В феврале на Тенерифе состоялась восьмая ежегодная Международная конференция по кибербезопасности — Security Analyst Summit 2016. Само мероприятие проводит «Лаборатория Касперского», но среди его cпонсоров на этот раз были Microsoft, Adobe, BlackBerry, Salesforce и многие другие компании. Представители «Лаборатории Касперского» всегда подчеркивают, что SAS — это не партнерское мероприятие, а одна из крупнейших индустриальных конференций в области информационной безопасности, в которой участвуют все — партнеры, конкуренты, независимые эксперты и правоохранительные органы.
.jpg)
В этот раз на SAS выступили 85 спикеров из более чем 50 организаций. Всего же на Тенерифе приехали 330 участников из 30 стран. Среди желающих послушать выступающих, посетить мастер-классы и пообщаться с экспертами в области кибербезопасности были представители Apple, Google, Adobe, Blackberry, Microsoft, Salesforce, General Dynamics, Fidelis и др.
Что такое Security Analyst Summit
Большая часть участников SAS — хакеры (не те, о которых вы подумали), вирусные аналитики, эксперты в области кибербезопасности. Разумеется, были представители и крупного бизнеса, и правоохранительных органов.
.jpg) |
| Открытие SAS вызвало очень заметный интерес среди экспертов |
Сами выступления можно разделить на две условные группы. П ервая — наверное, самая яркая — описание новых киберугроз, раскрытие ранее неизвестных хакерских группировок, рассказы о самых интересных кейсах в области информационной безопасности. Вторая — визионерство, анализ трендов, попытки систематизировать актуальные и будущие угрозы, обсуждение методов борьбы с ними.
Самыми впечатляющими кейсами на SAS в 2016 г. стали «тачки», деньги и IoT (Интернет вещей).
«Тачки»
Чарли Миллер рассказал и показал, как он со своим коллегой Крисом Валасеком взломал новейшую систему Uconnect Jeep Cherokee, воспользовавшись уязвимостью стандарта CAN (Controller Area Network). Сам стандарт, ориентированный на объединение в единую сеть различных исполнительных устройств — датчиков, контроллеров и т.д., разработан компанией Bosch еще в середине 80-х годов. В те времена о кибербезопасности в ее современном понимании никто вообще не задумывался.
Однако в последние годы место простейших автомобильных контроллеров и датчиков, «общающихся» между собой с помощью CAN, заняли умные автокомпоненты с мощными процессорами, работающими под управлениям полноценных операционных систем. Причем ситауция такова, что на одной и той же шине могут работать и мультимедийный центр, и компоненты, связанные с электропитанием, с работой двигателя, с навигационной аппаратурой и прочими автомобильными подсистемами.
.jpg) |
| Чарли Миллер рассказал о взломе Uconnect Jeep Cherokee |
Имено этой уязвимостью и воспользовались Чарли Миллер и Крис Валасек. Через автомобильный 3G/LTE модем они удаленно добрались до таких компонентов Jeep Cherokee, как мультимедийный центр, освещение, навигационное оборудование, и, что особенно важно, до элементов управления двигателя, рулевой и торомозной системами.
Разумеется, об этой уязвимости после ее обнаружения сообщили и автопроизводителю. Более того, довольно быстро была выпущена специальная програмная заплатка, закрывающая уязвимость. Но, по иронии судбы, если взлом автомобиля был произведен удаленно, через мобильный модем, то для того чтобы поставить заплатку и закрыть уязвимость, нужно ехать в сервисный центре и «заливать» новое ПО вручную.
Интересно, сколько владельцев автомобилей с такой уязвимостью, даже после получения от автопроизводителя информации о необходимости обновить ПО, поехали на станцию техобслуживания и сделали это?
Деньги: Metel, GCMAN, CARBANAK 2.0
Именно так эксперты назвали эти три группы хакеров, которые специализировались на кибервзломах и выводе денег из банков и других финансовых учреждений. Отметим, что, судя по некоторым косвенным признакам, все три группы имеют русскоязычные корни.
По мнению ведущего вирусного аналитика «Лаборатории Касперского» Сергея Голованова, финансовые хакеры постепенно превращаются в отдельную касту, обладающую специальными знаниями и навыками. Причем новые инструменты и способы кибервзлома банков уже не придумываются с нуля, а базируются на опыте предшественников. Таким образом, складывается целая специальная область знаний.
Появление кибепреступников с такой узкой специализацией вполне логично и ожидаемо. Одно дело монетизировать на черном рынке взломанную почту или аккаунты в соцсетях, что очень затратно по времени, рискованно и не сулит большой прибыли. И совсем другое — забраться в банк или бухгалтерию крупной организации и просто украсть оттуда деньги.
