Андрей Безверхий из SOC Prime: Только в 31% случаев компании сами узнают, что были взломаны. А в 69% — от СМИ и компетентных органов

SOC

Как защититься от кибератак? Вопрос никогда не теряет актуальности, но сейчас он встал особенно остро, поскольку стало известно о серии дерзких атак на целый ряд компаний и учреждений. Чтобы наглядно представить их масштаб, приведем статистику:  в результате кибератаки на Прикарпатьеоблэнерго около 700 тыс. жителей Ивано-Франковской области несколько часов оставались без света. 

Мы обратились за комментариями по поводу атак и за советами, как уберечься от них, к Андрею Безверхому, СЕО компании SOC Prime, к лидеру отрасли. 


Кто может стать объектом атаки? И кто уже стал? По данным «Лиги», в группе риска транспорт (наземный, подземный, воздушный), энергетика (включая атомную), нефтегазовые предприятия, ТВ и радиовещание, крупные IТ-узлы (операторы/провайдеры, точки обмена трафиком, вычислительные центры), промышленность (включая военную), архивы/библиотеки, госучреждения. Якобы была атакована МАУ и а/п «Борисполь».

— С технической точки зрения, заразить BlackEnergy можно любую информационную систему под управлением Windows (в любой организации). Какой бы антивирус на ней не стоял. Связано это с тем, что BlackEnergy – это не вирус для массового распространения через интернет, и собирается он под конкретную цель и операцию. При этом время жизни конкретного образца вируса слишком мало, чтобы на момент атаки его детектировал антивирус – у лаборатории просто нет вовремя образца, чтобы выпустить сигнатуру.

Важно понимать, что атака комплексная, выполняется в несколько этапов и ключевым техническим средством на этапе инсталляции и управления является троян BlackEnergy 3 (и старше, BlackEnergy 2 – это 2014 год) и его «плагины». Конечных целей атакующий достигает либо уже управляя сетью жертвы как своей собственной, либо с применением конкретных плагинов. Например, разобранный в исследовании KillDisk/Wiper – затирание искомой информации нулями с целью сложности восстановления и выведения из строя ИС под управлением Windows. Есть и другой плагин для поиска и выкачки информации, использованный ранее для атак на технологические сети, например, General Electrics. Рекомендую посмотреть исследование CyberX по атаке на критичную инфраструктуру в глобальных масштабах (май 2015). Там конкретно воровали информацию, разбор BlackEnergy компанией ESET.

Если говорить о сферах, то есть явные коды в именах сборки трояна: 2015en – Energy; khm10, khelm — областная энергетическая компания (источник); 2015telsmi – Теле-СМИ; 2015ts – Transport System; 2015stb – СТБ, телеканал был атакован в октябре 2015 во время выборов; kiev_o – возможно KyivOblenergo, факт атаки подтвержден SANS; brd2015 – возможно Бердянська міська рада (источник); 11131526kbp – код IATA «KBP» — аэропорт «Борисполь»; 02260517ee; 03150618aaa; 11131526trk – ТРК «Украина», телеканал, атакованный во время местных выборов осенью 2015.

Как уберечься от атак?

— Атака не происходит в один день, поэтому единой «серебряной пули», вопреки заверениям производителей средств безопасности, нет. Необходим комплекс организационных и технических мер: от мониторинга инцидентов в новостях по вашей отрасли, например, при помощи Google Alerts по ключевым словам, мониторинга активности Tor сети в вашей инфраструктуре и до слаженной работы подразделения информационной безопасности и топ-менеджмента компании.

Безопасность – это ответственность борда, и чем скорее компании на практике начнут это применять, тем больше шансов не допустить прямого ущерба, потерь и сбоев. Но это всё общие рекомендации: используйте лицензионное ПО, обновляйте антивирус, ставьте патчи…

Сегодня мы анонсировали открытую методологию с перечнем всех необходимых организационных и технических мер по защите и предотвращению BlackEnergy. Информация доступна по адресу: https://socprime.com/en/blackenergy-disrupt-matrix/ абсолютно бесплатно для любой компании в Украине.

