Как похищают ваши деньги и секреты

Согласно результатам опроса State of Information Survey, компании тратят около $1,1 триллиона на хранение деловой информации.

Проверить эту цифру невозможно, но совершенно очевидно, что информация стала важнейшим бизнес-ресурсом, а кибершпионаж превратился в масштабную угрозу.
Главные источники корпоративных киберугроз — развлекательные сайты, социальные сети, личная/рабочая почта, интернет-мессенджеры, флешки, мобильные устройства.

На прошлой неделе «Лаборатория Касперского» обнародовала две интересные новости.

Новость первая – согласно исследованию компании, 96% российских малых и средних предприятий регулярно становятся жертвами кибератак, причем 40% таких атак приводят к утечке корпоративных данных, а в некоторых случаях могут нанести непоправимый ущерб бизнесу. Чаще всего российские малые и средние предприятия страдают от спама (74%) и вредоносных программ (71%), а именно вирусов, червей и шпионского ПО. Четверть представителей этого сегмента бизнеса сталкивается с взломом компьютеров, 12% становятся объектами корпоративного шпионажа. При этом почти треть представителей СМБ используют бесплатное или нелицензионное ПО.

Вторая новость — очередной эпизод в истории развития кибершпионажа на Ближнем Востоке. После нашумевшего червя Flame, которого обнаружили в мае и назвали самой совершенной шпионской программой, в регионе «засветился» еще один троян – промышленный шпион под названием Mahdi (Махди). В Иране и в Израиле он заражал компьютеры инженеров, которые занимаются разработкой стратегически важных инфраструктурных проектов. Также среди жертв – израильские финансовые организации и различные правительственные учреждения, действующие на территории Ближнего Востока.

Махди – достаточно примитивная программа, не в пример трояну Flame, с его изощренным вредоносным кодом и мощнейшими алгоритмами для работы с антивирусами. Тем не менее Махди успешно открывала доступ к файлам на зараженных компьютерах, перехватывала электронную почту и мгновенные сообщения, подсматривала логины-пароли, включала микрофоны, чтобы подслушивать то, что происходит вокруг, и делала скриншоты рабочего стола жертвы.

У ранее обнаруженного трояна Flame, который работал в этом регионе, основной функционал примерно тот же, но у него была также весьма необычная опция — он мог активировать bluetooth-модули на зараженных компьютерах и транслировать заранее заданное имя устройства, чтобы хакеры могли его распознать. Ведущий антивирусный эксперт «Лаборатории Касперского» Виталий Камлюк предполагает, что это резервный способ ближней связи с операторами Flame (для передачи файлов) на случай, если зараженный ПК отключен от интернета.

Несмотря на определенное функциональное сходство между Flame и Mahdi, главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев сообщил «Газете.Ru», что это разные проекты.

Его коллега Виталий Камлюк говорит, что в случае с Flame среди зараженных оказались и случайные домашние пользователи – вероятно, они были знакомы с теми людьми (сотрудниками НИИ и предприятий), которые интересовали организаторов шпионской операции. Один из возможных вариантов дальнейшей атаки – через зараженную почту и интернет-мессенджеры посторонних людей нужным субъектам рассылались вредоносные объекты с дистрибутивом червя Flame. Электронная почта «угоняется» значительно реже, чем, например, аккаунты в соцсетях, поэтому доверия к письмам, если они приходят от знакомых, гораздо больше.

В принципе, каждый пользователь ПК может стать жертвой сложнейшей программы типа Flame. Эксперты рекомендуют не скачивать никакие вложения, даже от друзей, а открывать их только в «облаке» (через веб-интерфейс, не загружая его на крмпьютер).

Впрочем, «доверенные источники» электронных писем хакеры имитируют по-разному. Например, почти год назад была обнаружена мощнейшая шпионская атака на японскую корпорацию Mitsubishi Heavy Industries, которая занимается в том числе изготовлением вооружений – истребителей, подводных лодок и т.д.

