Госорганы являются мишенью 68% APT-группировок, атакующих российские организации.

Автор: Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)

Госорганы являются мишенью 68% APT-группировок, атакующих российские организации. Мотивов более чем достаточно: кража экономических планов, технологический шпионаж, вымогательство. Если данные — новая нефть, то госорганы неисчерпаемый источник этого топлива. В России и Европе 2019 год запомнился гигантскими утечками персональных данных пользователей и сотрудников, а в США происходили невероятные истории с вымогателями, вынуждавшими платить городские службы за разблокировку IT-систем по полмиллиона долларов.

Перечислю три проблемы, которые облегчают проведение атак (применительно к России):

1. Низкая осведомленность сотрудников госкомпаний о правилах кибербезопасности. Более трети (38%) организаций в России не уделяют внимания обучению сотрудников основным правилам ИБ. При этом фишинг остается основным вектором проникновения в организации госсектора: по нашим данным, с него начинают атаку 87% APT-группировок.

2. Дефицит специалистов по информационной безопасности приводит к тому, что не осуществляется мониторинг инцидентов, не выстроен процесс выявления уязвимостей и поиска подозрительных событий, не проводятся расследования инцидентов. Кроме того, часто средства защиты и мониторинга, даже сертифицированные, не настроены должным образом и работают неэффективно.

3. Информация об IT-системах и средствах защиты находится в открытом доступе. Для адресной подготовки к атаке на госучреждение преступники могут использовать любую публичную информацию, в частности в России им помогает система госзакупок. Чаще всего в открытом доступе есть данные о том, какие закупки и в какое время осуществлялись организацией, и там могут быть указаны названия антивирусных программ, систем мониторинга событий, межсетевых экранов и т.п.

Но это не единственные проблемы.

Вера в антивирусы

Антивирус — самое популярное защитное ПО в государственных организациях. ПО безусловно полезное, но далеко не универсальное. Для скрытной установки и обхода антивирусов злоумышленники применяют дропперы, которые используют шифрование вредоносного кода и специальные упаковщики.

Преступники широко освоили также технику Code Signing, подписывая вредоносные файлы поддельными доверенными сертификатами, что позволяет им, например, избегать «алертов» в UAC (User Account Control) и фильтре SmartScreen в Windows 10 и других средствах защиты (в тех же браузерах).

В последние годы многим APT-группировкам было достаточно социальной инженерии и старых уязвимостей. Для продвижения внутри сети они применяютобщедоступные утилиты и старые эксплойты. Так, недавно обнаруженная нами группировка Calypso, с 2016 года атаковавшая госучреждения, использовала MimikatzEternalBlueSysInternals. Аналогичным образом действовали «банкстеры» из Cobalt.

Но существуют и группировки, использующие уязвимости нулевого дня. Злоумышленники из Buhtrap для атаки на восточноевропейскую правительственную организацию эксплуатировали брешь CVE-2019-1132 до выпуска патчей компанией Microsoft. Аналогично группы FruityArmor и SandCat использовали в реальных атаках «зеродей», позже получивший номер CVE-2019-0797. Выявление таких угроз требует эвристических механизмов, основанных на машинном обучении, поведенческом анализе пользователей и др.

У антивирусов есть и другие сложности: например, АV-решения, как правило, не хранят данные для последующего ретроспективного анализа.

Смысл ретроспективного анализа

С момента первой атаки до опубликования информации о вредоносной кампании APT-группировки в среднем проходит год и пять месяцев. Тогда появляются индикаторы компрометации, описание техник и тактик, уведомление от регулятора (ФинЦЕРТ, НКЦКИ и т.д.), анализ используемого инструментария.

Получив доступ к такому отчету и данным, организации необходимо запустить ретроспективный анализ в своей инфраструктуре — это поможет выявить инциденты, которые не были обнаружены раньше. Такой анализ играет существенную роль и при расследовании, т.к. иногда государственное учреждение является промежуточным звеном в атаке на другую компанию. В одном из наших проектов злоумышленники взломали почтовый сервер госучреждения ради последующей фишинговой атаки (рассылались вредоносные письма) на другую организацию с целью доступа в ее инфраструктуру.

Как выявить преступника внутри сети

После преодоления периметра преступники развивают атаку: устанавливают удаленные каналы управления, передают управление бэкдорам, загружают новые образцы вредоносного ПО. На этом этапе их можно обнаружить с помощью систем анализа трафика (Network Traffic Analysis (NTA).

Еще один пример из практики: взлом осуществлялся через предварительно взломанного партнера, с которым было установлено доверительное VPN-соединение (техника Supply chain). Выявить попытки компрометации домена и рабочих станций руководителей атакуемой организации удалось только благодаря контролю внутреннего трафика в организации и анализу передаваемых по сети файлов.

Специализированные средства для глубокого анализа трафика с возможностью ретроспективного поиска и постанализа могут отследить вредоносную активность даже если злоумышленники прибегают к маскировке своих троянов. Важное отличие NTA-решений от систем IDS и межсетевых экранов — контроль трафика внутри организации и поступающего от доверенных компаний-партнеров, а не только на периметре. Это позволит держать под контролем обмен файлами, межсерверные взаимодействия, трафик между рабочими станциями пользователей и т.п.

Мы сталкивались с ситуациями, когда злоумышленники не смогли проникнуть в головную организацию через ее периметр и демилитаризованную зону (DMZ), но преодолели менее защищенный периметр одного из филиалов и оказались внутри сети. У головной организации и филиалов общий домен-контроллер, который находится в главном ЦОД. Злоумышленники начали атаковать контроллер домена. Наше NTA-решение помогло обнаружить угрозу за счет разбора протокола SMB и выявления нелегитимных запросов списка пользователей в домене.

Привести регламенты в норму

Нарушение стандартов информационной безопасности — обычная история для государственных организаций. Учетные записи и почтовые сообщения нередко «летают» во внутреннем трафике в открытом виде. Их может перехватить не только пентестер, но и злоумышленник. Хорошая система класса NTA понимает десятки протоколов (PT NAD понимает более 50) и умеет разбирать их на уровне приложений (PT NAD разбирает 30 протоколов на уровнях L2–L7), что позволяет провести комплаенс и своевременно принять меры. Т.е. обепечить как бумажную, так и практическую безопасность. В трафике, помимо незашифрованных паролей и сообщений, можно обнаружить и ошибки конфигурирования сети, использование утилит для удаленного доступа и т.д.

Глубокий анализ внутренней сети позволяет специалистам, которые работают внутри организации, выявить инцидент на максимально ранней стадии — так, чтобы он затронул как можно меньшее количество активов. При возникновении нетиповых инцидентов, например, APT-атаках со сложными техниками, тактиками и инструментарием, целесообразно также привлекать специалистов по реверс-инжинирингу и форензике.