Моя оборона: на смену тривиальным DDoS-атакам идут невидимые трояны
Аналитический центр StormWall провел глобальное исследование DDoS-атак. Специалисты констатируют, что общее число атак в РФ уменьшилось. Однако в последнее время интернет наводняют невидимые трояны, разработанные так, чтобы минимизировать свой след и обеспечивать максимальную эффективность. Они могут проникать в системы и сети, оставаясь незамеченными, что делает их особенно опасными. Подробности — в материале «Известий».
Не боимся мы
Аналитический центр StormWall собрал статистику по атакам в России и других странах и выявил общемировые тренды на III квартал 2023 года (доклад есть в распоряжении «Известий»). В ходе исследования аналитики изучали DDoS-атаки на ключевые отрасли нашей страны. Больше всего от DDoS-атак в России пострадали государственный сектор (32% общего числа), финансовая отрасль (21%) и транспортная сфера (14%).
Также злоумышленники нападали на ритейл (7% всех атак), сферу развлечений (5%), энергетический сектор (4%), нефтяные компании (3%), производство (2%) ивсе остальные отрасли— 1%. Тем не менее общее число атак в России в III квартале 2023 года уменьшилось на 28% по сравнению с аналогичным периодом прошлого года.
— Поскольку хактивисты были сконцентрированы на других важных отраслях, в этом году не было зафиксировано традиционного всплеска атак на ритейл во время подготовки к новому учебному году, — объяснил «Известиям» Рамиль Хантимиров, CEO и сооснователь StormWall. — Больше всего атаковали транспортную сферу, правительственные сервисы и финансовую отрасль. Злоумышленники стремились выбрать критически важные сектора, чтобы причинить наибольший вред экономике страны и создать проблемы для населения. В основном, такое уменьшение связано со снижением активности политически мотивированных хактивистов в последнее время.
Вместе с тем, по данным специалистов, снизилось число DDoS-атак на финотрасль на 38%, на госсектор на 26%, на ритейл на 22%, на телекомммуникации на 18%, на индустрию развлечений на 16%, на сферу образования на 12% (по сравнению с аналогичным прошлогодним периодом).
При этом, по наблюдениям экспертов StormWall, ситуация в мире сильно отличается от ситуации в России. Так, число DDoS-атак в мире в III квартале текущего года выросло на 43% по сравнению с прошлым годом. Самыми атакуемыми отраслями на планете стали госсектор (26% от общего числа атак в мире), финансовая сфера (21%) и сфера развлечений (17%). Самый значительный рост числа атак был зафиксирован в государственной сфере (136%), развлекательной индустрии (117%) и транспортной сфере (86%). Рост атак на финансовые организации составил 38%, а на телеком 32%.
Злоумышленники в разных странах продолжали использовать усовершенствованные и новые инструменты для организации DDoS- инцидентов. Хакеры активно применяли комплексные атаки, а также ботнеты, состоящие из нескольких вредоносных программ. На глобальном уровне произошел всплеск DDoS-атак на DNS-сервера, что создало большие проблемы для компаний.
В чем дело
Одной из возможной причин феноменального снижения DDoS-активности является закрытие известной группировки, известной как DDoS Empire, допускает руководитель направления экспертизы и аналитики компании «Гарда Технологии» (входит в группу компаний «Гарда») Алексей Семенычев. Как раз в начале III квартала 2023 года ФБР сообщило о ликвидации группы. Она известна тем, что проводила успешные атаки против крупных западных торговых площадок, развлекательных сервисов, соцсетей и межправительственных учреждений.
— Ликвидация такой крупной группировки могла сама по себе повлиять на уровень DDoS-активности и опосредованно на активность других DDoS-команд, которые вынуждены пересмотреть свои модели обеспечения анонимности и безопасности, — предполагает Алексей Семенычев. — Тем не менее уровень DDoS-активности сохраняется достаточно высоким. Последние атаки на сервисы продажи авиабилетов в России или на Google, являются прямым подтверждением этого.
Руководитель направления кибербезопасности RTM Group Артем Бруданин не наблюдает долгосрочного снижения количества DDoS-атак на информационную инфраструктуру РФ. Напротив, считает он, есть тенденция к увеличению числа многовекторных DDoS-инцидентов. Безусловно, рано или поздно интерес у хактивистов спадет до обычного уровня в связи с недостаточным импактом от «отказа в обслуживании». Эксперт отмечает, что злоумышленники всё чаще прибегают к методам социальной инженерии, позволяющей значительно нарушить защищенность конфиденциальной информации, а в некоторых случаях — полностью остановить деятельность организации на какое-то время (например, используя трояны и шифровальщики).
В последние месяцы хакеры в большей мере используют несанкционированный доступ к данным, фишинг, социальную инженерию, отмечает руководитель QA-отдела ИТ-компании SimbirSoft Марина Тарасова. При этом постоянно совершенствуются и традиционные виды кибератак, в том числе путем внедрения нейросетей. При достаточном обучении нейросеть может имитировать поведение системы, группы пользователей, голос и лицо конкретного человека и т.д.
— Надо понимать, что большинство компаний научились справляться с базовыми видами DDoS-атак путем дополнительного оснащения своей инфраструктуры соответствующими средствами защиты, а также приобретая услугу anti-DDoS у своих провайдеров, — подчеркнул директор центра компетенций по информационной безопасности холдинга Т1 Виктор Гулевич.
