- 06.06.2026
- КОНВЕРТЕР ВАЛЮТ
- USD 2.8274
- EUR 3.2869
- RUB 3.8161
Подробный рассказ о реальной прямой атаке на инфраструктуру медиахолдинга StarLightMedia, на долю которого приходится 27—30 % телеаудитории Украины, представил директор по информационной безопасности этой компании Алексей Ясинский на конференции IDC Day Minsk 2016. Опыт соседей пригодится и белорусским фирмам.
Современная киберпреступность стала намного опаснее. Лет десять назад прямые хакерские атаки носили скорее демонстрационный характер. Даже причиняя большие убытки, атакующие редко преследовали прямую финансовую выгоду: важнее было продемонстрировать свои умения. Сейчас же атаки приобрели все признаки организованной преступности. Действуют сплоченные команды с разделением обязанностей, сформирован черный рынок «услуг», а цели атак стали прагматичными: получение денег от жертвы или от заказчика.
Сложная структура современных атак требует соответствующей методики расследования. Сегодня для анализа используется схема, получившая название Cyber Kill Chain. Ее разработали специалисты американской авиастроительной компании Lockheed Martin после успешной атаки на их серверы. Понятие Kill Chain пришло из военного дела, это последовательность действий пилота при нападении на цель. Хакерские атаки также представляются в виде цепочки типичных действий.
Необходимо отметить, что бóльшую часть действий хакеров система безопасности жертвы не замечает. Продолжительность каждого этапа может варьироваться в широких пределах. На предварительные стадии может уйти много месяцев (в среднем 180—200 дней), а длительность самой атаки исчисляется минутами. Поэтому важно долго хранить лог-файлы файерволов и других систем, связанных с обеспечением безопасности. Именно автоматизированный анализ этих логов с последовательным выявлением маркеров аномальных действий и позволил специалистам StarLightMedia восстановить последовательность событий.
Первый этап атаки — разведка. Злоумышленники собирают открытую информацию о компании, изучают сайт, анализируют доступные документы, использованные в них теги, выявляют авторов, иногда учетные записи пользователей.
За пять месяцев до атаки на StarLightMedia был временно перехвачен контроль над одним из YouTube-каналов медиахолдинга. Уязвимостью стал хранившийся на корпоративном компьютере Excel-файл с паролями к YouTube-каналам. Прямого ущерба злоумышленники не нанесли, контроль над каналом был восстановлен, и инциденту не придали большого значения. Предполагается, что это была демонстрация злоумышленниками своих возможностей и доказательство присутствия в информационной системе жертвы, сделанное специально для заказчика атаки.
Второй этап (он также скрыт от службы безопасности) — выбор оружия, средств нападения. Изучаются информационная инфраструктура организации, версии используемого программного обеспечения, выявляются их уязвимости, подбираются программы-эксплойты, позволяющие ими воспользоваться.
Третий этап — заражение, доставка вредоносного кода в атакуемую систему. Для этого могут использоваться различные способы — от отправки зараженного письма по электронной почте до разбрасывания флешек с кодом на автостоянке организации.
В случае со StarLightMedia ставка была сделана на электронные письма. Данные предварительной разведки позволили их персонализировать: послания приходили к конкретным сотрудникам и выглядели как официальная переписка с вложением.
Атаки повторялись и модифицировались. Например, письмо маскировалось под судебное уведомление. Цель ясна: такое письмо, скорее всего, перешлют юристам компании, которые и откроют вложение. Разумеется, доверия к письму, пришедшему от сотрудника той же фирмы, будет куда больше.
Другими целями атаки стали журналисты, письма к которым содержали инфоповоды, а также бухгалтеры, сотрудники HR-подразделения, которым по долгу службы необходимо постоянно просматривать большое количество писем с вложениями.
Впоследствии анализ посланий выявил маркеры: код писем предусматривал обращение к турецкому серверу, которым явно не стали бы пользоваться украинские официальные органы. Кроме того, там содержался уникальный идентификатор получателя, который позволял злоумышленникам понять, какое из отправленных посланий сработало.
Следующие этапы — запуск вредоносных программ, получение доступа к системе и установка основного и резервного каналов связи, позволяющих постоянно держать под контролем атакованную систему.
Специалисты отметили высокий уровень команды хакеров, которая отвечала за доставку и сборку вредоносного кода (всего в атаке на StarLightMedia принимали участие до пяти групп хакеров разной специализации и уровня подготовки). Этот код поступал в систему по различным каналам, а потом буквально по кусочкам собирался уже внутри периметра безопасности. Применялось искажение кода (пермутация), затрудняющее его выявление антивирусами, а также различные приемы обхода «песочниц» — модулей антивирусов, предназначенных для выявления подозрительных отложенных действий.
Непосредственное внедрение прошло с использованием «дыры» операционной системы Windows, позволяющей получить полномочия, необходимые для установки уязвимых драйверов и вредоносных программ. От первого проникновения хакеров эту атаку отделяло шесть месяцев, а сама она длилась 14 минут.
Последний этап — целевое действие, ради которого была задумана атака. Планировалось полное уничтожение данных на серверах и компьютерах сотрудников медиахолдинга. Файлы и служебные разделы дисков должны были заполняться нулями, что исключало бы возможность последующего восстановления данных.
Видимые признаки атаки проявились на выходных, за час до полуночи, когда работали только журналисты, готовившие утренние выпуски новостей. Перестал отвечать один из контроллеров домена, затем из строя вышел второй сервер. В этом и заключалась ошибка атакующих: контроллер был выведен из строя слишком рано, вирус на рабочих станциях не смог соединиться с управляющим центром и скачать вредоносный код. В результате были уничтожены данные только на небольшой части компьютеров, успевших связаться с контроллерами домена до их выхода из строя, а не на всей технике организации. Если бы не это обстоятельство, ущерб был бы катастрофическим.
Расследование заняло несколько месяцев напряженного труда. Оставленные злоумышленниками следы позволили восстановить последовательность событий, однако исполнители и заказчики атаки так и не были найдены.
Выводы, сделанные службой безопасности StarLightMedia, носят универсальный характер. Главный из них в том, что проникновение в информационную систему публичной организации остановить невозможно: слишком много пригодных для этого каналов. Кроме того, непосредственно атака — это уже, образно говоря, летящая пуля, развязка, которой предшествовала длительная незаметная активность злоумышленников. Результаты такой активности отменить уже нельзя.
Следовательно, служба безопасности должна акцентировать внимание на профилактике, выявлении и сокращении времени присутствия хакеров в системе. Методы профилактики — информирование, тренинги и обучение персонала организации. Наиболее эффективным способом сокращения времени активности злоумышленников является постоянный мониторинг любой аномальной активности в системе. Однако для того чтобы он был по-настоящему действенным, информационные процессы внутри фирмы должны быть выстроены идеально. Такие выводы актуальны и для большинства белорусских организаций.
