Кибератаки: десять тенденций

7 февраля 2014 г.

Широкомасштабное инфицирование, многочисленные Java-уязвимости и даже вредоносный трафик, исходящий из самих корпоративных сетей, всё больше подрывают доверие к системам Интернета и поставщикам услуг.

Киберпреступники используют разнообразные тактики для кражи паролей и других идентификационных данных, стремясь получить почти неограниченный доступ к корпоративным системам, указывает Cisco Systems в своем ежегодном отчете «Threat Report», подчеркивая, что многочисленные (и часто успешные) кибератаки весьма негативно сказываются на доверии пользователей и заказчиков и на нормальной работе Интернета.

Надежность технологий и систем, обеспечивающих функционирование и защиту вебсайтов и других веб-услуг, находится под угрозой, так как взломщики находят способы обойти средства защиты или использовать уязвимости ПО. Системы аутентификации и авторизации, призванные служить шлюзом доступа к корпоративной сети и приложениям, первыми принимают на себя удар. Ниже представлены главные выводы из отчета Cisco, подтверждающие, что атакующие для достижения своих преступных целей пользуются  доверием заказчиков к поставщикам услуг.

Тактика широкомасштабного инфицирования

Киберпреступники, использующие автоматизированный инструментарий атак, часто нацеливаются на серверы веб-хостинга, серверы имен и центры обработки данных. Обнаружив ошибку конфигурации или уязвимость ПО, хакер использует эту лазейку, чтобы получить доступ к другим серверам сети. Успешная  атака может быть чрезвычайно «результативной» для киберпреступников. Один взломанный сервер способен  инфицировать тысячи вебсайтов по всему миру, говорится в отчете.

Одна из уязвимостей, чаще всего используемых взломщиками, это переполнение буфера. В качестве примера Cisco указывает на DarkLeech. В 2013 году этот автоматизированный инструментарий атак успешно инфицировал десятки тысяч вебсайтов, превращая серверы Apache в обширный ботнет. Вебсайты, размещенные на таком инфицированном сервере, служат для переадресации (т. е. посредниками в цепочке дальнейшего инфицирования) и для хранения вредоносного кода, указывает Cisco.

Системы CMS под ударом

Чтобы получить доступ к базовой инфраструктуре вебсайтов, киберпреступники используют уязвимости и ошибки конфигурации в популярных системах управления контентом (CMS) WordPress и Joomla, указывает Cisco. Известны также примеры, когда хакеры применяют автоматизированный инструментарий для «грубого взлома» (перебор всех вариантов), чтобы добраться до административной консоли управления всей платформой.

В прошлом году объектом атаки стала набирающая сейчас популярность open-source система управления контентом Drupal. Пользователи Drupal.org были вынуждены сменить идентификационные данные своих аккаунтов после взлома. Атаки могут быть также нацелены на уязвимости в плагинах сторонних разработчиков, используемых платформами. «Успешные атаки в 2013 году могут быть прослежены до плагинов, написанных на языке веб-сценариев PHP, которые были слабо продуманы с точки зрения безопасности», - указывает Cisco.

Шпионский трафик?

Прицельные атаки могут быть частью кибершпионажа в масштабах всей страны, говорится в отчете. Изучив тренды в логах систем анализа киберугроз, Cisco делает вывод, что злонамеренный трафик просматривается во всех корпоративных сетях. Анализ запросов к службе доменных имен, исходящих из корпоративных сетей, демонстрирует признаки вредоносной активности или взлома систем. В 96% изученных корпоративных сетей был обнаружен трафик к захваченным серверам, указывает Cisco.

«Cisco обнаружила также трафик, идущий к вебсайтам военных или государственных структур в организациях, не имеющих с ними официальных отношений, а также к вебсайтам в регионах высокого риска, например, в странах, с которыми в США запрещено вести бизнес», - говорится в отчете.

Конечно, такой трафик еще не является доказательством взлома, но всё же показывает, что вебсайты и сети государственных органов и военных ведомств находятся под прицелом.

Java-уязвимости

Уязвимости в Java - любимый способ проникновения для многих взломщиков, указывает Cisco; при этом более 75% организаций используют версию Java 6, срок поддержки которой истекает. «В большинстве случаев Java является тем эксплойтом, к которому взломщики прибегают в первую очередь, поскольку он приносит им самую большую “отдачу на инвестиции”», - говорится в отчете. Киберпреступники часто используют также инфицированные Flash-файлы или PDF-документы. Цель - захватить плацдарм на десктопе и потом скрыто действовать в корпоративной сети, пока не будет получена нужная конфиденциальная информация.

Остановить рост уязвимостей!

Количество предупреждений об угрозах выросло на 14% за год, сообщает Cisco. Переполнение буфера - одна из ошибок кодирования, чаще всего используемая хакерами. Далее следуют ошибки проверки ввода, ошибки управления ресурсами и расширение прав доступа. Атакующие используют также изъяны, которые могут дать утечку информации, межсайтовый скриптинг и инъекции кода.

