Реклама

В феврале на Тенерифе состоялась восьмая ежегодная Международная конференция по кибербезопасности — Security Analyst Summit 2016. Само мероприятие проводит «Лаборатория Касперского», но среди его cпонсоров на этот раз были Microsoft, Adobe, BlackBerry, Salesforce и многие другие компании. Представители «Лаборатории Касперского» всегда подчеркивают, что SAS — это не партнерское мероприятие, а одна из крупнейших индустриальных конференций в области информационной безопасности, в которой участвуют все — партнеры, конкуренты, независимые эксперты и правоохранительные органы.

Security Analyst Summit 2016: Взломать за 60 секунд

В этот раз на SAS выступили 85 спикеров из более чем 50 организаций. Всего же на Тенерифе приехали 330 участников из 30 стран. Среди желающих послушать выступающих, посетить мастер-классы и пообщаться с экспертами в области кибербезопасности были представители Apple, Google, Adobe, Blackberry, Microsoft, Salesforce, General Dynamics, Fidelis и др.

 

Что такое Security Analyst Summit

Большая часть участников SAS — хакеры (не те, о которых вы подумали), вирусные аналитики, эксперты в области кибербезопасности. Разумеется, были представители и крупного бизнеса, и правоохранительных органов.

Открытие SAS вызвало очень заметный интерес среди экспертов

 

Сами выступления можно разделить на две условные группы. П ервая наверное, самая яркая — описание новых киберугроз, раскрытие ранее неизвестных хакерских группировок, рассказы о самых интересных кейсах в области информационной безопасности. Вторая визионерство, анализ трендов, попытки систематизировать актуальные и будущие угрозы, обсуждение методов борьбы с ними.

Самыми впечатляющими кейсами на SAS в 2016 г. стали «тачки», деньги и IoT (Интернет вещей).

 

«Тачки»

Чарли Миллер рассказал и показал, как он со своим коллегой Крисом Валасеком взломал новейшую систему Uconnect Jeep Cherokee, воспользовавшись уязвимостью стандарта CAN (Controller Area Network). Сам стандарт, ориентированный на объединение в единую сеть различных исполнительных устройств — датчиков, контроллеров и т.д., разработан компанией Bosch еще в середине 80-х годов. В те времена о кибербезопасности в ее современном понимании никто вообще не задумывался.

Однако в последние годы место простейших автомобильных контроллеров и датчиков, «общающихся» между собой с помощью CAN, заняли умные автокомпоненты с мощными процессорами, работающими под управлениям полноценных операционных систем. Причем ситауция такова, что на одной и той же шине могут работать и мультимедийный центр, и компоненты, связанные с электропитанием, с работой двигателя, с навигационной аппаратурой и прочими автомобильными подсистемами.

Чарли Миллер рассказал о взломе Uconnect Jeep Cherokee

 

Имено этой уязвимостью и воспользовались Чарли Миллер и Крис Валасек. Через автомобильный 3G/LTE модем они удаленно добрались до таких компонентов Jeep Cherokee, как мультимедийный центр, освещение, навигационное оборудование, и, что особенно важно, до элементов управления двигателя, рулевой и торомозной системами.

Разумеется, об этой уязвимости после ее обнаружения сообщили и автопроизводителю. Более того, довольно быстро была выпущена специальная програмная заплатка, закрывающая уязвимость. Но, по иронии судбы, если взлом автомобиля был произведен удаленно, через мобильный модем, то для того чтобы поставить заплатку и закрыть уязвимость, нужно ехать в сервисный центре и «заливать» новое ПО вручную.

Интересно, сколько владельцев автомобилей с такой уязвимостью, даже после получения от автопроизводителя информации о необходимости обновить ПО, поехали на станцию техобслуживания и сделали это?

 

Деньги: Metel, GCMAN, CARBANAK 2.0

Именно так эксперты назвали эти три группы хакеров, которые специализировались на кибервзломах и выводе денег из банков и других финансовых учреждений. Отметим, что, судя по некоторым косвенным признакам, все три группы имеют русскоязычные корни.

По мнению ведущего вирусного аналитика «Лаборатории Касперского» Сергея Голованова, финансовые хакеры постепенно превращаются в отдельную касту, обладающую специальными знаниями и навыками. Причем новые инструменты и способы кибервзлома банков уже не придумываются с нуля, а базируются на опыте предшественников. Таким образом, складывается целая специальная область знаний.

Появление кибепреступников с такой узкой специализацией вполне логично и ожидаемо. Одно дело монетизировать на черном рынке взломанную почту или аккаунты в соцсетях, что очень затратно по времени, рискованно и не сулит большой прибыли. И совсем другое — забраться в банк или бухгалтерию крупной организации и просто украсть оттуда деньги.

