ к банковским системам.
APT-атаки на финансовый сектор чаще всего осуществляются с использованием вредоносных скриптов (Scripting) различного назначения. Это самый популярный способ обхода систем защиты – к нему прибегают девять из десяти группировок.
На втором по популярности месте находится шифрование вредоносного ПО (Obfuscated Files or Information), чтобы его не могли обнаружить используемые в сети цели средства защиты. Метод используют восемь групп из десяти.
Третью строчку занимает метод внедрения вредоносного кода в память легитимного процесса (Process Injection) – шесть хакерских групп из десяти выбирают его.
Пять групп из десяти используют маскировку новых сервисов (Masquerading) - четвертое место. Оставшиеся два способа популярны у четырех хакерских групп из десяти. Это подпись вредоносного кода цифровым сертификатом (Code signing) и хранение вредоносного ПО на популярных веб-сервисах.
Существует и седьмой метод обхода блокировок. Вредоносное ПО, в том числе и применяемое для APT-атак, все чаще делается модульным, и хакеры помещают в систему лишь один такой модуль, осуществляющий проверку на наличие так называемой «песочницы» - безопасного окружения, в котором любая запущенная программа не в силах нанести вред всей системе. Модуль проверяет, не находится ли он в песочнице или на виртуальной машине (Virtualization/Sandbox Evasion), после чего сообщает о возможности или невозможности загрузки остальных модулей.
«Сегодня ФинЦЕРТ организует удобный и эффективный канал обмена информацией об угрозах между финансовыми организациями. Однако важно не только знать о новейших индикаторах компрометации, но и использовать технические решения, которые умеют применять такие индикаторы, а самое главное осуществлять поиск этих индикаторов в прошлом. Такой подход помогает выявить присутствие злоумышленников в инфраструктуре даже в том случае, если в момент проведения атаки о ней ничего не было известно, — подчеркивает Алексей Новиков.
Согласно полученным данным, в некоторых финансовых организациях используются лишь базовые средства защиты, которых недостаточно для своевременного выявления сложных целенаправленных атак и полноценного анализа произошедших событий. Лишь 22% респондентов, представляющих финансовую отрасль, считают, что их компания в состоянии отразить атаки APT-группировок. При этом 63% респондентов на практике сталкивались с последствиями кибератак, и 34% признали, что организация понесла прямые финансовые потери.
Пять из них не были замечены в атаках на финансовую сферу в России, но поскольку в списке их жертв значатся иностранные финансовые компании, эксперты считают, что они представляют потенциальную угрозу для финансовых организаций и на территории России, а также для их дочерних компаний, находящихся за рубежом.
По данным ФинЦЕРТ, в среднем с момента проникновения в инфраструктуру до момента хищения проходит 20–30 дней. Опрос проводился среди посетителей сайта компании Positive Technologies, аудитории интернет-портала SecurityLab.ru и участников ряда отраслевых сообществ.
