«Лаборатория Касперского» представила обширный отчет о ProjectSauron — сложнейшей таргетированной кампании. Помимо повышенной сложности наши эксперты отметили тот факт, что преступники явно извлекли уроки из опыта прошлых продвинутых угроз, таких как Duqu, Flame, The Equation. АРТ ProjectSauron является одной из опаснейших, противодействие ей станет стресс-тестом для стратегии информационной безопасности любой компании. Угрозу крайне трудно блокировать, как непросто выявить процесс компрометации или расследовать взлом. Это тем не менее возможно. В данной статье мы опишем подход к обеспечению безопасности, адекватный даже в отношении самых сложных угроз. Подробности о ProjectSauron доступны на Securelist.
Не пренебрегайте приметами: плохие новости
Для защиты от направленных атак требуется в первую очередь правильно выбранная стратегия безопасности. Лишь после нее настает черед программного обеспечения — современного набора инструментов, способного справляться даже с самыми сложными угрозами. Правильная стратегия всегда выстраивается на основании экспертных знаний, то есть опирается на навыки, профессионализм вендора защитных решений и собственный опыт. И специфика кампании ProjectSauron это подтверждает.
- Глубокое знание инфраструктуры жертв.
Очевидно, злоумышленники свое домашнее задание выполнили. Они были хорошо осведомлены об имеющейся у их жертв специализированной инфраструктуре шифрования (не названной в докладе из соображений конфиденциальности) и воспользовались этим. Очевидным ответом на это является необходимость выявления слабых мест собственной инфраструктуры до того, как о них пронюхают преступники.
- Вывод данных из физически изолированных систем.
ProjectSauron задействует метод вывода данных из физически изолированных систем посредством USB-накопителей, ранее использовавшийся в таких кампаниях, как The Equation и Regin. Системы, лишенные подключения к внешним сетям, используются для критически важных задач и заведомо являются привлекательными целями для злоумышленников. Такие системы должны оставаться защищенными во что бы то ни стало. Да, есть и чисто технические подходы к снижению рисков утечки, но для максимальной эффективности необходимо, чтобы безопасность ставилась во главу угла во всех процессах обмена данными, в том числе и при работе с внешними носителями.
- Уникальные ключевые вредоносные модули для каждой жертвы.
ProjectSauron отчасти лишена части «слабостей» предыдущих АРТ-кампаний, которые было относительно легко выявить благодаря общим особенностям или индикаторам компрометации. Новая кампания еще больше усложняет обнаружение активного взлома: злоумышленники использовали уникальную инфраструктуру для каждой цели.
Хорошие новости
Но несмотря на то, что такие угрозы, как ProjectSauron, заслуживают определения «наихудший сценарий», их все-таки можно идентифицировать, расследовать и нейтрализовать, если экспертные знания дополняются правильными защитными технологиями. Начнем с того, что специалисты «Лаборатории Касперского» обнаружили APT ProjectSauron благодаря Kaspersky Anti-Targeted Attack Platform. Это решение вышло в марте 2016 года, однако пилотные проекты с его использованием были развернуты у ряда наших клиентов еще с середины 2015 года. Kaspersky Anti-Targeted Attack Platform анализирует сетевой трафик (подключения к определенным хостам, объекты в сети и электронной почте и т.п.), обрабатывает данные и оповещает администратора о потенциально подозрительном поведении. Решение о предупреждении базируется на многих факторах и использует экспертные данные «Лаборатории Касперского», в том числе информацию о последних направленных атаках и их типичных особенностях поведения.
«Аномалии», обнаруженные нашим решением, позволяют исследовать атаку, собрать подробные данные об угрозе, а затем снизить риск проникновения для остальных клиентов. Независимо от сложности угрозы при атаке всегда есть точка начального заражения, динамика инфицирования и вывод данных. Следы этой деятельности выделяются на фоне общих процессов в корпоративных сетях, и их можно выявить с помощью надлежащих методов анализа.
Kaspersky Anti-Targeted Platform представляет собой техническое воплощение интеллектуального подхода. Но без упорной работы лучших в мире экспертов кибербезопасности успешные расследования невозможны. Для компаний важно знать, чем их атакуют (а не кто этим занимается), — это снижает риск повторного взлома в случае, если первичная точка входа по-прежнему не защищена. С первого квартала 2016 года нашим корпоративным клиентам мы предоставляем свои экспертные услуги в виде соответствующих сервисов. Новейшие данные по исследованиям действующих APT от наших специалистов доступны через подписку на Аналитические отчеты.
Заключение
В отличие от The Equation, ProjectSauron не использует изощренные уловки вроде заражения прошивок HDD. Это очевидно дорогостоящая атака, но средства вкладывались в основном не в изобретение чего-то сверхнового, а в «работу над ошибками», допущенными организаторами других APT-кампаний. Именно это делает ProjectSauron особенно опасной. К сожалению, нет никаких сомнений в том, что со временем и другие злоумышленники начнут перенимать те же методы. Однако решение есть: на примере Kaspersky Anti-Targeted Attack Platform мы знаем, что даже самые сложные угрозы можно обнаружить с помощью должного сочетания технологий и опыта.