Вирусный аналитик «Лаборатории Касперского» Сергей Голованов

 

Ноу-Хау хакеров из Metel заключается в оригинальной методике вывода денег. Ее можно условно назвать «неразменный пятак». После проникновения в компьютерную сеть банка (в этом, кстати, не было ничего оригинального — обычный фишинг) киберграбители получали контроль за процессингом банка.

Затем злоумышленник подходил с настоящей легальной картой взломанного банка к банкомату другого банка снимал 50, 100 или 200 тыс. руб., а его сообщник сразу же после этого отменял операцию. В результате баланс карточки полностью восстанавливался. После этого операция проводилась в другом банкомате, и так делалось до тех пор, пока платежная система не «приходила» во взломанный банк за снятыми деньгами. Важная часть операции по обналичиванию — временной лаг между снятием денег и получением банком-эмитентом карты информации о том, что он должен «отправить» деньги в тот банк, с банкомата которого их сняли.

А вот злоумышленники из GCMAN вообще не используют зловредное ПО. Именно это делает их обнаружение таким сложным. Они проникали в сеть банка также с помощью фишинга, а потом с использованием вполне легального програмного обеспечения находили уязвимости и получали контроль над процессингом. Затем хакеры начинали переводить анонимные платежи по 15 тыс. руб. (максимальная разрешенная сумма) на свои электронные кошельки. Такая методика позволяла в течение нескольких суток, до обнаружения утечки, каждую минуту осуществлять перевод на сумму в 15 тыс. руб.

 

Популярный среди участников конференции робот-бармен. В обычном режиме он разливает газировку, но если суметь его взломать...

 

Оригинальность CARBANAK 2.0 заключалась в том, что они проникали не только в банковские сети, но и в бухгалтерские компьютеры учреждений, подменяли реквизиты клиентов и контрагентов компаний и в результате получали платежи на свои счета.

Из других интересных кейсов, продемонстрированных на SAS, следует отметить и кроссплатформенный бэкдор Adwind, используемый для сбора и кражи данных, а также для удаленного контроля над зараженными машинами. Функциональность Adwind можно наращивать с помощью различных плагинов, позволяющих устанавливать на зараженный компьютер кейлогеры, делать скриншоты, контролировать работу микрофона веб-камеры и многое другое.

Самое любопытное в Adwind то, что это модель его дистрибьюции. Различные программные инструменты для кибервзлома и заражения компьютеров продаются уже давно, но Adwind можно купить по модной среди легального ПО модели SaaS (software as a service — программное обеспечение как услуга; бизнес-модель продажи и использования программного обеспечения, при которой поставщик разрабатывает приложение и самостоятельно управляет им, предоставляя заказчику доступ к ПО через Интернет).

Такая дистрибуция заметно снижает требования к компьютерной грамотности заказчика и позволяет использовать Adwind сравнительно неподготовленным пользователем.

Прямо противоположный Adwind пример — недавно обнаруженная, предположительно бразильская, хакерская группа Poseidon. Она действует с 2005 г. — фантастически долгий срок для такого «бизнеса».

Уровень ее таргетированных атак необычайно высок, а инструментарий разрабатывается и подбирается индивидуально под каждую жертву. Эксперты, обнаружившие Poseidon, настолько впечатлились, что охарактеризовали данную группировку как APT-бутик (APT — это сокращение от Advanced Persistent Threat, класс кибератак очень высокого уровня).

Cпециализация Poseidon — оказание своеобразных коммерческих услуг, т.е. кража коммерческих секретов в крупных компаниях с последующей их продажей конкурентам под видом бизнес-консалтинга или, наоборот, оказание «консалтинга» взломанным компаниям. В общем, по сути, это шантаж, но прикрытый легальным бизнесом, юридической поддержкой адвокатов и пр.

 

Итоги

Если попытаться даже поверхностно проанализировать доклады, выступления и кулуарные разговоры на SAS, то становится понятно, что к трендам последних лет Mobile First и APT добавился прогрессирующий интерес у кибервзломам банков и «Интернету вещей».

К сожалению, финансовые организации оказались не столь эффективно защищены, как представляется обывателю со стороны, а куш там можно сорвать очень большой. Например, большая часть проникновений в банковские сети осуществлялась с помощью фишинговых писем и прочей социальной инженерии. Да, очень изощренной и подготовленной, но тем не менее все эти способы уже давно известны коммерческим службам безопасности более или менее приличного уровня.

Что касается IoT, то интерес злоумышленников к «Интернету вещей» обусловлен началом его массового проникновения в нашу жизнь.«Носимые устройства», «умные дома», «умные автомобили», «умные города» и «умные предприятия» дают совершенно непредставимый уровень автоматизации рутинных процессов, а также генерируют колоссальное количество данных. Все это и привлекают киберпреступников. Более того, слишком высокая скорость, с которой развивается «Интернет вещей», фрагментированность IoT-платформ различных компаний, а также отсутствие единых стандартов безопасности создают «дыры» которыми и пользуются злоумышленники.

Купить номер с этой статьей в PDF