Вендоры выявляют всё новые уязвимости, сообщает Cisco. Полный жизненный цикл «защищенной разработки» и налаженный процесс установки заплат могли бы помочь повысить качество создаваемого ПО. Рост внимания к разработке изначально защищенного ПО может помочь восстановить доверие заказчиков. Четко выстроенный цикл защищенной разработки не только уменьшит риск появления уязвимостей, но и позволит вендорам обнаружить потенциальные изъяны на ранней стадии и убедит заказчиков, что они могут положиться на такие продукты.

Спам становится опаснее

Общий объем спама сократился, но злонамеренный спам, привязанный к сайтам вредоносного ПО и фишинга, по-прежнему остается проблемой, указывает Cisco. Спам, приходящий после широко известного события, будет менее критично воспринят получателем, и на это делается ставка. Отчет ссылается  на волну атак после взрывов на Бостонском марафоне в апреле прошлого года. Процент ответных нажатий на инфицированную ссылку увеличился, и жертвы попадали на атакующие сайты и сайты фишинга.

Фиктивные уведомления о банковских платежах или депозитах были главной темой в 2013 году, говорит Cisco. Сообщения о несуществующих онлайн-покупках, почта с вредоносным вложением (чаще - фотографий) и липовые уведомления о доставке также были популярны.

Многоцелевые троянцы

Многоцелевые троянцы  -  наиболее часто используемое вредоносное  ПО для веб-атак: их доля составила 27%, указывает Cisco. Вредоносные скрипты и плавающие фреймы (iframe), внедренные в инфицированные сайты, являются следующей категорией. Растущее число многоцелевых троянских программ не удивляет: авторы вредоносного ПО оттачивают свое мастерство, создавая троянцев, умеющих делать несколько вещей одновременно, обходя при этом механизм защиты, чтобы выгрузить украденные данные на командный сервер. Троянцы, предназначенные для кражи данных - перехватчики паролей и создающие «лазейку» в систему - составляют до 22% всего вредоносного ПО в Интернете, а загрузчики (downloader) и распаковщики (dropper) вредоносного ПО занимают четвертое место (17%).

На прицеле определенные отрасли

Киберпреступники нацеливают свои атаки на разные отрасли, и всё же фармацевтические фирмы и химическая  промышленность привлекали к себе больше внимания в 2013 году. Анализ Cisco выявил также значительный рост атак на организации в сельском хозяйстве и в добывающих отраслях: возможно, киберпреступники (и их хозяева) ищут способ сыграть на истощающихся запасах благородных металлов и нарушениях в цепочке поставок продовольствия из-за погодных проблем. Электронная промышленность, энергетика, нефтегазодобывающие и перерабатывающие предприятия также являются частым объектом прицельных атак. Кибершпионаж, нацеленный на эти отрасли, часто имеет своей целью кражу интеллектуальной  собственности(проектная документация, торговые соглашения и т. п.), указывают эксперты.

Атаки «у водопоя»

Атаки типа watering hole (букв. «водопой») становятся всё популярнее среди хакеров, указывает Cisco. Они нацелены на определенные сообщества специалистов: злоумышленники заранее заражают вебсайты, часто посещаемые сотрудниками той или иной организации. Это своего рода «жёсткий» фишинг (spearphishing), но нацеленный не на конкретных людей, а на группы с общими интересами.

Система кибершпионажа NetTraveler, выявленная специалистами компании Kaspersky Lab, использовала тактику watering hole, целенаправленно инфицируя компьютеры пользователей, занятых в секторе энергетики, научными исследованиями, а также подрядчиков в госсекторе и оборонной промышленности.

Киберсквоттинг становится изощреннее

Эксперты Cisco обнаружили новую форму киберсквоттинга, использующую ошибки в двоичном разряде компьютерной памяти для перенаправления интернет-трафика на сайты, где находится вредоносное ПО или другие средства атаки. Эта техника, получившая название «битсквоттинг» (bitsquatting), использует зарегистрированные доменные имена, которые лишь в одном двоичном бите отличаются от «законного» имени, стремясь поймать малейшие ошибки в системной памяти, где могут храниться часто используемые имена.

«Изменив один-единственный бит, домен twitter.com можно превратить, например, в twitte2.com. Атакующий может просто зарегистрировать такой подставной домен и ждать, пока случится ошибка в памяти, и тогда перехватить интернет-трафик», - поясняют эксперты.

Учитывая, что размер памяти и общее количество устройств, подключенных к Интернету, неуклонно растут, тактика битсквоттинга может стать инструментом атак уже в ближайшем будущем, говорится в отчете.

© 2014. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.

Источник: Роберт Уэстервельт, CRN/США