Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Аналитика
  • Взломать любой ценой: сколько может стоить APT

Взломать любой ценой: сколько может стоить APT

Дата публикации 21 мая 2019
  • Кибергруппировки/APT-report

Содержание

  • Введение
  • Резюме
  • Об исследовании
  • Инструменты АPТ
    • На этапе проникновения
    • В ходе развития атаки
  • Сколько может стоить APT
  • Выводы и рекомендации

Введение

Активы перспективных коммерческих компаний и государственных структур всегда были и будут привлекательной целью для злоумышленников. Крупные организации, как правило, понимают это и выделяют немало ресурсов на обеспечение информационной безопасности. Так, по результатам нашего исследования, бюджет на ИБ в ряде государственных учреждений достигает 800 млн рублей в год, а по прогнозам Gartner, общемировые затраты на информационную безопасность в 2019 году достигнут отметки в 124 млрд долл. США. Но злоумышленники редко оставляют надежду атаковать выбранную цель даже в случае неудачных попыток. По статистике FireEye, 64% исследованных в 2018 году компаний, которые однажды подверглись атаке, были атакованы повторно в течение 19 месяцев.

Кибератака на компанию с хорошо организованной системой защиты требует специальных знаний и инструментов, а также больших финансовых и временных затрат. Многоэтапные, тщательно спланированные и организованные кибератаки, направленные на отдельную отрасль или конкретные, как правило крупные, компании, называют advanced persistent threats (APT). Для проведения таких атак киберпреступники объединяются в преступные группы, которые принято называть APT-группировками.

Обнаружить АРТ в момент ее проведения крайне сложно. А закрепившись в инфраструктуре, группировка может оставаться незамеченной в системе годами. К примеру, в компании Bayer специалисты по кибербезопасности наблюдали активность вредоносного ПО в течение года. Самое длительное время присутствия злоумышленников в системе, зафиксированное специалистами экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC), составляет более 8 лет. В то же время, если речь идет о финансово мотивированных атаках, киберпреступная группа предпочитает действовать быстро. Так, всего за три дня APT-группировка Lazarus вывела со счета банка Cosmos Bank около 13,5 млн долл. США. Другими словами, цель кибератаки может диктовать модель поведения преступников, техники, которыми они будут пользоваться, и инструменты, которые станут применять.

В данном исследовании мы постараемся оценить, сколько стоят инструменты, которые используются сегодня для APT, и как легко их достать. Кроме того, мы выясним, как именно цель атаки влияет на используемые инструменты. Возможно, выводы, сделанные в данном отчете, помогут специалистам по ИБ сфокусировать свое внимание на защите ключевых систем с учетом специфики атак на компании именно их отрасли.

Резюме

Расчет точной стоимости APT не представляется возможным по ряду причин, в частности из-за сложной оценки стоимости уникального ПО из арсенала группировки. Все приведенные в данном отчете суммы являются оценочными, реальные затраты на APT могут быть существенно выше

  • Фишинговые рассылки — эффективный способ проникновения во внутреннюю сеть компании, сегодня к нему прибегают 90% APT-группировок. Общая стоимость инструментов для создания вредоносных вложений без учета стоимости эксплойтов для уязвимостей нулевого дня составляет порядка 2 тыс. долл. США.
  • Каждая вторая действующая APT-группировка после проникновения во внутреннюю сеть использует легитимные инструменты для администрирования и коммерческие инструменты для тестов на проникновение, цена на которые варьируется от 8 до 40 тыс. долл. США.
  • Набор инструментов для проведения атаки, направленной на кражу денег из банка, по нашим примерным подсчетам, может стоить от 55 тыс. долл. США. Кибершпионская кампания обходится на порядок дороже, ее минимальный бюджет составляет 500 тыс. долл. США.

Об исследовании

В данном исследовании мы проанализировали инструменты 29 APT-группировок, которые действуют в различных странах мира, наиболее активны на протяжении последних двух лет и представляют угрозу для ключевых отраслей — государственного сектора, кредитно-финансовых организаций и промышленности.