И всё же снижение уровня DDoS-атак в России может быть обусловлено скрытыми факторами, включая возможное перераспределение активности хактивистов в более сложные формы атак, полагает директор по кибербезопасности EdgeЦентр Артем Избаенков. Этот феномен может отражать стремление хактивистов к более целевым и скрытым методам. Многие из них не достигли своих целей в контексте DDoS и, следовательно, переключились на более утонченные формы атак, такие как внедрение троянов, чтобы добиться максимальной эффективности.
— Должен сказать, что снижение количества DDoS-атак можно объяснить тем, что это не самая серьезная киберугроза из возможных, — отмечает директор департамента развития решений в области информационной безопасности, вендор отечественного ПО НОТА (Холдинг Т1) Федор Трифонов. — Такие атаки используются для того, чтобы «положить» сайты или маркетплейсы компаний — они неприятны и ведут к финансовым затратам в части несостоявшихся продаж, но стратегически не критичны. Серьезные хакерские группировки занимаются более трудоемкими и опасными для бизнеса действиями. Например, развитием программ-шифровальщиков для блокировки коммерческих данных с целью последующей продажи ключа жертве атаки.
Эти необнаруженные трояны
Эксперты финской компании F-Secure заявили о неожиданном обнаружении трояна, которого практически невозможно поймать, при этом его эффективность в не-DDoS хакерских атаках максимальная.
Специалисты изучили вредоносное ПО SpyNote (для Android). Они констатируют, что активность этого трояна нельзя запеленговать. SpyNote распространяется с помощью фишиновых sms-сообщений. Стоит жертве открыть ссылку, как шпионский троян сразу же попадает на устройство под видом официального ПО.
Для проникновения ему нужны доступ к камере, к журналу вызовов, хранилищу и сообщениям. Оказавшись на устройстве, он записывает аудио и видео, делает скриншоты с ценной информацией и многое другое. Главная проблема в том, что предотвратить активность червя нельзя: единственный метод — откат до заводских настроек с потерей всех данных.
— Создание троянов, которые не могут быть обнаружены антивирусами, остается актуальной тенденцией, — говорит главный эксперт блока анализа защищенности Infosecurity в Softline company Алексей Гришин. — Одним из популярных трендов является так называемый supply chain, или атаки на поставщиков, когда злоумышленники взламывают более мелкие компании, чтобы подобраться к более крупным.
Также недавно была обнаружена уязвимость cve-2023-22515 в Confluence, которая позволяет злоумышленникам создавать административные аккаунты без необходимости иметь привилегии. Эта уязвимость используется для проведения атак на компании, которые применяют Confluence для своих нужд.
Гендиректор Security Vision Руслан Рахметов отмечает, что хакеры непрерывно совершенствуют свои технологии сокрытия вредоносного ПО. Для этого используются методы обфускации кода, техники шифрования и обеспечения невидимости вредоноса для различных антивирусов, использование атакующими руткитов и буткитов (виды вредоносного ПО, работающие на уровне операционной системы и поэтому невидимые для установленных средств защиты).
— Тенденция создания необнаружимых троянов среди хакеров становится всё более заметной, — констатирует директор управления информационной безопасности R-Style Softlab Алексей Новиков. — Эти трояны разработаны таким образом, чтобы минимизировать свой след и обеспечивать максимальную эффективность в хакерских атаках. Они могут проникать в системы и сети, оставаясь незамеченными, что делает их особенно опасными.
В F.A.С.С.T. «Известиям» рассказали, что в сентябре им удалось обнаружить атаку, в которой злоумышленники поместили на фишинговом ресурсе ссылку на архив с трояном DarkWatchman под видом криптографической утилиты для создания электронной подписи.
DarkWatchman RAT (Remote Access Trojan) — это троян, написанный на JavaScript. Он используется для скрытого удаленного доступа к зараженному компьютеру, на котором троян может выполнять различные команды: загрузку других вредоносных программ, шпионаж и дальнейшее распространение по сети. Троян рассылали по российским компаниям под видом зашифрованного архива с итогами фейкового тендера от Минобороны или лжеповесток от военных комиссариатов.
— RAT, как и стилеры (невидимки), сегодня один из самых активно распространяемых киберпреступниками типов вредоносного ПО, — предупреждает руководитель Центра кибербезопасности F.A.С.С.T. Ярослав Каргалев. — Это связано с относительной простотой разработки, обеспечивающей большое количество предложений на киберкриминальном рынке, а также широкими возможностями для использования вредоноса.
Опрошенные специалисты выделяют самые опасных тренды последнего времени:
- Атаки, использующие искусственный интеллект и нейросети;
- Атаки на системы машинного обучения: хакеры нарушают и искажают модели машинного обучения, что может привести к неверным выводам и решениям, особенно в критических областях.
Трояны — это вредоносные программы, которые, проникнув в устройство жертвы, собирают данные, занимаются шпионажем, могут менять или удалять информацию, нарушить стабильность работы системы, использовать зараженный компьютер для майнинга криптовалюты. У зрелых киберпреступных группировок есть собственные разработчики, либо они обладают ресурсами на покупку таких продвинутых вредоносных инструментов.
