кие как руткиты,которые обеспечиваютимдоступ к компьютерам и системам жертвы в любое время.

Главная цель входа в эту стадию – выиграть время, чтобы выполнить еще одну и даже более болезненную для жертвы атаку, чем утечка. Злоумышлен- ник заинтересован в том, чтобы не ограничиться данными и программным обеспечением и атаковать оборудование организации.Средства безопасности жертвы на данный момент неэффективны при обнаружении или остановке атаки. У злоумышленника обычно есть несколько каналов доступа к жертвам, поэтому даже втом случае,если часть удастся закрыть,им ничего не угрожает.

Штурм

Штурм–самая опасная стадия любой кибератаки.Именно здесь злоумышлен- ник наносит ущерб, не ограничивающийся данными и программным обес­ печением. Злоумышленник может навсегда отключить или изменить работу оборудования жертвы.Он фокусируется на уничтожении аппаратного обеспе- чения, управляемого скомпрометированными системами и вычислительны- ми устройствами.

Хорошим примером атаки, которая достигла этой стадии, является атака Stuxnet на иранскую атомную станцию. Это было первое зарегистрированное цифровое оружие, которое использовалось для разрушения физических ре- сурсов. Как и любая другая атака, Stuxnet следовал ранее описанным этапам ипребывалвсетиобъектавтечениегода.ПервоначальноStuxnetиспользовал- сядля манипулирования клапанами в ядерной установке,что приводило к по- вышению давления и повреждению нескольких устройств на станции. Затем вредоносная программа была модифицирована для атаки на более крупную цель– центрифуги. Этого удалось достичь в три этапа.

Вредоносная программа передавалась на целевые компьютеры, не подклю- ченные к интернету, через флеш-накопители USB. После заражения одного из целевых компьютеров вредоносная программа копировалась и распространя- ласьнадругиекомпьютеры.ВредоносноеПОперешлонаследующийэтап,ког- да заразило программное обеспечение Siemens под названием Step7, которое использовалось для управления программированием логических контролле- ров. После того как это программное обеспечение было скомпрометировано, вредоноснаяпрограмманаконец-тополучиладоступклогическимконтролле- рам.Это позволило злоумышленникам напрямую эксплуатироватьразличную технику на атомной станции. Они заставили быстро вращающиеся центрифу- ги выйти из-под контроля и разорваться на части самостоятельно.

Вредоносная программа Stuxnet демонстрирует те высоты, которых может достичь эта фаза. У иранского ядерного объекта не было никаких шансов за- щитить себя, поскольку злоумышленники уже получили доступ, повысили свои привилегии и остались вне поля зрения средств безопасности. Операто-

но все проверки на вирусы показали,что они не были заражены. Понятно,что злоумышленники провели несколько тестовых прогонов червя на скомпроме- тированномобъектесклапанами.Онивыяснили,чтоэтоэффективно,иреши- лиувеличитьмасштаб,чтобыатаковатьцентрифугииразрушитьперспективы Ирана, связанные с ядерным вооружением.

Обфускация

Это последний этап атаки, который некоторые злоумышленники могут игно- рировать. Основная цель здесь состоит в том, чтобы злоумышленники скры- вали свои следы по разным причинам. Если они не хотят, чтобы о них стало известно, то используют различные методы с целью запутать, удержать или отвлечь процесс расследования, который следует за кибератакой. Однако не- которые злоумышленники могут не маскировать свои следы, если действуют анонимно или хотят похвастаться своими подвигами.

Обфускация, или маскировка, осуществляется несколькими способами. Один из способов, с помощью которого злоумышленники не позволяют сво- им противникам поймать их,– это попытка скрыть свое происхождение. Есть несколько способов, с помощью которых можно это сделать. Время от време- ни хакеры атакуют устаревшие серверы на малых предприятиях, а затем, рас- пространяясь дальше, переходят к атаке на другие серверы или цели. Таким образом, происхождение атак будет отслеживаться на серверах ни в чем не повинных мелких предприятий, где не выполняются регулярные обновления­ .

Данный тип маскировки был недавно зафиксирован в университете, где взломалидатчикиимодулисвязивсветильникахиинфраструктуреосвещения (освещение на базе концепции «Интернет вещей»), а затем использовали их для атаки на серверы университета. Когда прибыли специалисты компьютер- но-технической экспертизы, чтобы расследовать DDoS-атаку на серверы, они былиудивлены,обнаружив,чтоееисточник–5000светильниковуниверситета.