Данные для анализа основаны на результатах наших расследований киберинцидентов и работ по ретроспективному анализу событий безопасности в инфраструктуре компаний, а также на результатах постоянного отслеживания активности действующих сегодня APT-группировок экспертами PT ESC. Кроме того, дополнительно использовалась информация из общедоступных отчетов о деятельности APT-группировок, подготовленных ведущими компаниями в области ИБ.

Мы выделили две основные категории группировок в зависимости от мотива атак — финансово мотивированные (атакующие банки и другие организации с целью кражи денег) и шпионские (атакующие с целью получения ценных сведений и долгосрочного контроля над инфраструктурой).

Инструменты для проникновения в локальную сеть компании отличаются от инструментов, которые используются на последующих этапах в ходе развития атаки. В то же время на стадиях закрепления и дальнейшего перемещения набор инструментов схож. Таким образом, для целей исследования мы разделили инструменты APT на две группы:

  • для проникновения в локальную сеть,
  • для дальнейшего развития атаки во внутренней сети.

Мы проанализировали публикации на 190 площадках в дарквебе, где представлены предложения по покупке и продаже некоторых инструментов, используемых в APT, а также объявления о заказной разработке вредоносного ПО. В числе исследованных теневых ресурсов форумы, специализированные маркетплейсы и чаты преимущественно с русско- и англоговорящей аудиторией. Средняя общая посещаемость исследованных ресурсов дарквеба составляет более 70 млн человек в месяц.

Инструменты АPТ

На этапе проникновения

57% региональных компаний в 2018 году столкнулись с фишингом в адрес сотрудников

Финансовые затраты на этапе проникновения определяются выбранным способом доставки вредоносного ПО в инфраструктуру компании, а выбор способа зависит от мотивов преступников и степени защищенности потенциальной жертвы.

Главным инструментом финансово мотивированных злоумышленников является фишинг. Для фишинговой рассылки злоумышленнику необходимо подготовить документ, содержащий вредоносное ПО, и лоадер (дроппер).

Фишинг — основной способ проникновения в инфраструктуру компании

Документы, содержащие вредоносный код, могут создаваться с помощью специальных программ — эксплойт-билдеров. Они позволяют сформировать файл, при открытии которого будет выполняться вредоносный код. Задачей этого кода является загрузка и запуск лоадера — небольшой программы, которая подгружает на компьютер основной модуль вредоносного ПО. Лоадер, как правило, применяется единожды, так как последующие запуски даже обфусцированного лоадера могут быть обнаружены антивирусными средствами.

90% актуальных на сегодня группировок используют фишинг на этапе проникновения

Примеры группировок: Cobalt, APT29, Lazarus

Рисунок 1. Упрощенная схема подготовки и доставки вредоносного ПО в локальную сеть с помощью фишинга
Рисунок 1. Упрощенная схема подготовки и доставки вредоносного ПО в локальную сеть с помощью фишинга

На стоимость инструментов для создания вредоносных документов непосредственно влияет способность зловредов оставаться незамеченными для антивирусов. К примеру, разработчик сервиса Supremacy обещает, что вредоносный файл не будет детектироваться средствами защиты в течение 2–3 недель, и предлагает покупателям услугу регулярной «очистки» кода, чтобы минимизировать вероятность обнаружения для новых файлов.

2500 $ стоимость месячной подписки на сервис по созданию документов с вредоносным содержимым

Рисунок 2. Предложение услуг по созданию фишинговых рассылок
Рисунок 2. Предложение услуг по созданию фишинговых рассылок

От 300 $ стоимость инструмента для создания вредоносных файлов

Готовый лоадер можно приобрести всего за 25 долларов, а вот за исходный код придется заплатить уже от 1500 долларов, при этом на последующую доработку тоже понадобятся дополнительное время и деньги.