Как сообщил Александр Гостев, началась она с того, что один из сотрудников предприятия получил обычное, на первый взгляд, деловое письмо. К сообщению было приложено PDF-вложение со сложным вредоносным кодом. В корпоративной сети троян незаметно активировал удаленный доступ к секретным документам через зашифрованное соединение. Объем украденной информации, разумеется, не известен, но японские газеты сообщали, что в числе прочего похищена информация о системе наведения противокорабельных ракет класса «воздух-море».

Вредоносные программы могут также собирать информацию в ERP-системах (управление ресурсами предприятия), которые содержат данные о производственных и торговых процессах крупных компаний. Таким же образом работу этих систем можно нарушить.

«Атакующие могут использовать специальные инструменты для сбора информации из ERP, для изменения важной информации или для блокирования работы системы, — рассказал «Газете.Ru» технический директор Positive Technologies Сергей Гордейчик. – Не стоит забывать, что с точки зрения безопасности ERP-системы крайне зависят от сетевой и системой инфраструктуры. Не обязательно взламывать саму систему, если ты имеешь права администратора домена и можешь записывать все, что происходит на рабочих станциях, или можешь прослушивать сетевой трафик и извлекать пароли, или просто имеешь полный доступ к СУБД, в которой ERP сохраняет всю информацию».

Известно, что подобным атакам подвергались нефтяные и энергетические гиганты — ExxonMobil, Marathon Oil, ConocoPhillips и другие. Нападение приписывают китайским хакерам. В течение некоторого времени злоумышленники незаметно выкачивали из атакованных систем ценную информацию о мировых залежах нефти, инвестиционные планы и проч.

Впрочем, такие масштабные операции, требующие тщательной подготовки, происходят все же не столь часто, зато есть масса других, далеко не очевидных, но не менее интересных способов проникновения в корпоративные сети.

По словам Сергея Гордейчика, это можно делать, например, через беспроводные принтеры с WiFi-модулями. Во-первых, конфиденциальная информация может сохраняться на самих принтерах, во-вторых, через эти устройства можно получать доступ непосредственно во внутреннюю сеть организации.

Также есть возможность для атаки через корпоративные системы IP-телефонии – если аудио-разговоры передаются в интернет через WiFi, теоретически их можно перехватывать и прослушивать. В ходе реального теста на проникновение в корпоративную сеть компании такую уязвимость продемонстрировали эксперты PositiveTechnologies.

«Данные шифровались при передаче по беспроводной сети с использованием слабого алгоритма WEP, ключ шифрования которого был получен за несколько минут, — рассказал Сергей Гордейчик, — Причем «атакующие», т.е. эксперты по анализу защищенности, при этом находились в соседнем здании, на другой стороне улицы. После этого VOIP-переговоры (которые являлись основным видом связи в компании) записывались и декодировались».

Не секрет, что с помощью WiFi случайно «сдать» хакерам корпоративную информацию может любой сотрудник, работающий с корпоративными данными в публичном месте через открытое беспроводное соединение. О перехвате данных мы рассказывали в предыдущей публикации .

Каждый день преступники придумывают новые способы кибератак и хитроумные методы социальной инженерии, противостоять которым обычным сотрудникам очень сложно. Неудивительно, что количество корпоративных взломов постоянно растет, а кибрешпионаж превратился в высокодоходный бизнес.

gazeta

Похожие статьи:

  1. Советы банкира: как заставить работать деньги
  2. Еврокомпании разучились использовать деньги
  3. Опасность: в сети появился невиданный вирус-шпион
  4. Несерьёзный стартапер или как избежать рисковых инвестиций
  5. Бизнес не выходя из дома
  6. Как инвестору выжить
  7. Инвестор: как создать свою маленькую корпорацию
  8. Как удержать клиентов компании
Pin It

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

1 296 Spam Comments Blocked so far by Spam Free Wordpress

HTML tags are not allowed.

Перед отправкой формы:
Human test by Not Captcha