.jpg) |
| Вирусный аналитик «Лаборатории Касперского» Сергей Голованов |
Ноу-Хау хакеров из Metel заключается в оригинальной методике вывода денег. Ее можно условно назвать «неразменный пятак». После проникновения в компьютерную сеть банка (в этом, кстати, не было ничего оригинального — обычный фишинг) киберграбители получали контроль за процессингом банка.
Затем злоумышленник подходил с настоящей легальной картой взломанного банка к банкомату другого банка снимал 50, 100 или 200 тыс. руб., а его сообщник сразу же после этого отменял операцию. В результате баланс карточки полностью восстанавливался. После этого операция проводилась в другом банкомате, и так делалось до тех пор, пока платежная система не «приходила» во взломанный банк за снятыми деньгами. Важная часть операции по обналичиванию — временной лаг между снятием денег и получением банком-эмитентом карты информации о том, что он должен «отправить» деньги в тот банк, с банкомата которого их сняли.
А вот злоумышленники из GCMAN вообще не используют зловредное ПО. Именно это делает их обнаружение таким сложным. Они проникали в сеть банка также с помощью фишинга, а потом с использованием вполне легального програмного обеспечения находили уязвимости и получали контроль над процессингом. Затем хакеры начинали переводить анонимные платежи по 15 тыс. руб. (максимальная разрешенная сумма) на свои электронные кошельки. Такая методика позволяла в течение нескольких суток, до обнаружения утечки, каждую минуту осуществлять перевод на сумму в 15 тыс. руб.
.jpg) |
| Популярный среди участников конференции робот-бармен. В обычном режиме он разливает газировку, но если суметь его взломать... |
Оригинальность CARBANAK 2.0 заключалась в том, что они проникали не только в банковские сети, но и в бухгалтерские компьютеры учреждений, подменяли реквизиты клиентов и контрагентов компаний и в результате получали платежи на свои счета.
Из других интересных кейсов, продемонстрированных на SAS, следует отметить и кроссплатформенный бэкдор Adwind, используемый для сбора и кражи данных, а также для удаленного контроля над зараженными машинами. Функциональность Adwind можно наращивать с помощью различных плагинов, позволяющих устанавливать на зараженный компьютер кейлогеры, делать скриншоты, контролировать работу микрофона веб-камеры и многое другое.
Самое любопытное в Adwind то, что это модель его дистрибьюции. Различные программные инструменты для кибервзлома и заражения компьютеров продаются уже давно, но Adwind можно купить по модной среди легального ПО модели SaaS (software as a service — программное обеспечение как услуга; бизнес-модель продажи и использования программного обеспечения, при которой поставщик разрабатывает приложение и самостоятельно управляет им, предоставляя заказчику доступ к ПО через Интернет).
Такая дистрибуция заметно снижает требования к компьютерной грамотности заказчика и позволяет использовать Adwind сравнительно неподготовленным пользователем.
Прямо противоположный Adwind пример — недавно обнаруженная, предположительно бразильская, хакерская группа Poseidon. Она действует с 2005 г. — фантастически долгий срок для такого «бизнеса».
Уровень ее таргетированных атак необычайно высок, а инструментарий разрабатывается и подбирается индивидуально под каждую жертву. Эксперты, обнаружившие Poseidon, настолько впечатлились, что охарактеризовали данную группировку как APT-бутик (APT — это сокращение от Advanced Persistent Threat, класс кибератак очень высокого уровня).
Cпециализация Poseidon — оказание своеобразных коммерческих услуг, т.е. кража коммерческих секретов в крупных компаниях с последующей их продажей конкурентам под видом бизнес-консалтинга или, наоборот, оказание «консалтинга» взломанным компаниям. В общем, по сути, это шантаж, но прикрытый легальным бизнесом, юридической поддержкой адвокатов и пр.
Итоги
Если попытаться даже поверхностно проанализировать доклады, выступления и кулуарные разговоры на SAS, то становится понятно, что к трендам последних лет Mobile First и APT добавился прогрессирующий интерес у кибервзломам банков и «Интернету вещей».
К сожалению, финансовые организации оказались не столь эффективно защищены, как представляется обывателю со стороны, а куш там можно сорвать очень большой. Например, большая часть проникновений в банковские сети осуществлялась с помощью фишинговых писем и прочей социальной инженерии. Да, очень изощренной и подготовленной, но тем не менее все эти способы уже давно известны коммерческим службам безопасности более или менее приличного уровня.
Что касается IoT, то интерес злоумышленников к «Интернету вещей» обусловлен началом его массового проникновения в нашу жизнь.«Носимые устройства», «умные дома», «умные автомобили», «умные города» и «умные предприятия» дают совершенно непредставимый уровень автоматизации рутинных процессов, а также генерируют колоссальное количество данных. Все это и привлекают киберпреступников. Более того, слишком высокая скорость, с которой развивается «Интернет вещей», фрагментированность IoT-платформ различных компаний, а также отсутствие единых стандартов безопасности создают «дыры» которыми и пользуются злоумышленники.