Рисунок 3. Объявление о продаже готовых лоадеров
Рисунок 3. Объявление о продаже готовых лоадеров

От 1500 $ стоимость исходного кода лоадера

Рисунок 4. Продажа исходного кода лоадера
Рисунок 4. Продажа исходного кода лоадера
Рисунок 5. Объявление о продаже эксплойт-билдеров
Рисунок 5. Объявление о продаже эксплойт-билдеров
Рисунок 6. Продажа исходного кода лоадера DEEPSEA
Рисунок 6. Продажа исходного кода лоадера DEEPSEA

Рассылку фишинговых писем активно эксплуатирует группировка Cobalt. Эта группа постоянно совершенствует свои техники и использует актуальные уязвимости. В 2017 году группировка Cobalt получила эксплойт-билдер для уязвимости CVE2017-0199, который на тот момент продавался за 10 тыс. долларов. Сейчас цены на эксплойт-билдеры для этой уязвимости уже намного ниже и их можно приобрести всего за 400 долларов.

10 000 $ стоимость эксплойт-билдера, который использовала группировка Cobalt

Рисунок 7. Объявление о продаже эксплойт-билдера для CVE-2017-0199 в мае 2017 года
Рисунок 7. Объявление о продаже эксплойт-билдера для CVE-2017-0199 в мае 2017 года
Рисунок 8. Актуальные цены на эксплойты для уязвимостей 2017 года
Рисунок 8. Актуальные цены на эксплойты для уязвимостей 2017 года

Топ-5 уязвимостей, эксплуатируемых APT-группировками в 2018 году: CVE-2017-0199, CVE-2017-11882, CVE-2018-0802, CVE-2016-7255, CVE-2018-8174

Финансово мотивированная группировка Silence также использует фишинг в качестве инструмента для проникновения, эксплуатируя ряд уязвимостей, в частности CVE-2018-0802, CVE-2018-8174. Цена за набор эксплойтов для этих уязвимостей на теневом рынке киберуслуг начинается от 1600 долларов.

Преступникам, действующим из финансовых побуждений, важен быстрый результат (обычно время с момента рассылки писем до вывода денег составляет от недели до месяца), поэтому они охотно покупают готовые инструменты и проводят массовые фишинговые рассылки.

Как и в случае с финансово мотивированными атаками, шпионские APT чаще всего начинаются с фишинговых писем. Однако если фишинг злоумышленников, которые хотят украсть деньги, может быть направлен на отрасль в целом, то кибершпионы действуют точечно и наверняка, тщательно готовятся. Например, шпионская группировка SongXY, деятельность которой расследовали специалисты PT ESC, во время очередной попытки проникновения рассылала документ со ссылкой на изображение, размещенное на контрольном сервере. Ссылка срабатывала автоматически при открытии документа. Это позволяло хакерам собирать дополнительную информацию о конфигурации серверов, в том числе о версии Microsoft Office, и подбирать вредоносный документ с необходимым для компрометации системы эксплойтом.

Эксплойт-билдеры и лоадеры, которые используют кибершпионы, не продаются в дарквебе. Даже примерно оценить, сколько могли бы стоит такие инструменты, крайне сложно. Можно лишь сравнить их стоимость с расценками на заказную разработку в дарквебе. По нашим данным, за разработку одного уникального инструмента в соответствии с требованиями заказчика на теневых форумах злоумышленники готовы платить 20 тыс. долларов и более.

14% группировок используют watering hole на этапе проникновения

Стоимость: от 10 000 $

Примеры группировок: APT29, APT35, TEMP.Periscope, DarkHydrus

Шпионские APT-группировки могут готовить вредоносные письма и вручную, для них важно, чтобы вредоносный код не был обнаружен ни одной системой безопасности, при этом в первую очередь отрабатывается обход именно тех средств защиты, которые используются в целевой организации. О том, какие средства входят в систему защиты жертвы, злоумышленники могут узнать заранее, на этапе разведки. Текст и стилизация электронных рассылок шпионских группировок хорошо продуманы, поэтому шансы на то, что жертва откроет вредоносное вложение, высокие.

Чтобы максимально увеличить вероятность успеха фишинговой рассылки, кибершпионские APT-группировки могут взламывать компании партнеров или подрядчиков целевой организации и рассылать письма от их имени. Весной 2019 года хакеры проникли в сеть IT-гиганта Wipro и рассылали от его имени фишинговые письма клиентам компании.

