Поиск по сайту:

От одинокого волка до организованной преступности — откуда берутся киберугрозы


Существует более одного типа злоумышленников, и все они обладают разной квалификацией. О чем вам нужно беспокоиться, а какие представляют небольшую угрозу или не представляют никакой угрозы? Мы объясняем это вам.

Различные уровни киберпреступников

В физическом мире есть разные категории преступников. Ясно, что те, кто планирует и совершает ограбления алмазов, — это не те, кто хватает сумочку и бежит по улице. То же самое и с киберпреступниками. Существует множество различных типов действующих лиц, представляющих угрозу, от всегда популярного голливудского образа ребенка в своей спальне до спонсируемых государством продвинутых групп постоянных угроз, используемых для наступательных и оборонительных международных киберпреступлений и кибервойн.

В августе 2018 года группа злоумышленников проникла на веб-сервер, на котором размещался сайт бронирования авиабилетов British Airways. Получив доступ к серверу, они остановились и провели разведку. Они определили, какие программные модули выполняют какие функции и как различные модули взаимодействуют и аутентифицируются друг с другом. Когда они определили модуль, на который они хотели нацелиться, они написали замену для этого модуля и заменили его скомпрометированным.

Поскольку сайт продолжал работать как положено, никаких подозрений не возникло. Бронирование по-прежнему обрабатывалось правильно, билеты оформлялись, а пассажиры садились на рейс без задержек и проблем. Тем временем замещающий модуль сохранял копию прошедших через него персональных данных.

Все имена, адреса, адреса электронной почты, номера паспортов и данные кредитных карт были спрятаны в ожидании преступников. Мошеннический модуль был активен с конца августа по начало сентября 2018 года. За это время было собрано 380 000 наборов персональных данных.

Этот тип целенаправленной атаки требует множества различных навыков. Цель должна быть выбрана, веб-сайт должен быть скомпрометирован, веб-сайт должен быть проанализирован и понят, а скомпрометированный модуль должен быть разработан и вставлен в цепочку выполнения на веб-сайте. Чаще всего для этого требуется команда отдельных лиц.

У каждого члена команды есть специализация или определенная область знаний, которые могут быть задействованы во время атаки. Операция должна быть платной. Киберпреступники также должны хорошо разбираться в связанных с ними преступных действиях в физическом мире, которые необходимы для получения вознаграждения за атаку. Они должны иметь возможность зарабатывать деньги на предприятии и, например, заметать следы. Даже при оплате в криптовалюте им может потребоваться отмывание доходов. Возможно, они плохо приспособились и сбились с пути, но это умные и опытные операторы.

Это вызывает очевидный вопрос. Будут ли такие высококвалифицированные киберпреступники атаковать средний малый и средний бизнес (МСП)? Нет, конечно нет. Но это не значит, что среднему малому и среднему бизнесу не о чем беспокоиться.

Благодаря развитой индустрии услуг, процветающей в Даркнете для предоставления инструментов, поддержки и даже проведения реальных кибератак от имени малоквалифицированного подражателя киберпреступника, практически любой может совершить киберпреступление. Наличие обширных и глубоких знаний в области ИТ, кибербезопасности и программирования больше не является обязательным требованием для участия в игре.

Все, что вам нужно, это преступный умысел и доступ в Интернет.

Определены различные уровни

Верхний уровень

Злоумышленники высшего уровня обладают передовыми и сложными навыками и глубокими знаниями предмета. Они посвящают себя нападению на ценные и часто известные цели. Атаки на Cathay Pacific, British Airways, Equifax и Yahoo! являются примерами атак киберпреступников высшего уровня.

Средний уровень

Злоумышленники среднего уровня обладают умеренными навыками в области ИТ и киберпреступности. Как правило, эти субъекты угроз не нацелены на компании и совершают тщательно продуманные атаки. Их цели — все, кого они могут заразить.

Если субъекты угрозы на верхнем ярусе похожи на снайперов, то на среднем ярусе — пулеметчики с завязанными глазами. Они взрываются, а затем видят, кого они ударили. Они будут вымогать деньги у всех и каждого, больших или малых.

У них достаточно навыков, чтобы использовать загруженный исходный код и наборы вредоносных программ, приобретенные в даркнете, для создания новых штаммов или вариантов существующих угроз. Они могут использовать одного из многих провайдеров киберпреступности как услуги в Даркнете, хотя это, как правило, является сферой деятельности злоумышленников нижнего уровня.

