Эксперты компании Positive Technologies проанализировали тактики и техники десяти APT-группировок, атаковавших финансовые компании за последние два года [1], и выяснили, что каждая из них прибегает к фишингу, а в поисках банковских систем в сети преступники используют легитимные утилиты для администрирования и скомпрометированные учетные данные.
Исследователи рассказали о техниках, которые используют APT-группировки, чтобы проникнуть в инфраструктуру финансовых компаний, и как они действуют внутри, а также выяснили, на каких этапах можно выявить атаку и предотвратить кражу денег.
Самым распространенным и эффективным способом проникновения во внутреннюю сеть любой компании эксперты назвали фишинг. «По нашим данным, 75% банков уязвимы к фишинговым атакам, — говорит старший аналитик компании Positive Technologies Екатерина Килюшева. — Этот метод настолько зарекомендовал себя среди киберпреступников, что к нему прибегала каждая исследованная нами APT-группировка, замеченная в атаках на кредитно-финансовую сферу».
Согласно исследованию Positive Technologies, в финансовых организациях выделяется большой бюджет на информационную безопасность, и их системы защиты находятся на высоком уровне. По мнению директора экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексея Новикова, этим объясняется большое количество используемых APT-группировками техник для обхода средств защиты. «Например, чтобы избежать обнаружения антивирусом, вредоносное ПО доставляется в инфраструктуру в упакованном и зашифрованном виде (техники obfuscated files or information и software packing). Злоумышленники могут выдавать вредоносный код за легитимное ПО, подписав его цифровым сертификатом реально существующей компании (техника code signing). Для сокрытия каналов управления и дополнительной маскировки могут использоваться известные веб-сервисы, как в случае с группировкой Carbanak, которая использовала сервисы Google Docs и Pastebin для хранения своих скриптов», — отмечает Алексей Новиков.
По статистике, в течение нескольких дней, а иногда и недель[2] злоумышленники изучают сеть, готовясь к краже. Преступники активно перемещаются между узлами сети в поисках банковских систем, используя легитимные утилиты для администрирования (техники service execution и Windows admin shares) и скомпрометированные учетные записи. По мнению специалистов, именно на этом этапе злоумышленники оставляют множество следов, и можно заметить подозрительные действия в системе. Постоянный мониторинг событий ИБ, а также глубокий анализ сетевого трафика в реальном времени и в ретроспективе могут распознать APT-атаку до того, как преступники получат доступ к банковским системам.
«Сегодня ФинЦЕРТ организует удобный и эффективный канал обмена информацией об угрозах между финансовыми организациями. Однако важно не только знать о новейших индикаторах компрометации, но и использовать технические решения, которые умеют применять такие индикаторы, а самое главное осуществлять поиск этих индикаторов в прошлом. Такой подход помогает выявить присутствие злоумышленников в инфраструктуре даже в том случае, если в момент проведения атаки о ней ничего не было известно, — подчеркивает Алексей Новиков.
Согласно полученным данным[3], в некоторых финансовых организациях используются лишь базовые средства защиты, которых недостаточно для своевременного выявления сложных целенаправленных атак и полноценного анализа произошедших событий. Лишь 22% респондентов, представляющих финансовую отрасль, считают, что их компания в состоянии отразить атаки APT-группировок. При этом 63% респондентов на практике сталкивались с последствиями кибератак, и 34% признали, что организация понесла прямые финансовые потери.