Иногда злоумышленники прибегают к другому типу атаки, который называется watering hole. В ходе этой атаки хакеры определяют веб-ресурсы, которые регулярно посещают сотрудники целевой компании, например это могут быть сайты партнеров или популярные веб-ресурсы определенной отраслевой тематики. Злоумышленники взламывают эти сайты с целью размещения на них вредоносного ПО. Дальнейшее посещение зараженных сайтов сотрудниками целевой компании может закончиться успешным проникновением злоумышленников во внутреннюю сеть.

Больше 1 млн $ могут стоить отдельные эксплойты для уязвимостей нулевого дня

Кибершпионские группировки обычно не считаются с затратами и могут использовать в атаках дорогостоящие эксплойты для уязвимостей нулевого дня, разрабатывать собственные инструменты, осуществлять атаку в несколько этапов, подбираясь к цели через цепочку сторонних организаций.

Рисунок 9. Спрос на услугу по взлому сайта на теневом рынке
Рисунок 9. Спрос на услугу по взлому сайта на теневом рынке
Рисунок 10. Цены, которые готовы платить злоумышленники за уязвимости нулевого дня
Рисунок 10. Цены, которые готовы платить злоумышленники за уязвимости нулевого дня

В ходе развития атаки

Развитие атаки внутри инфраструктуры компании состоит из множества шагов: выполнение кода на отдельных узлах, повышение привилегий, сбор данных, перемещение между узлами, создание каналов для связи с командным центром. По большей части наборы инструментов различных APT-группировок для развития атаки во внутренней сети схожи. И финансово ориентированные злоумышленники, и шпионские группы отдают предпочтение общедоступному легитимному ПО, прибегая к собственным разработкам или покупке утилит на форумах в дарквебе лишь при необходимости.

48% действующих сегодня APT-группировок используют инструменты для тестирования на проникновение

Cobalt Strike и Metasploit Framework Pro — коммерческое ПО, предназначенное для проведения тестов на проникновение. Однако, кроме специалистов по анализу защищенности, данные инструменты стали использовать и хакеры. Как отмечали специалисты ФинЦЕРТ Банка России, использование инструментов, предназначенных для тестов на проникновение, в финансово мотивированных атаках — тренд 2018 года, который распространяется и на 2019 год. Популярность таких инструментов среди хакеров объясняется их удобством, ведь они обладают практически всеми нужными возможностями для проведения атак и, кроме того, регулярно обновляются.

Разработчики Cobalt Strike понимают, что их продукт может использоваться в злонамеренных целях, поэтому проводят строгие проверки компаний — потенциальных заказчиков. Хакеры знают об этом, и периодически на теневых форумах появляется спрос на взломанные или нелегально добытые официальные версии Cobalt Strike.

Cobalt Strike

Официальная цена на момент проведения исследования — 3500 $ в год

Нелегальные продажи: 30 000—40 000 $

Группировки: APT10, APT29, APT32, APT40, Cobalt, DarkHydrus, Winnti

Рисунок 11. Спрос на Cobalt Strike на теневом рынке
Рисунок 11. Спрос на Cobalt Strike на теневом рынке

Metasploit Pro также можно приобрести в дарквебе. На разных площадках представлены не только взломанные оригинальные версии фреймворка, но и модифицированные варианты, в которые добавлены дополнительные функции.

Metasploit Pro

Официальная цена на момент проведения исследования — 15 000 $ в год

Модифицированная версия с годовой техподдержкой: 8000—15 000 $

Группировки: APT35, Carbanak, Patchwork, Silence, TreasureHunter

Рисунок 12. Объявление о продаже доработанных версий Metasploit Pro
Рисунок 12. Объявление о продаже доработанных версий Metasploit Pro

После проникновения в инфраструктуру финансово мотивированные киберпреступники стараются быстро обнаружить ключевые узлы, например компьютер оператора, который работает с денежными потоками. В банке это может быть АРМ КБР, в коммерческой компании — рабочее место бухгалтера. Для их поиска злоумышленники могут воспользоваться бесплатными утилитами, такими как nmap или nbtscan, но существуют и более удобные коммерческие программы, например группа Cobalt применяла ПО SoftPerfect Network Scanner, официальная стоимость которого составляет 3000 долл. США. Сети крупных организаций сложны и насчитывают огромное количество серверов и рабочих станций, поэтому преступникам важно иметь инструменты, которые позволят легко в подобной сети ориентироваться.