Есть такая методология – Cyber Kill-Chain, она была разработана американской корпорацией Lockheed Martin (LMCO — лидер по обеспечению ВВП США уже более 100 лет). Основная задача методологии – остановить атакующую сторону на каждом из этапов атаки: от разведки до активного заражения и достижения конечных целей атаки. Именно ее стоит применять, чтобы остановить данный класс угрозы, в совокупности с процессами, компетентной командой и техническими средствами защиты.

Как узнать, что вы атакованы? Насколько я поняла из ноябрьской статьи на сайте SOCPrime, это становится ясно далеко не сразу.

— Узнать действительно непросто, кроме случаев, когда всё уже произошло – тогда узнать легко из заголовков прессы. Это, кстати, статистика мировая, только в 31% случаев компании сами узнают, что были взломаны. В двух из трех случаев о взломе они либо читают во внешних источниках, либо узнают, когда к ним обращаются с запросом соответствующие органы.

Чтобы выявить атаку на раннем этапе и вовремя предотвратить последствия, необходим комплекс мер, описанных в матрице, упомянутой выше. На раннем этапе стоит проводить мониторинг подключений к Tor сети любыми доступными средствами (как входящие подключения, так и исходящие). Кстати, если у вас в компании есть система SIEM (Security Information & Event Management), а в Украине такие системы есть в более чем 45 коммерческих и государственных организациях, то по ссылке https://socprime.com/en/blackenergy-disrupt-matrix/ можно скачать открытый и бесплатный пакет «под ключ», который вам в онлайн режиме покажет, есть ли подключение на адреса коммандных серверов BlackEnergy, или нет. Ценность такого контента актуальна в короткий промежуток времени, потому мы и предоставляем его бесплатно всем желающим.

Если же у вас нет такого инструмента, то любой сетевой администратор может проверить журналы периметрового сетевого оборудования (firewall, proxy, router etc.) на наличие в них подключений к известным IP-адресам командных центров. Есть совпадение – значит, вами уже «управляют».

Все способы обнаружения публично мы не открываем по понятным причинам, но предоставляем компаниям в Украине – по запросу и бесплатно. А дальше всё по классике инцидент-менеджмента: локализируем зараженные системы, параллельно проверяем резервные копии, блокируем сетевые доступы и восстанавливаемся. При этом на каждом этапе необходимо собирать доказательства атаки для передачи в соответствующие службы.

Откуда осуществляются атаки? СБУ сообщила, что из РФ. Но можно ли это утверждать наверняка?

— Хороший вопрос. Мы систематизировали доступные нам «данные с полей» и всю общедоступную информацию, включая отчеты подразделения защиты критичной инфраструктуры (ICS) SANS Institute, отчеты iSight Partners, ESET и других, также  и данные от наших международных партнеров между двумя последними инцидентами в Украине (атака на медиа и энергетику) и опубликовали их анализ здесь.

Связь между инцидентами очевидна: используется одинаковый инструмент атаки (BlackEnergy 3) и одинаковая инфраструктура доставки и управления (6 командных центров). Кроме того, важным связующим звеном всех инцидентов с BlackEnergy за последние 2 года является использование «анонимной» сети Tor (ака Dark Net).

А теперь давайте задумаемся: будут ли спецслужбы любого государства использовать один и тот же инструмент атаки несколько лет подряд, даже учитывая факт того, что под каждую «цель» собирается новая модификация трояна, которую почти 2 недели не видят антивирусы?

При этом повторять почерк атаки: 6 командных центров в 2014 и опять 6 центров в 2015 (количество не изменилось, IP-адреса сменились), тот же вектор заражения (е-мейл)? Можно ли привязать атаку к конкретной стране если следы ведут в Tor?

Или же BlackEnergy уже стал массово доступным инструментом и собирается под конкретную операцию любым желающим, который готов заплатить достаточно биткоинов? 🙂

От себя добавлю: не стоит ждать, пока гром грянет, как в той поговорке, учитесь на ошибках других и защитите свою организацию и ее клиентов до того, как будет поздно. Повторюсь, методология и средства обнаружения доступны бесплатно всем желающим.

 

Беседовала пиар-менеджер Digital Future и руководитель проекта Thinking Investor Екатерина Гичан

Пред. След.