Нижний уровень

Нижний уровень — нижний ярус. Хакеры, обладающие реальными навыками, пренебрежительно называют их детскими сценариями. Эти подражатели-киберпреступники могут следовать основным инструкциям, но они ограничены использованием готовых и легкодоступных инструментов для совершения своих атак. У них нет навыков и знаний, чтобы создавать для себя новые угрозы.

Они часто используют поставщиков услуг «Киберпреступность как услуга» в Даркнете. Как и средний уровень, им все равно, кого они заражают или у кого вымогают. Они полностью независимы в своих вредоносных атаках — по большей части.

Одной из распространенных атак, используемых злоумышленниками нижнего уровня, является распределенная атака типа «отказ в обслуживании» (DDoS). Эта категория атак популярна среди нижнего уровня, потому что их легко проводить, а программное обеспечение, необходимое для проведения DDoS-атаки, можно бесплатно найти в обычном Интернете. DDoS-атака должна быть направлена на конкретную жертву.

Если верхний ярус похож на снайперов, а средний - на автоматчиков, то нижний - на банду детей, которые нашли пистолет. Они сгрудились вокруг него, глядя в ствол, чтобы увидеть, заряжен ли он. Но пуля причиняет боль независимо от того, нажал ли курок стрелок или идиот.

И еще больше опасных актеров

Конечно, трехуровневая модель — это упрощение. Если это помогло продемонстрировать, что у трех основных уровней киберпреступников есть разные уровни опыта и что только самый верхний уровень нацелен на конкретные компании для получения финансового вознаграждения, он выполнил свою задачу. Но, как и следовало ожидать, ландшафт угроз более сложен и многоуровнев.

Организованная преступность

Организованная преступность использует Интернет и темную сеть для различных незаконных целей и меняет свою деятельность, чтобы извлечь выгоду из анонимности темной сети и криптовалют. Например, наркотики нужно выращивать как урожай, а затем перерабатывать. Этот продукт необходимо транспортировать и ввозить контрабандой. Затем он продается и распространяется через многоуровневую пирамиду мелких преступников, где каждый более низкий уровень проявляет все меньше лояльности к организации. Каждый из этих уровней связан с риском и затратами.

Продажа их наркотиков на рынках Dark Web устраняет многоуровневую модель распространения и позволяет преступникам прятаться за криптовалютами. Это снижает затраты и риски для преступников. Оттуда до осознания того, что киберпреступность также является привлекательной моделью, оставалось совсем немного.

Киберпреступления организованной преступности охватывают как верхний, так и средний уровни. У них есть финансовое влияние, позволяющее нанимать высококлассных киберпреступников для разработки для них вредоносных программ, особенно программ-вымогателей. Это наиболее популярные варианты программ-вымогателей, которые распространяются по всему миру с разрушительными последствиями.

Это угрозы программ-вымогателей, которые внедряют новые методы атаки, новые методы распространения или заражения или используют недавно обнаруженные эксплойты нулевого дня. Как и операторы среднего звена, они стремятся поразить как можно больше жертв.

Хактивисты

Термин «хактивист» впервые был придуман членом «Культа мертвой коровы» еще в середине 90-х годов. Это была хакерская группа, которая встречалась на заброшенной бойне в Лаббоке, штат Техас. Хактивист — это слово-сочетание, объединяющее хакерство и активист. Но не заблуждайтесь, хактивисты по-прежнему остаются киберпреступниками.

Хактивисты считают себя борцами за социальную справедливость, совершающими атаки на цели, которые, по их мнению, заслуживают нарушения работы службы или публичного осуждения. Их деятельность является цифровым эквивалентом физического активизма, такого как лоббирование, разрушение рабочих мест, пикеты и сидячие забастовки студентов, а иногда и вандализм.

Несомненно, самой известной группой хактивистов является Anonymous. Он вырос из веб-сайта для публикации изображений 4chan. Anonymous атаковали такие организации, как «Аль-Каида», ИГИЛ, Ку-клукс-клан, Церковь Саентологии, антиисламскую группу «Верните Австралию» и баптистскую церковь Вестборо.