TeamViewer

Легитимный инструмент для удаленного администрирования. Модификация незаметна в работе и имеет ряд дополнительных функций, например встроенный кейлоггер

Стоимость в дарквебе: 100 $

Группировки: Carbanak, Cobalt

После того как злоумышленники сумели добраться до ключевых узлов, перед ними стоит новая задача — понять принципы работы специализированных банковских программ, а также изучить процессы осуществления операций и их подтверждения. (Если, конечно, преступники заранее обо всем этом не осведомлены.) Принцип работы с АРМ КБР в банках регламентирован, но в коммерческих компаниях могут использоваться одновременно несколько различных банк-клиентов для работы с разными банками. Поэтому хакерам могут понадобиться инструменты, которые позволяют видеть рабочий стол зараженной машины, следить за действиями оператора в реальном времени, делать видеозаписи и скриншоты, при этом сотрудник не должен догадаться, что за ним наблюдают. К такому ПО относятся hVNC, модифицированные версии TeamViewer, RMS, Ammyy Admin и т. п.

Hidden VNC

Модификация легитимной утилиты VNC, позволяет удаленно подключаться к рабочей станции пользователя и незаметно выполнять команды

Стоимость в дарквебе — 1000 $ в месяц

Используется группировкой Carbanak

Рисунок 13. Объявление о продаже hidden VNC
Рисунок 13. Объявление о продаже hidden VNC

От 400 $ стоимость готового банковского бота в дарквебе в базовой комплектации (загрузка и исполнение произвольных файлов)

1750 $ стоимость банковского бота Smoke Bot с полным набором модулей

Рисунок 14. Объявления о продаже банковского бота Smoke Bot
Рисунок 14. Объявления о продаже банковского бота Smoke Bot

Sysinternals Suite

Легитимный набор утилит для администрирования

Утилиты, наиболее часто используемые хакерами: PsExec, ProcDump, PsList, SDelete

Примеры группировок: APT29, Leafminer, OilRig

После удачного проникновения во внутреннюю сеть кибершпионы, как и финансово мотивированные киберпреступники, нацелены на закрепление и поиск ключевых узлов. Их интересуют рабочие станции и серверы, на которых хранится и обрабатывается ценная информация — коммерческая тайна или интеллектуальная собственность, а также компьютеры высшего руководства и других ключевых лиц организации или серверы, с которых есть доступ к промышленным сетям с оборудованием АСУ ТП. Прежде чем приступить непосредственно к сбору ценной информации, кибершпионы изучают бизнес-процессы компании. Чтобы не привлекать внимание и не вызывать подозрений, они предпочитают использовать легитимные утилиты администрирования. Например, 48% исследованных нами APT-группировок применяют утилиты из бесплатного набора Sysinternals Suite компании Microsoft.

Важным шагом является повышение привилегий в ОС. На теневых форумах продаются эксплойты для повышения привилегий в ОС путем эксплуатации известных уязвимостей или уязвимостей нулевого дня.

10 000 $ стоимость эксплойта для повышения привилегий в ОС

Рисунок 15. Продажа эксплойтов для повышения привилегий
Рисунок 15. Продажа эксплойтов для повышения привилегий

Эксплуатация уязвимостей нулевого дня — характерная черта шпионских группировок, она гарантирует им успешность атаки. Например, группировка TEMP.Reaper использовала уязвимость нулевого дня в Adobe Flash. В настоящий момент брешь имеет идентификатор CVE-2018-4878, а ПО для ее эксплуатации находится в свободном доступе. Еще одна уязвимость нулевого дня (CVE-2018-15982) в Adobe Flash эксплуатировалась в ходе кибершпионской APT на российскую государственную поликлинику. Сложно оценить стоимость эксплойта на тот момент, когда об уязвимости еще не было известно. Но мы отмечаем, что стоимость эксплойта для уязвимости нулевого дня в Adobe Acrobat на рынке в дарквебе довольно высокая.

