Источники киберугроз

Террористы, преступники, враждебно настроенные правительства и недовольные сотрудники сотрудники представляют угрозу для информационных систем

СОТРУДНИКИ ЖУРНАЛА «UNIPATH»

Накануне праздника Лайлат аль-Кадр в августе 2012 г. компьютерный вирус с названием «Шамун» атаковал сети саудовской компании Aramco, самого крупного в мире поставщика сырой нефти. Спустя всего несколько недель катарская компания RasGas, один из крупнейших производителей природного газа, стала второй ближневосточной жертвой кибератак. В течение нескольких недель после кибератаки Aramco общалась с миром посредством телексов и факсов, в сущности, так, как она общалась с миром лет 20 назад.

Атаки вроде этих демонстрируют всю серьезность угроз жизненно важной инфраструктуре. По мере того как террористы объединяются с киберпреступниками, угроза компьютерных нападений на экономику, инфраструктуру и национальную безопасность сейчас высока как никогда. Военные объекты, службы безопасности, правительственные учреждения, энергетические сети, системы связи и транспорта – все являются потенциальными мишенями для таких нападений.

Преступные группировки стали более смелыми и угрожают кибернападениями. Раньше хакеры действовали с целью кражи денег у банков или кредитных компаний; однако, сейчас появилось много «игроков», у которых цели самые разнообразные, такие как похищение персональной информации, кража интеллектуальной собственности у частных компаний или незаконное получение правительственной информации.

ТАКТИКА ХАКЕРОВ

Жертвы таких нападений тщательно отбираются. И хотя старая практика, когда сканировался интернет в поисках открытого порта или пустого пароля, еще применяется хакерами невысокого уровня, сейчас наиболее серьезная угроза исходит от нападений, в которых используется детальная информация о компьютерных сетях объекта нападения, что позволяет проникнуть сквозь параметры безопасности для достижения специфических целей. Нападению такого вида предшествует проведение расследования, которое может включать в себя слежку за зданиями и сбор информации о сотрудниках, часах работы и обычном времени доставки почты, помимо прочей информации.

После этого начинают работать так называемые «социальные инженеры», которые будут заводить друзей среди сотрудников учреждения с целью получения от них информации. Например, внешне дружелюбно настроенная пара заходит в кафе и садится рядом со служащим фирмы, который выбран для знакомства. Они представляются и начинают разговор со служащим на интересную для него тему. Один из двоих ведет разговор, а другой делает записи на мобильном телефоне, притворяясь, будто отправляет текстовые сообщения. В Великобритании группа хакеров, одетая в униформу одной компьютерной фирмы, зашла в банк и делала вид, будто проводит обычное обслуживание компьютеров. На самом деле они установили серийные порты, которыми можно управлять, находясь за пределами банка. Еще одна тактика была продемонстрирована во время собрания хакеров в 2012 г., когда известный хакер Шейн Макдугалл описал механизм получения информации у корпораций. Он звонил в магазины розничной торговли и в разговоре с управляющими магазинами представлялся как топ-менеджер из головного корпоративного офиса, которому принадлежит эта сеть магазинов. Потом он преподносит волнующую (но выдуманную) новость о том, что компания получила огромный правительственный контракт, и что ему необходимо, чтобы этот местный управляющий магазином обслуживал этот контракт. За какие-то 10 минут Макдугалл мог собрать критическую информацию о магазине, включая типы компьютеров, которые установлены в магазине, версию Microsoft Windows, тип защиты Firewall, используемое в магазине антивирусное программное обеспечение и расписание работы менеджеров.

ШЕСТЬ КАТЕГОРИЙ КИБЕРУГРОЗ:

ТЕРРОРИСТЫ: В качестве объектов нападения террористы выбирают правительственные и военные сети, чтобы похитить информацию или нарушить работу этих сетей. Кроме этого, террористы действуют по всему киберпространству. Они собирают информацию из банков, систем коммуникаций, транспортных и энергетических компаний. Их главная цель состоит в разрушении сетей, нанесении ущерба инфраструктуре с максимальным количеством пострадавших. В одном документе, обнаруженном в тайном убежище террористов, говорилось о том, что группа собирала электронные данные об электростанциях и нефтеперерабатывающих заводах на Ближнем Востоке. Проникновение в военные сети даст террористам доступ к секретной информации об оружии, маршрутах передвижения, планах действий, а также личную информацию ключевых руководителей. Их также интересует информация об объектах, доступ на которые строго ограничен. Например, машина со взрывчаткой смогла проехать через пропускной пункт безопасности в Багдаде, потому что террористы смогли подделать электронный пропуск, дававший право въезда.

ПРАВИТЕЛЬСТВА: Страны с преступными намерениями легко могут найти доступ к высоко квалифицированным хакерам. Знания накапливаются и используются для нанесения серьезного ущерба жизненно важной инфраструктуре в других странах. Любое правительство должно серьезно рассматривать потенциальную угрозу такого нападения. Например, имеется много сообщений о китайских шпионских атаках против американских компаний. Одно из последних нападений совершил гражданин Китая в отношении компании Боинг и Локхид Мартин, чтобы похитить технологии реактивного истребителя.