Еще один метод – использование серверов государственной школы. Ха- керы неоднократно использовали этот метод, когда взламывали уязвимые веб-приложения государственных школ и в дальнейшем распространялись в школьных сетях, устанавливая бэкдоры и руткиты на серверы. Эти серверы затем используются для запуска атак на более крупные цели, поскольку экс- пертиза будет определять государственные школы как источник.

Наконец, чтобы скрыть источник атак хакеров, также используются клубы. Такие клубы предлагают своим членам бесплатный Wi-Fi, но он не всегда на- дежно защищен. Это предоставляет хакерам идеальную почву для заражения устройств, которые они могут впоследствии использовать для выполнения атак без ведома владельцев.

Ещеодинметодмаскировки,которыйобычноиспользуютхакеры,–этоуда- ление метаданных. Метаданные могут быть использованы правоохранитель- ными органами для выявления лиц, совершивших преступления.

ФБР и раскрытии личных данных сотрудников полиции.

Очоа,который в своих атаках использовал имя «wormer»,был пойман после того, как забыл убрать метаданные с картинки, которую он поместил на сайт ФБР после взлома. Метаданные показали ФБР точное местоположение места, где была сделана фотография,и это помогло арестоватьего.В результате этого инцидента хакеры поняли, что оставлять какие-либо метаданные в своей ха- керской деятельности безответственно,т.к.это может привести к их падению, как в случае с Очоа.

Хакерам также свойственно скрывать свои следы, используя динамическое запутывание кода. Сюда входят создание различных вредоносных кодов для атак на цели и предотвращение обнаружения антивирусными программами на основе сигнатур и программами брандмауэра.

Кускикодамогутбытьсгенерированысиспользованиемрандомизирующих функций или путем изменения некоторых их параметров. Таким образом, ха- керы значительно осложняют любому средству защиты, работающему на ос- нове сигнатур, работу по защите системы от их вредоносных кодов. Это также мешаетследователямидентифицироватьзлоумышленника,т.к.большаячасть взлома осуществляется случайным кодом.

Время отвремени хакеры используютгенераторыдинамического кода,что- быдобавитьбессмысленный код в исходный.Этоделаетвзлом оченьсложным для следователей и замедляет процесс анализа вредоносного кода. Несколько строк кода можетпревратиться втысячи или миллионы бессмысленных строк. Это можетпомешатьспециалистам провести более глубокий анализ кода,что- бы выявить некоторые уникальные элементы или отследить любые нити, ве- дущие к автору.

Управление жизненным циклом угроз

Инвестиции в управление жизненным циклом угроз могут позволить ор- ганизации остановить атаки, когда они происходят. Сегодня это достойная инвестиция для любой компании, т. к. статистика показывает, что рост ки- берпреступлений не замедляется. В период с 2014 по 2016 г. число кибератак увеличилось на 760 %. Рост киберпреступности обусловлен тремя факторами. Начнем с того, что существуют более мотивированные субъекты угрозы. Для некоторых киберпреступность стала бизнесом с низким уровнем риска и вы- сокой доходностью­ . Несмотря на увеличение числа нарушений, количество обвинительных приговоров очень небольшое, что свидетельствует о том, что удается поймать далеко не всех киберпреступников.

В то же время организации теряют миллиарды из-за этих мотивирован- ных злоумышленников. Еще одной причиной увеличения числа нарушений является зрелость экономики киберпреступности и цепочки поставок. Сегод- ня киберпреступники могут получить доступ к многочисленным эксплойтам и вредоносным программам, которые предназначены для продажи, при том

и предотвратить их атаки. Некоторые из этих инструментов только выдают предупреждения и,следовательно,просто генерируют события и сигналытре- воги. Некоторые мощные инструменты могут не озвучивать угрозу при проб­ лемах невысокой серьезности, но будут генерировать события безопасности.

Тем не менее ежедневно могут генерироваться десятки тысяч оповещений о событиях, что приводит в замешательство организацию: на чем же сосредо- точиться? Еще один момент на этом этапе – сбор журналов и машинных дан- ных. Этот тип данных может обеспечить более глубокое представление о том, что фактически происходит в организационной сети на уровне отдельного пользователя или приложения. Последний момент на этом этапе – сбор дан- ных низкоуровневых сенсоров. Такие сенсоры, как сенсоры сети и конечных точек, собирают еще более низкоуровневую информацию, которая пригодит- ся, если журналы недоступны.