130 000 $ стоимость эксплойта для уязвимости нулевого дня в Adobe Acrobat

Рисунок 16. Объявление о продаже уязвимостей нулевого дня
Рисунок 16. Объявление о продаже уязвимостей нулевого дня

1,6 млн $ стоимость шпионского фреймворка FinSpy

Уязвимости нулевого дня могут использоваться злоумышленниками для доставки шпионских троянов. Например, в APT с использованием уязвимостей нулевого дня в Adobe Flash Player (CVE-2017-11292) и Microsoft .NET Framework (CVE-2017- 8759) доставлялось ПО FinSpy. Фреймворк FinSpy (также известен под названием FinFisher) — шпионское ПО с возможностью слежки через веб-камеру и микрофон, перехвата сообщений в мессенджерах и почтовом ящике, а также кражи паролей и других чувствительных данных. В настоящее время этот троян использует шпионская APT-группировка SandCat. Кроме широких возможностей для кибершпионажа, FinSpy имеет множество механизмов антианализа (обфускация кода, предотвращение запуска в виртуальной машине и др.), что, с одной стороны, затрудняет его обнаружение, и с другой стороны — влияет на стоимость ПО, которая достигает почти полутора миллионов евро.

Для того чтобы обойти механизмы защиты на узлах сети, используются разные техники. К примеру, преступники подписывают вредоносный код с помощью сертификатов, чтобы выдать его за легитимный. Готовые сертификаты также можно найти на специализированных форумах.

1700 $ стоимость расширенной версии сертификата для подписи кода

Рисунок 17. Реклама услуг по подписи ВПО легитимными сертификатами
Рисунок 17. Реклама услуг по подписи ВПО легитимными сертификатами

Если злоумышленникам требуется доступ в сегменты сети, которые находятся под особой защитой, например в технологические сети, они могут применять инструменты собственной разработки. В рамках вредоносной кампании TRITON, направленной против промышленных предприятий, атакующие применяли собственные средства, в частности программы SecHack для сбора учетных данных и NetExec для продвижения по сети.

Таким образом, стоимость набора инструментов на этапе закрепления и горизонтального перемещения для финансово мотивированной группировки может достигать 30–35 тыс. долл. США. Здесь стоит отметить, что такие затраты группировка несет разово, приобретая готовый комплект ПО, но затем группировка использует один и тот же набор для множества последующих атак, поэтому каждая отдельная атака обходится значительно дешевле.

За эксплойт для одной уязвимости нулевого дня придется заплатить несколько десятков или сотен тысяч долларов. Высокая цена на такие эксплойты не останавливает кибершпионов. Помимо покупки эксплойтов, кибершпионы располагают средствами и для разработки собственного уникального ПО, которое способно обходить антивирусы, выявлять запуск в «песочнице» и т. п. Эти обстоятельства существенно затрудняют обнаружение преступников в инфраструктуре и требуют от атакуемых организаций особых мер и средств для защиты ценной информации; невозможно, в частности, эффективно защититься без высококвалифицированного персонала security operations center, работающего в режиме 24/7.

Сколько может стоить APT

При подсчете стоимости APT необходимо учитывать не только цену на инструменты для ее проведения, но также множество операционных расходов (аренду серверов, покупку доменного имени, хостинг сайтов, оплату VPN-сервисов и др.). По нашим оценкам, такие расходы составляют порядка тысячи долларов, что существенно меньше стоимости инструментов для атаки. Далее мы дадим экспертную оценку основных затрат киберпреступников на примере нескольких APT. Выводы основаны на стоимости аналогичных услуг и ПО, которые предлагаются на теневых площадках в дарквебе.

Silenc

 288 000 $ средний ущерб от успешной атаки

55 000 $ стоимость набора инструментов

В начале 2019 года было зафиксировано возобновление активных действий со стороны финансово мотивированной группировки Silence. Попробуем разобраться, сколько могла бы стоить атака этой группировки. Как мы отмечали ранее, месячная подписка на сервис по созданию вредоносных вложений обошлась бы группировке в среднем в 2,5 тыс. долл. США. В ходе атак группировка Silence использует как общедоступное ПО из состава Sysinternals Suite, так и ряд уникальных самописных инструментов; в их числе фреймворк Silence, набор для кражи денег из банкоматов Atmosphere и ряд других. К слову, по результатам нашего отдельного исследования рынка преступных киберуслуг, средняя стоимость готового ВПО для банкоматов составляет около 5 тысяч долларов, и это самый дорогой тип вредоносного ПО в дарквебе. Проанализировав теневой рынок киберуслуг, мы пришли к выводу, что стартовая цена набора инструментов финансово мотивированной APT-группировки (такой как Silence) может составить 55 000 долл. США.

