В индустрии кибербезопасности мы наблюдаем изменения в способах взлома — злоумышленники не стремятся украсть данные, а хотят нарушить работу служб.
Изменения в индустрии кибербезопасности
Недавняя серия атак на критически важные объекты инфраструктуры, такие как операторов нефте- и газопроводов, коммунальные предприятия и даже правительства некоторых городов и штатов, раскрывает новые мотивы и методы. Злоумышленники не стремятся украсть данные, а хотят нарушить работу служб. Злоумышленники используют новый вектор атаки, который ранее не встречался. Вместо того, чтобы атаковать свои основные цели напрямую, они атакуют менее защищенных поставщиков, которых используют объекты атаки.
Шаг первый — Разведка
Перед запуском атаки хакеры сначала идентифицируют уязвимую цель и исследуют лучшие способы ее использования. Первоначальной целью может быть кто угодно в организации. Злоумышленникам просто нужна одна точка входа, чтобы начать работу. На этом этапе часто применяются целевые фишинговые электронные письма как эффективный метод распространения вредоносных программ.
Весь смысл этого этапа — узнать цель.
На этом этапе хакеры отвечают на следующие вопросы:
- Важные люди в компании – кто они? Ответить на это можно, заглянув на сайт компании или в LinkedIn.
- С кем они ведут бизнес? Для этого они могут использовать социальную инженерию, сделав несколько «коммерческих звонков» в компанию. Другой старомодный способ – порыться в мусорных контейнерах компании.
- Какие данные о компании доступны? Хакеры собирают информацию об IP-адресах и запускают сканирование, чтобы определить, какое оборудование и программное обеспечение они используют. Они проверяют базу данных веб-реестра ICAAN.
Чем больше времени хакеры тратят на сбор информации о людях и системах в компании, тем успешнее будет попытка взлома.
Шаг второй — вооружение
На этом этапе хакеры используют информацию, собранную на предыдущем этапе, для создания инструментов, которые им понадобятся для доступа в сеть. Это может быть создание правдоподобных электронных писем с адресным фишингом. Они будут выглядеть как электронные письма, которые они могут получить от известного поставщика или другого делового контакта. Следующим шагом является создание «Watering Holes» или поддельных веб-страниц. Они будут выглядеть идентично веб-странице продавца или даже банка. Но единственная цель — получить ваше имя пользователя и пароль или предложить вам бесплатную загрузку документа или чего-то еще, что может вас заинтересовать. Последнее, что злоумышленники сделают на этом этапе, — это соберут инструменты, которые они планируют использовать после получения доступа к сети, чтобы успешно использовать любые обнаруженные уязвимости.
Шаг третий — Доставка
Теперь начинается атака. Отправляются фишинговые сообщения по электронной почте, атакованные с помощью Watering Hole методов веб-страницы публикуются в Интернете, и злоумышленники ожидают получения всех данных, которые им нужны, чтобы начать рассылку. Если электронное письмо с фишингом содержит вложение вредоносное ПО, то злоумышленники ждут, пока кто-нибудь откроет его и поступит сигнал.
Шаг четвертый — Эксплуатация
Теперь для хакеров начинается самое интересное. По мере поступления имен пользователей и паролей они пробует использовать их против систем электронной почты на базе Интернета или VPN-подключений к сети компании. Если были отправлены вложения с вредоносным ПО, злоумышленники получают удаленный доступ к «зараженным» компьютерам. Они исследует сеть и получают лучшее представление о потоке трафика в сети, о том, какие системы к ним подключены и как их можно использовать.
Шаг пятый — Установка
На этом этапе злоумышленники получают подтверждение, что у них по-прежнему есть доступ к сети. Они устанавливают постоянный бэкдор, создают учетные записи администратора в сети, отключают правила брандмауэра и, могут даже активировать доступ к удаленному рабочему столу на серверах и других системах в сети. Цель на этом этапе — убедиться, что злоумышленники могут оставаться в системе столько, сколько им нужно.
Шаг шестой — Командование и контроль
Теперь у них есть доступ к сети, учетные записи администраторов и все необходимые инструменты. У них есть неограниченный доступ ко всей сети. Они могут просматривать любую информацию, выдавать себя за любого пользователя в сети и даже отправлять электронные письма от генерального директора всем сотрудникам. Теперь все под контролем. Они могут даже заблокировать вас от всей вашей сети, если захотят.
Шаг седьмой – Достижение цели
Теперь, когда у них есть полный контроль, они может достичь своей цели. Это может быть кража информации о сотрудниках, клиентах, дизайне продуктов и т. д. Или они могут начать вмешиваться в деятельность компании. Помните, что не все хакеры гоняются за данными, которые можно монетизировать, некоторые просто хотят все испортить. Если вы принимаете онлайн-заказы, хакеры могут закрыть вашу систему приема заказов или удалить заказы из системы. Они даже могут создавать заказы и отправлять их вашим клиентам. Если у вас есть автоматизированная система управления, и они получают к ней доступ, они могут выключить оборудование, ввести новые настройки и отключить сигнализацию. Не все хакеры хотят украсть ваши деньги, продать вашу информацию или разместить инкриминирующие электронные письма на WikiLeaks, некоторые хакеры просто хотят причинить вам вред.
Подготовьтесь к атаке
И что теперь? Что вы можете сделать, чтобы защитить свою сеть, свою компанию и даже свою репутацию? Вам нужно подготовиться к атаке. Посмотрим правде в глаза, рано или поздно хакеры придут за вами. Не позволяйте себе думать, что у вас нет того, чего они хотят. Поверьте мне, есть.
Перевод статьи «The seven phases of a cyber attack»
Автор — Крейг Ридс, CISSP, старший консультант по кибербезопасности DNV — Digital Solutions.