У большинства людей отношение к APT-атакам примерно такое же, как к шпионажу: дело это, конечно, серьезное, но к нам, простым смертным, оно не имеет никакого отношения. У большинства из нас на телефонах не хранятся промышленные или государственные тайны, да и на компьютерах тоже нет засекреченной информации. Так что крупнокалиберным злоумышленникам мы просто не интересны, правда же?
В целом все примерно так и есть. Сложно представить себе ситуацию, когда простой человек оказывается жертвой целенаправленной атаки хакеров, за которыми стоят государственные структуры. Но есть другая проблема: случайно «попасть под раздачу» вполне реально.
Даниэль Креус (Daniel Creus) из Глобального центра исследования и анализа угроз «Лаборатории Касперского» (GReAT) недавно выступал с докладом на эту тему в Барселоне. В этой статье мы повторим основные моменты его речи и опишем три сценария, при которых самые обычные люди могут пострадать от APT-атаки.
Сценарий № 1: посещение зараженного сайта
В отличие от злоумышленников мелкого масштаба, APT-группировки располагают достаточными ресурсами для использования уязвимостей нулевого дня, включая и те, что делают возможными удаленные атаки типа watering hole («сайты-рассадники»).
Наделавшее в прошлом году немало шуму исследование Google Project Zero показало, что одна из таких групп использовала для заражения своих целей шпионским ПО целых 14 уязвимостей в пяти различных цепочках эксплойтов.
Часть этих уязвимостей использовали для удаленного заражения пользователей iOS, заходивших на определенные сайты политической тематики. Злоумышленники заражали всех посетителей без разбора, а это означает, что шпионское ПО оказалось на телефонах всех попавших на эти ресурсы пользователей iOS — даже если они не представляли интереса для организаторов атаки.
Разумеется, это была далеко не единственная APT-атака с использованием сайта-рассадника. Например, в ходе одной из кампаний по распространению зловреда NotPetya (также известного как ExPetr) в качестве одного из векторов атаки использовали зараженный государственный сайт. Когда пользователи посещали его, на их компьютеры загружался шифровальщик. На всякий случай напомним, что NotPetya в свое время нанес ущерб, оцениваемый в 10 миллиаррдов долларов.
Вот первая из проблем, связанных с APT-угрозами: вы можете не представлять интереса для атакующих, но достаточно просто зайти на скомпрометированный сайт или загрузить инфицированное приложение, чтобы подхватить заразу. Как результат, ваши данные попадут в чужие руки — или будут повреждены, как, например, при атаках шифровальщиков типа NotPetya.
Сценарий № 2: опасные игрушки в руках киберпреступников
APT-группировки нередко пытаются выведать секреты своих коллег. Они периодически взламывают друг друга и иногда организуют утечки похищенных инструментов. Мелкие и не столь продвинутые группировки находят этот инструментарий и используют для создания своего вредоносного ПО, которое в некоторых случаях выходит из-под контроля. К примеру, самый известный зловред последних лет, шифровальщик/вайпер WannaCry, создан на основе EternalBlue — эксплойта из арсенала Equation Group, утечку которого организовала группировка ShadowBrokers.
Многие другие угрозы, включая NotPetya/ExPetr, BadRabbit, EternalRocks и так далее, также использовали EternalBlue. В итоге утечка одного этого эксплойта породила несколько масштабных эпидемий и множество атак поменьше, которые суммарно привели к заражению сотен тысяч компьютеров и нарушили работу множества компаний и государственных учреждений по всему миру.
Итак, вторая проблема, которую несут простым людям APT: мощные инструменты атак, созданные такими группировками, не всегда остаются под контролем. В результате опасный инструментарий оказывается в руках обычных киберпреступников, которые не стесняются его использовать, и от этого страдает множество людей и организаций.
Сценарий № 3: утечка собранных данных
Как мы уже заметили выше, организаторы APT-атак не брезгуют похищением данных друг у друга. В некоторых случаях они публикуют не только инструментарий конкурентов, но и добытую с его помощью информацию. Именно так в открытом доступе оказались данные, собранные шпионским инструментом ZooPark.
Другой пример. За последние два года 13 поставщиков шпионского ПО либо подверглись взлому, либо сами оставили собранную их приложениями информацию на незащищенных общедоступных серверах. Утечки затрагивают также и более серьезных игроков. Так, несколько лет назад жертвами взлома стали создатели шпионской программы FinFisher, а также группировка Hacking Team, занимавшаяся разработкой инструментов для слежки.
Вот и третья проблема: допустим, APT-атаки не направлены против обычных пользователей и собранная о них информация не используется против них, а просто хранится. Но вполне может случиться так, что эти данные утекут в открытый доступ. И тогда злоумышленники поменьше охотно воспользуются ими для извлечения личных данных пользователей — от номеров кредиток и сканов важных документов до компрометирующих фотографий.
Как обезопасить себя от APT-атак
Хотя APT-атаки устроены значительно сложнее, чем обычное вредоносное ПО, стандартные методы защиты помогут обезопасить устройства и данные — особенно в том случае, если атака не нацелена на вас лично.
- Отключите установку приложений из сторонних источников на смартфонах Android. Если вам нужно воспользоваться каким-то проверенным приложением не из Google Play, разрешите установку только для него и затем верните настройку обратно.
- Регулярно проверяйте разрешения приложений, установленных на устройстве, и отзывайте все допуски, которые, по вашему мнению, не требуются конкретной программе. Также нелишне будет перед установкой приложения проверить список используемых им разрешений — найти его можно в Google Play.
- Не посещайте сомнительные веб-сайты и не переходите по ссылкам из неизвестных или ненадежных источников. Незнакомцы вряд ли будут отправлять вам ссылки и приложения с благими намерениями. Некоторые APT-атаки способны заражать легитимные веб-сайты, но многие все еще полагаются на старый добрый фишинг.
- Используйте надежное защитное решение, проверяющее объекты при загрузке и установке и сканирующее все ссылки и архивы. Это ваш последний рубеж обороны: даже если злоумышленникам удастся усыпить вашу бдительность или воспользоваться эксплойтом, чтобы доставить зловред на устройство, такое решение защитит вас.