В июле 2018 года стало известно об атаке на ПИР Банк, в результате которой финансовая организация потеряла 58 млн рублей. Посчитаем, во сколько могла обойтись подобная атака злоумышленникам. На этапе проникновения преступники использовали фишинговые письма. В их арсенале было собственное ПО, однако во время продвижения по сети они также активно использовали Metasploit Pro и утилиты из пакета Sysinternals Suite. Для наблюдения за сотрудниками банка они применяли инструменты собственной разработки и легитимную утилиту NirCmd. По нашим подсчетам, стоимость такого набора инструментов составляет не менее 66 000 долл. США.

Атака на ПИР Банк

930 000 $ ущерб от атаки

66 000 $ стоимость набора инструментов

В случае ПИР Банка денежные средства были выведены через карты физических лиц в 22 банках, причем большая часть похищенных средств обналичена в ночь проведения самой атаки. Для вывода и обналичивания денег киберпреступники обычно прибегают к услугам лиц, предоставляющих соответствующие схемы. Общая стоимость таких услуг, включая вознаграждение всем участникам преступной схемы по снятию денег, составляет от 15% до 50% от суммы похищенных средств, а значит, группировке пришлось заплатить от 140 до 465 тыс. долларов за обналичивание украденных денег.

Рисунок 18. Предложение нелегальных услуг по обналичиванию денег
Рисунок 18. Предложение нелегальных услуг по обналичиванию денег

Стоимость шпионской атаки оценить уже сложнее. Во-первых, за уязвимости нулевого дня на теневых форумах организаторы могут заплатить как десятки тысяч, так и миллионы долларов. Во-вторых, оценку усложняет использование самописного ПО, уникального для каждой группировки. История разработки такого ПО неизвестна, нет информации о том, сколько человек и в течение какого времени работали над его созданием, а следовательно, нет возможности оценить точную стоимость его разработки. Поэтому при подсчетах мы будем ориентироваться на минимальную стоимость заказной разработки ПО в дарквебе, чтобы получить представление о нижней границе цены.

APT38

41 000 000 $ средний ущерб от успешной атаки

От 500 000 $ стоимость одной атаки

В действиях еще одной финансово мотивированной группировки — APT38 — специалисты FireEye отмечают сходства с кибершпионскими кампаниями, в частности использование общих инструментов со шпионской группировкой TEMP.Hermit. На этапе проникновения группа применяет атаки типа watering hole, а среднее время присутствия в инфраструктуре жертвы составляет 155 дней, что в целом нехарактерно для атак, целью которых является кража денежных средств. Кроме того, в арсенале APT38 насчитывается 26 уникальных семейств вредоносного ПО, разработанных членами группировки. Примерная стоимость разработки такого набора инструментов, по нашей оценке, превышает 0,5 млн долларов.

В 2018 году эксперты PT ESC обнаружили APT-группировку TaskMasters, деятельность которой направлена главным образом на шпионаж в государственных организациях и промышленной сфере. Преступники имели доступ к различным важным сведениям: новым разработкам, договорам, финансовой отчетности и т. п. В подобных случаях ущерб для государства или отрасли промышленности колоссален, но его трудно измерить финансово. Примечательно, что в одной из компаний группировка оставалась незамеченной в инфраструктуре в течение 8 лет.

TaskMasters

От 300 000 $ стоимость одной атаки после проникновения в инфраструктуру

Вероятнее всего, для проникновения в инфраструктуру преступники используют схему supply chain attack. Находясь внутри сети, участники группировки применяют как бесплатные общедоступные утилиты, например из наборов NirSoft и Sysinternals Suite, так и собственные разработки: специалисты PT ESC выявили 15 оригинальных утилит, которые использовались в атаках. По приблизительным оценкам, стоимость разработки инструментов для проведения атаки внутри сети составляет не менее 300 тысяч долларов.