ХАКЕРЫ: Хакеры взламывают компьютерные системы по социально-экономическим причинам. Они могут вербовать сотрудников для помощи в организации атаки. Хакеры в основном нападают на банки или отдельных лиц с целью шантажа или получения выкупа, хотя иногда они нападают на крупные корпорации, чтобы показать свои возможности и заработать славу. Как правило, хакеры отправляют спамы по электронной почте, чтобы занести вирусы в персональные компьютеры. Когда хакерам сообщают, что жертва «заглотнула наживку», начинается второй этап нападения, когда похищаются файлы с чувствительной информацией и следует требование об уплате выкупа или похищается финансовая информация. Хакеры иногда сканируют интернет-трафик при помощи устройства, называемого «сниффер», которое позволяет им читать всю информацию, которая проходит через рассекреченный ключ.

ПРЕСТУПНЫЕ ОРГАНИЗАЦИИ: Организованная преступность сейчас использует изощренные методы. Преступники используют интернет для нападения на корпорации и учреждения. Они хорошо организованы и представляют большую угрозу, чем отдельные хакеры. Они работают в международном масштабе и могут координировать атаки из другой части мира, они обезвреживают Firewall и другие параметры безопасности, чтобы получить доступ к нужной им сети. Одной из таких тактик является «отказ в обслуживании» – нападение, которое делает сеть недоступной для ее пользователей. Преступные организации также часто крадут ценную информацию для того, чтобы шантажировать компанию или частное лицо или для того, чтобы продать эту информацию конкурентам. Они специализируются на нападении на финансовые институты и на электронных переводах крупных сумм денег в заграничные банки. Хорошим примером может служить российская преступная группировка, известная как Gameover Zeus, которая заразила более 500 тыс. компьютеров по всему миру вирусом Trojan для того, чтобы похитить финансовую информацию, включая имена пользователей и пароли. Эта группировка также использует другой вирус под названием CryptoLocker для того, чтобы зашифровать и сделать недоступными важные файлы на компьютерах жертвы и требовать выкуп за возврат доступа к этим файлам. CryptoLocker заблокировал доступ к файлам на 234 тысячах компьютерax, что принесло группировке 27 миллионов долларов.

КОНКУРЕНТЫ: Хакеров иногда нанимают для того, чтобы похитить данные у компании-конкурента или разрушить ее информационные сети. Это является одной из форм промышленного шпионажа. Иногда компания нанимает хакеров для того, чтобы занести вирус в сеть компании-конкурента и собирать информацию. Такие незаконные действия могут дать нападающей компании преимущества в конкурентной борьбе. Хорошим примером в этом случае может служить «хакерский скандал с голубым чипом», когда ФБР обнаружила, что восемь американских компаний наняли хакерскую фирму, находящуюся в Великобритании, для похищения конфиденциальной информации у конкурентов.

УГРОЗА ИЗНУТРИ: Это потенциально наиболее опасный вид хакерства, поскольку линии обороны, такие как Firewalls и Система Обнаружения Проникновения (СОП), здесь не действуют. Сотрудники с достаточными знаниями могут получить доступ к конфиденциальной информации с гораздо меньшими препятствиями. Угрозу изнутри гораздо труднее обнаружить, поскольку сотрудники являются легальными пользователями сетей. Мотивами для хакерства изнутри является месть обиженного сотрудника, шантаж и финансовая выгода.

Организации должны защищать свои сети от преступников и террористов. Подход «Что, если…» повысит уровень озабоченности: если террористы получат доступ к химическому или энергетическому объекту, то они могут организовать выпуск токсичных химикатов или остановят работу электростанции. Остановка работы нефтеперерабатывающего завода даст отголосок по всему миру. Сбои в компьютерных системах авиадиспетчеров могут привести к катастрофе. Военные пункты командования и управления также могут быть «взломаны».

Обеспечение киберзащиты – дело всех и каждого. В организациях весь персонал должен проходить соответствующее обучение. Распространение знаний об интернет-угрозах, вирусах в электронной почте и фишинг-мошенничестве принесет свои плюсы. Очень важно доводить до организаций информацию о так называемых «социальных инженерax», поскольку именно с этого трюка начинаются многие проникновения в компьютерные системы. Организации должны публиковать предупреждения о возникающих угрозах с тем, чтобы сотрудники представляли себе масштабы проблемы. Установка самых передовых Firewalls и СОП для защиты данных должна быть обязательной. Вместе с тем, само по себе оборудование не создаст никакой защиты без команды опытных специалистов, которые знают, как обращаться с этим оборудованием.

Нападения на Aramco и RasGas являются всего лишь двумя примерами того, что могут сделать террористы с жизненно важными ресурсами, используя киберпространство. Эти нападения являются свидетельством необходимости сотрудничества в защите наших стран и их ресурсов. Когда террористы проникнут сквозь параметры безопасности в сети, будет поздно что-либо предпринимать. Ущерб уже будет нанесен.