Кибершпионаж или киберслежка — это тип кибератаки, при которой незарегистрированный пользователь пытается получить доступ к конфиденциальным, секретным данным или интеллектуальной собственности (ИС) для получения экономической выгоды или конкурентного преимущества, либо с политическими мотивами.

Почему используется кибершпионаж?

Кибершпионаж в основном используется для сбора конфиденциальных или секретных данных, коммерческих секретов или других форм ИС. Злоумышленником они могут быть использованы для создания конкурентных преимуществ или продажи и получения финансовой выгоды. В некоторых случаях это делается с целью нанесения ущерба репутации жертвы путем раскрытия частной информации или сомнительных историй из «темного» прошлого.

Атаки красса кибершпионажа могут быть мотивированы денежной выгодой или производиться в рамках военных операций; например, как акт кибертерроризма или кибервойны. Воздействие кибершпионажа, особенно когда он является частью более широкой военной или политической кампании, может привести к нарушению работы государственных служб и инфраструктуры, и даже гибели людей.

Мишени кибершпионажа

Наиболее частыми мишенями кибершпионажа являются крупные корпорации, правительственные учреждения, академические учреждения, аналитические центры или другие организации, обладающие ценными интеллектуальными и техническими данными, которые могут создать конкурентное преимущество для другой организации или правительства. Целевые кампании также могут проводиться против отдельных лиц, таких как влиятельные политические лидеры и правительственные чиновники, руководители предприятий и даже знаменитости.

Кибершпионы чаще всего пытаются получить доступ к следующим активам:

  • Данные о разработках и ходе исследований.
  • Данные академических исследований.
  • ИС, формулы продукта или чертежи.
  • Конфиденциальная информация о финансах и расходах организации, например: заработная плата, структура бонусов.
  • Списки клиентов и информация об их оплатах.
  • Бизнес-цели, стратегические планы и маркетинговая тактика.
  • Политические стратегии, связи и коммуникации.
  • Военная разведка.

Распространенные тактики кибершпионажа

Большая часть кибершпионажа классифицируется как развитая устойчивая угроза (advanced persistent threat -APT). АРТ — это сложная, устойчивая кибератака, при которой злоумышленник незаметно подключается к сети, чтобы добывать конфиденциальные данные в течение определенного периода времени. АРТ-атака тщательно спланирована и предназначена для проникновения в конкретную организацию в обход существующих мер безопасности, оставаясь при этом незамеченным в течение длительных периодов времени.

Выполнение APT-атаки требует более высокой степени настройки и изощренности, чем традиционная атака. Злоумышленники, как правило, это хорошо финансируемые опытные группы киберпреступников, которые нацелены на крупные организации. Они тратят много времени и ресурсов на изучение и выявление уязвимостей в организации.

Большинство атак кибершпионажа также включают в себя некоторую форму социальной инженерии для стимулирования активности или получения необходимой информации от цели. Такие  методы часто включают в себя использование человеческих эмоции: возбуждение, любопытство, сочувствие или страх, которые заставят действовать быстро или опрометчиво. При этом киберпреступники обманом заставляют своих жертв сообщать личную информацию, переходить по вредоносным ссылкам, загружать вредоносные программы или платить выкуп.

Другие распространенные приемы атаки:

Watering hole: злоумышленники могут заражать вредоносным ПО «белые» веб-сайты, которые обычно посещает жертва или люди, связанные с ней, с целью компрометации.

Spear-phishing: хакер нацелен на определенных лиц с помощью мошеннических электронных писем, текстовых сообщений и телефонных звонков, чтобы украсть учетные данные для входа или другую конфиденциальную информацию.

Эксплойты нулевого дня: киберпреступники используют уязвимость системы безопасности или недоработки программного обеспечения пока их не обнаружили и не исправили разработчики программного обеспечения или ИТ-команда заказчика.

Инсайдерская угроза: субъект угрозы убеждает сотрудника или подрядчика поделиться/продать информацию или доступ к системе неавторизованным пользователям.

Глобальное влияние кибершпионажа

Кибершпионаж, особенно когда он организован и осуществляется национальными государствами, представляет собой растущую угрозу безопасности. Несмотря на множество обвинительных заключений и законов, направленных на пресечение такой деятельности, большинство преступников остаются на свободе из-за отсутствия соглашений об экстрадиции между странами и трудностей с соблюдением норм международного права, связанных с этим вопросом.

Эта проблема, в сочетании с растущей изощренностью киберпреступников и хакеров, оставляет возможность для скоординированной и высококлассной атаки, которая может нарушить работу любого количества современных услуг, от работы электросети до финансовых рынков и крупных выборов.

Штрафы за кибершпионаж

Хотя многие страны предъявили обвинения в отношении кибершпионажа, наиболее серьезные дела обычно связаны с иностранными субъектами в странах, которые не подлежат экстрадиции. Таким образом, правоохранительные органы часто неуполномочены преследовать киберпреступников, особенно тех, кто действуют за границей.

Тем не менее, основа расследования, используемая для обоснования обвинений в кибершпионаже, также может использоваться в качестве основы для санкций, налагаемых в отношении иностранного государства или компании. Например, в США Министерство финансов может использовать следственные материалы из обвинительных заключений для введения экономических санкций против корпорации, которая известна своим участием в кибершпионаже.

Известные истории о кибершпионаже

Хотя некоторые кибершпионы играют законную роль в разведывательном сообществе, наиболее известные примеры служат более гнусной цели. Вот несколько ярких примеров работы кибершпионов:

Аврора

Один из самых известных примеров кибершпионажа датируется 2009 годом. Впервые о проблеме сообщил Google, когда компания заметила постоянный поток атак на определенных владельцев учетных записей Gmail, которые, как позже выяснилось, принадлежат к китайским активистам, выступающим за права человека. После раскрытия информации об атаке другие известные компании, включая Adobe и Yahoo, подтвердили, что они тоже подвергались таким атакам. Всего 20 компаний признали, что подверглись этой кибершпионажной атаке, в которой использовалась уязвимость в Internet Explorer. После этого случая уязвимость безопасности была устранена.

Исследования COVID-19

В последнее время кибершпионаж сосредоточился на исследованиях, связанных с пандемией COVID-19. С апреля 2020 года сообщалось о вторжениях, направленных на исследования коронавируса, в лабораториях США, Великобритании, Испании, Южной Кореи, Японии и Австралии; эта деятельность проводилась со стороны российских, иранских, китайских и северокорейских субъектов.

Например, один случай кибершпионажа был обнаружен CrowdStrike во второй половине 2020 года. Команда Falcon OverWatch™ обнаружила целевое вторжение в академическое учреждение, которое, как известно, участвовало в разработке тестов COVID-19. Кибершпионаж был приписан китайским хакерам, которые сперва получили доступ путем успешной атаки с использованием SQL-инъекции на уязвимый веб-сервер. А попав в среду жертвы, злоумышленники скомпилировали и запустили веб-оболочку, которая использовалась для выполнения различных вредоносных действий, в основном сосредоточенных на сборе информации.

Правительственные группировки

Как отмечалось выше, многие из наиболее продвинутых кампаний кибершпионажа координируются и хорошо финансируются государством. Среди правительственных группировок и кибершпионажных групп известны следующие:

PIONEER KITTEN — это базирующаяся в Иране хакерская группа, которая действует приблизительно с 2017 года и имеет подозрения в связях с иранским правительством. В конце июля 2020 года деятельно, который, как считается, был связан с PIONEER KITTEN, был уличен на рекламе доступа к взломанным сетям на подпольном форуме. Эта деятельность наводит на мысль о потенциальной попытке диверсификации потока доходов со стороны PIONEER KITTEN, наряду с ее целенаправленными вторжениями в поддержку иранского правительства.

FANCY BEAR (APT28, Sofacy) использует фишинговые сообщения и поддельные веб-сайты, которые очень похожи на легитимные, чтобы получить доступ к обычным компьютерам и мобильным устройствам. Группа базируется в России и действует примерно с 2008 года. Она нацелена на политические организации США, европейские военные организации и другие объекты по всему миру.

GOBLIN PANDA (APT27) впервые была замечен в сентябре 2013 года, когда CrowdStrike обнаружил индикаторы атаки (IOA) в сети технологической компании, работающей в нескольких секторах. Эта китайская группа кибершпионажа использует два документа-эксплойта Microsoft Word с обучающей тематикой для распространения вредоносных файлов при открытии. Цели — оборонные, энергетические и государственные организации Юго-Восточной Азии, в частности во Вьетнаме.

HELIX KITTEN (APT 34) действует как минимум с конца 2015 года и, вероятно, базируется в Иране. Она нацелена на организации в аэрокосмической, энергетической, финансовой, правительственной, гостиничной и телекоммуникационной сферах. Отличительная черта этой группы — хорошо продуманные и структурированные целевые фишинговые сообщения, которые имеют большое значение для атакуемых. Обычно они использует кастомный имплант PowerShell через документы Microsoft Office с поддержкой макросов.

Обнаружение, предотвращение и устранение кибершпионажа

Растущая изощренность кибер-злоумышленников и кибершпионов позволила им обойти многие стандартные аспекты безопасности и устаревшие системы. Хотя эти злоумышленники часто являются весьма подготовленными и могут использовать сложные инструменты в своих операциях, защита от этих атак возможна. Существует множество доступных решений для кибербезопасности и разведки, которые помогают организациям лучше понять злоумышленников, их методы атак и приемы, которые они регулярно используют.

  • Полная видимость. Вы не можете остановить то, чего не видите. Организации должны использовать возможности, которые обеспечивают их защитникам полную видимость своей среды, чтобы избежать слепых пятен, которые могут стать безопасным убежищем для злоумышленников.
  • Техническая разведка. Используйте техническую информацию, например: индикаторы компрометации (IOC), и используйте их в управлении информацией о безопасности и событиями безопасности (SIEM). Это позволяет получить дополнительную информацию при проведении корреляции событий, выделяя те, которые могли бы остаться незамеченными. Внедрение высокоточных IOC в нескольких технологиях безопасности позволит быть осведомленным.
  • Анализ угроз. Получение содержательных отчетов об угрозах — это верный метод создания очень яркой картины поведения злоумышленников, инструментов, которые они используют, и применяемых ими навыков. Аналитика угроз помогает в систематизации субъектов угроз, отслеживании кампаний и групп вредоносных программ. В наши дни более важно понимать контекст атаки, а не просто знать, что сама атака произошла, и именно здесь информация об угрозах играет жизненно важную роль.
  • Охота на угрозы. Понимание технологии для организаций сейчас важнее, чем когда-либо прежде. Многие организации обнаружат необходимость в людях, которые будут круглосуточно отслеживать угрозы, в дополнение к уже существующим технологиям кибербезопасности.
  • Поставщик услуг. Необходимость партнерства с лучшей в своей сфере фирмой по кибербезопасности. Если произойдет что-то непредвидимое, организациям может потребоваться помощь специалистов.

Перевод статьи «What is Cyber Espionage?»