Как правило, Anonymous использовали распределенные атаки типа «отказ в обслуживании» (DDoS), чтобы сделать веб-сайты жертв неработоспособными, они искажали веб-страницы со своими политическими сообщениями и сливали личную информацию в Интернете. Иногда они идут дальше и полностью уничтожают веб-сайты, которые, по их мнению, заслуживают уничтожения, например, сайты с детской порнографией.

Могут ли хактивисты нацелиться на среднестатистический малый и средний бизнес? Нет, почти наверняка нет. На первый взгляд, у группы хактивистов нет никаких оснований атаковать обычный бизнес — если только они не ошибутся и не идентифицируют вас и вашу деятельность.

Одинокий волк

Как и хактивисты, хакер-одиночка обычно руководствуется чем-то другим, а не деньгами. Например, Гэри Маккиннон, которого не кто иной, как Anonymous назвал самым опасным хакером всех времен, стал одержим идеей, что НАСА скрывает доказательства существования инопланетян и инопланетных технологий, таких как неограниченная чистая энергия. Слух был запущен подрядчиком НАСА, который утверждал, что видел фотографии миссии НАСА, которые были изменены в цифровом виде, чтобы удалить изображения НЛО.

В период с февраля 2001 г. по март 2002 г. Маккиннон удаленно взломал 97 сетей НАСА и военных США в поисках доказательств этих утверждений. Он также проник в системы, принадлежащие Пентагону и ВМС США. Его поймали, и США потребовали экстрадиции. В конечном итоге это было заблокировано правительством Великобритании на том основании, что Маккиннон был психически нездоров.

Маккиннон открыто признается в совершении киберпреступления и по-прежнему убежден, что НАСА скрывает доказательства существования внеземной жизни и технологий. Стоит отметить, что его взломы почти полностью увенчались успехом из-за плохой кибергигиены со стороны жертвы, включая слабые и предсказуемые пароли.

Многие атаки одиноких волков следуют этому шаблону. Социально неблагополучный или иным образом беспокойный человек, движимый нелогичными представлениями и убеждениями, использует умеренные технические навыки для проникновения в компьютерные системы.

У них могут быть некоторые технические навыки, но они наивны в криминальной сфере — мастерство требуется, чтобы совершить преступление и выйти сухим из воды. В подавляющем большинстве случаев их очень легко поймать. Угроза, которую представляют для среднего бизнеса такие лица, сводится к отсутствию.

Спонсируемые государством группы

В Оксфордском словаре английского языка кибервойна определяется как:

Использование компьютерных технологий для подрыва деятельности государства или организации, особенно преднамеренная атака на информационные системы в стратегических или военных целях.

Соединенные Штаты, Великобритания, Иран, Израиль, Россия, Китай, Северная Корея и Вьетнам имеют чрезвычайно кибернетические наступательные и оборонительные разведывательные подразделения.

Advanced Persistent Threat (APT) — это атака на компьютерную сеть, при которой осуществляется несанкционированный доступ, который остается незамеченным в течение длительного периода времени. Термин APT также стал обозначать группы, стоящие за такими атаками, особенно если этой группе было приписано несколько различных сложных атак с постоянными угрозами.

Эти продвинутые постоянные угрозы представляют собой киберугрозы настолько длительной и технически сложной разработки, требующей больших команд, обладающих техническими знаниями мирового уровня, что их приписывают национальным государствам или, возможно, крупнейшим корпорациям. Возможно, на некоторые из этих корпораций их разведывательные службы оказали давление, чтобы они создали эти угрозы или создали продукты со встроенными бэкдорами или другими уязвимостями.

Типы киберугроз, исходящих от групп, спонсируемых государством, — это те, которые атакуют критические компоненты инфраструктуры стран. Электростанции, средства связи, больницы, финансовые учреждения, химические заводы, компании по производству электроники, производство, аэрокосмическая промышленность, автомобилестроение и здравоохранение – все это стало мишенью.

Маловероятно, что среднестатистический МСП будет напрямую атакован APT. Но вы все еще можете попасть в осадки. Считается, что программа-вымогатель NotPetya, атаковавшая компании по всему миру в 2017 году, была замаскированной и широкомасштабной атакой на Украину со стороны России.

Ваша защита

Там может быть несколько типов злоумышленников, но все они являются вариациями на тему. Вам не нужно планировать пресечение каждого типа по отдельности. Убедитесь, что вы обращаете внимание на все основные шаги по обеспечению безопасности вашей сети и уделяете внимание трем столпам кибербезопасности.