Выводы и рекомендации

Исследование показало, что инструменты, используемые хакерами при проведении APT, могут зависеть от мотивов киберпреступников. Оценочная стоимость арсенала инструментов финансово мотивированных группировок составляет несколько десятков тысяч долларов, для кибершпионских APT эта сумма на порядок больше. В то же время ущерб от APT для организаций-жертв в разы превышает затраты группировки на проведение атаки. Таким образом, затраты на приобретение или разработку инструментов для APT окупаются после первых успешных атак.

Мы рекомендуем финансовым организациям активно участвовать в обмене информацией о кибератаках и индикаторах компрометации, который постоянно происходит в отрасли. Центры мониторинга и реагирования на инциденты (например, ФинЦЕРТ Банка России) помогают значительно снизить успешность кибератак на кредитно-финансовую сферу. Кроме того, необходимо быть готовым оперативно выявлять следы атак в своей инфраструктуре. Крайне важно постоянно отслеживать аномальную активность в сети своей компании, чтобы обнаруживать и исследовать новые неизвестные атаки, делиться такой информацией с другими финансовыми организациями.

Характерной чертой шпионских кампаний сегодня является использование ПО собственной разработки и эксплойтов для уязвимостей нулевого дня. Такие группировки готовы уделять значительное время разведке и подготовке уникальных инструментов для обхода конкретных систем защиты, ведь они атакуют конкретную цель, и любая ошибка может привести к провалу всей операции. Поэтому обнаружить атаку кибершпионов в момент проникновения в локальную сеть сегодня невозможно, крайне сложно сделать это и на этапе закрепления и распространения в инфраструктуре. Зачастую ситуация усугубляется неготовностью самой инфраструктуры атакованной организации к выявлению атак.

Надеяться на защиту отдельных серверов и рабочих станций с помощью типовых решений бесполезно. Сегодня важно понимать, насколько эффективны те системы, которые внедрены в компании для обеспечения безопасности ключевых активов. Преступники уже давно научились обходить антивирусы, «песочницы», системы обнаружения вторжений. Компаниям необходимо реализовать комплексный подход, позволяющий не только сузить круг возможностей нарушителя, но и обеспечить максимальное понимание происходящих в инфраструктуре событий безопасности в контексте системных журналов, трафика и объектов, циркулирующих в сети. Только при полном понимании происходящих в инфраструктуре событий возможно построение процесса threat hunting, который позволяет успешно выявлять действия APT-группировок уже внутри инфраструктуры.

Глубокий анализа трафика, ретроспективный анализ событий ИБ, профилирование действий пользователей и возможность исследования оперативной памяти, процессов и других форензик-артефактов позволяют значительно сократить время присутствия злоумышленников в инфраструктуре и предотвратить достижение поставленных ими целей. И конечно, средства защиты будут неэффективны против APT без поддержки высококвалифицированных специалистов в области расследования инцидентов.

Только понимание современных техник и тактик атакующих, знание используемых ими инструментов и готовность к выявлению наиболее часто применяемых методов атак с учетом специфики отрасли, целей и мотивов потенциального нарушителя позволят построить действительно эффективную защиту, обнаружить присутствие злоумышленника до того, как он достигнет своей цели, устранить угрозу и тем самым минимизировать ключевые риски компании.

Скачать PDF
Статьи по теме
  • 31 октября 2019 Calypso АРТ: изучаем новую группировку, атакующую госучреждения
  • 14 ноября 2019 APT-атаки на топливно-энергетический комплекс России: обзор тактик и техник
  • 1 августа 2017 Cobalt strikes back: новые атаки на финансовые организации
Поделиться:
Ссылка скопирована
Статьи по теме
1 августа 2017

Cobalt strikes back: новые атаки на финансовые организации

16 декабря 2016

Cobalt — новый тренд или старый знакомый?

13 мая 2019

Operation TaskMasters: Кибершпионаж в эпоху цифровой экономики

Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта