Эксперты Positive Technologies проанализировали наиболее известные за последние 10 лет семейства программ-невидимок — их обнаружилось 16. Исследование показало, что 77% невидимок использовалось киберпреступниками для шпионажа, то есть для скрытого получения данных, примерно в трети случаев (31%) — для извлечения финансовой выгоды, и лишь в 15% атак эксперты отметили мотив эксплуатации инфраструктуры компании-жертвы для проведения последующих атак.
Ареал обитания невидимок
Программы-невидимки — не самое распространенное вредоносное ПО. Оно предназначено для скрытая в системе как самой программы, так и целого ряда других утилит, процессов и даже сетевой активности. Случаи обнаружения невидимок, как правило, порождают резонанс в прессе — зачастую данные утилиты входят в состав многофункционального вредоносного ПО, которое разрабатывается спецслужбами или спонсируемыми государствами кибергруппировками. Такие многофункциональные утилиты перехватывают сетевой трафик, шпионит за пользователями, похищает сведения для аутентификации или использует ресурсы жертв для проведения DDoS-атак. Наиболее известный случай применения невидимки в реальной атаке — кампания по распространению вредоносного ПО Stuxnet, главной целью которой была приостановка развития ядерной программы Ирана.
Согласно полученным данным, в 44% случаев злоумышленники использовали невидимки для атак на госучреждения. Чуть реже (38% случаев) эти вредоносы применялись для нападения на исследовательские институты. В обоих случаях целью является скрытое получение сведений, то есть шпионаж, поскольку для злоумышленников достаточно большую ценность представляет информация, которую обрабатывают эти организации. В топ-5 наиболее атакуемых с использованием невидимок отраслей по итогам исследования также вошли телеком (25%), промышленность (19%) и финансовые организации (19%). Помимо этого, более половины программ-невидимок (56%) используются хакерами в атаках на частных лиц. Главным образом это целенаправленные атаки в рамках кампаний по кибершпионажу в отношении высокопоставленных чиновников, дипломатов и сотрудников критически важных организаций.
«Несмотря на сложности разработки этих зловредов, каждый год мы отмечаем появление новых версий невидимок, чей механизм работы отличается от уже известных вредоносов, — сетует руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies Алексей Вишняков. — Это говорит о том, что киберпреступники продолжают развивать инструменты, позволяющие маскировать вредоносную активность, и постоянно придумывают новые техники обхода средств защиты — появляется новая версия Windows, и сразу же разработчики вредоносов создают невидимки, ориентированные под нее. Мы ожидаем, что невидимки продолжат использовать хорошо подготовленные APT-группировки, а значит, речь идет уже не просто о компрометации данных и извлечении финансовой выгоды, а о сокрытии сложных целенаправленных атак, результатом которых может быть реализация недопустимых для организаций событий — от вывода из строя объектов КИИ, таких как атомные станции, ТЭЦ и электросети, до техногенных катастроф, вызванных авариями на промышленных предприятиях, и случаев политического шпионажа».
Цена невидимки
По результатам анализа форумов черного рынка стоимость готовой невидимки варьируется от 45 до 100 тыс. долл. и зависит от режима работы, целевой ОС, условий использования и дополнительных функций. Чаще всего покупатели при заказе невидимки запрашивают получение удаленного доступа и сокрытие файлов, процессов и сетевой активности. Причем вредонос можно взять в аренду на месяц и платить по мере использования. В некоторых случаях разработчики предлагают доработку невидимки под нужды заказчика и оказывают сервисное сопровождение. Стоит отметить, что в 67% объявлений фигурировало требование о том, что невидимка должна быть «заточена» под Windows. Это коррелирует с результатами исследования самих невидимок: доля таких образцов в выборке вредоносов, изученных специалистами Positive Technologies, также превалирует, составляя 69%.
Чтобы обезопасить свою компанию от атак с использованием невидимок, специалисты Positive Technologies рекомендуют активно внедрять и применять средства обнаружения вредоносной активности на конечных узлах и решения типа PT Sandbox, которые позволяют выявить вредоносную программу как на этапе установки, так и в процессе работы. Обнаружить невидимки также поможет специализированный сканер невидимок, проверка целостности системы и анализ сетевого трафика на предмет аномалий. Невидимки также хорошо обнаруживаются по сетевой активности, поэтому стоит контролировать передачу информации по сети с помощью так называемых пассивных сканеров — они только фиксируют передачу информации. Именно такие сканеры и способны обнаружить вредоносную активность невидимок как аномалии в сетевом трафике с рабочих мест. Самостоятельно же разобраться с невидимками достаточно сложно — нужно привлекать экспертов в технологиях сокрытия вредоносов, которые специализируются на подобном типе вредоносных программ.
