История о том, как киберпреступность превратилась в сферу услуг с прайс-листами в Даркнете, и почему классический антивирус уже не спасает.
В 2019 году мир потрясла новость о черве Stuxnet. Тогда стало понятно: это не хулиганство и не банальная кража паролей. Это была точечная диверсия, спланированная с хирургической точностью. Пожалуй, именно с того момента мы можем вести отсчет новейшей истории целенаправленных кибератак.
Но если тогда мишенью были атомные центрифуги Ирана, то сегодня под прицелом может оказаться любой бизнес. Вопрос лишь в том, готовы ли владельцы компаний к тому, что за их цифровыми воротами уже следят, изучают замки и ждут удобного момента.

1. Киберпреступность — это корпорация с отделом продаж
Сегодня говорить о хакерах как об одиноких гениях в капюшонах — моветон. Их деятельность все больше напоминает классический бизнес. На теневом рынке существуют полноценные «продуктовые линейки», отделы маркетинга (пусть и в закрытых чатах) и даже сервисные пакеты по модели «атака как услуга».
«Анонсы, как правило, даются в закрытых источниках, — рассказывает Андрей Арефьев, менеджер по развитию продуктов компании InfoWatch. — Но, тем не менее, можно говорить, что современная индустрия ботнетов обладает всеми признаками полноценных коммерческих продуктов. По данным независимых исследований, количество утилит для построения ботнетов за последние годы возросло в десятки раз».
Фиксированные расценки на трояны, отдельные модификации под разные целевые сегменты и даже годовое техническое обслуживание вирусов — за этим стоит серьезная экономика. Если ваша компания еще не подвергалась атаке, это не значит, что она неуязвима. Это значит лишь то, что вы пока просто не в приоритете.
2. Философия «Тихого вторжения»
Главное изменение последних лет — это маскировка. Если раньше атаки часто были похожи на взрыв, то теперь это скорее замедленное проникновение. Цель хакера — остаться незамеченным как можно дольше.
Современные атаки обладают яркими отличительными чертами:
Адаптивность. Вредоносное ПО подстраивается под инфраструктуру компании-жертвы.
Многоступенчатость. Атака почти никогда не начинается прямо с сервера с секретными данными. «Входной билет» — это компьютер обычного секретаря или менеджера. Оттуда злоумышленник, как по коридорам, перемещается к главной цели, которой может оказаться рабочая станция главного бухгалтера.
Длительность. От заражения до активной фазы (кражи данных или шифрования) может пройти несколько месяцев.
«Если вы не наблюдаете видимых признаков атаки на ИТ-инфраструктуру, это еще не означает, что ее не атакуют», — резюмирует Андрей Арефьев.
3. Точка входа: человек и его «дружелюбный» фишинг
По данным открытых источников, львиная доля «таргета» начинается с социальной инженерии. Киберпреступник редко взламывает сложные файрволы лбом. Куда проще попросить сотрудника перейти по ссылке или открыть вложение от «контрагента».
Самый показательный исторический пример — это уже упомянутый Stuxnet и иранская ядерная программа. Целью было не просто заразить компьютеры, а вывести из строя центрифуги, переведя их во внештатный режим. Ремонт отнимал время и деньги, сдерживая развитие программы. Это классический пример диверсии, где человеческий фактор (инсайдеры или невнимательность) сыграл ключевую роль.

4. Кто в зоне риска и что крадут?
Распространено заблуждение, что цели — это только «оборонка» или «атомщики». Однако владелец рядовой бизнес-организации недавно убедился в обратном — его сервер попытались заразить через уязвимости на компьютере бухгалтера. К счастью, тогда атака была отбита, но осадок остался.
Согласно исследованиям, 63% опрошенных понимают, что таргетированная атака на их компанию — всего лишь вопрос времени.
Что же чаще всего становится добычей?
Промышленные секреты и стратегические разработки.
Платежные данные и доступ к счетам.
Персональные данные клиентов (для последующего рейдерства или продажи).
5. Почему антивирус бессилен: разбор методов защиты
Парадокс безопасности в том, что те инструменты, к которым мы привыкли, уже не работают против целевых атак. Давайте разберем их по косточкам.
Сигнатурный анализ (устаревает)
Этот метод работает на сравнении «цифрового отпечатка» файла с вирусной базой. Если сигнатура совпала — вирус найден. Плюс: Точность. Если база обновлена, ложных срабатываний почти нет. Минус: Беззащитность перед новыми угрозами («нулевого дня»). Вирусные базы обновляются раз в 15-30 минут, а в мире за это время может появиться новый троян, обходящий сигнатуры.
Эвристический анализ (неэффективен)
Хорош тем, что не ждет обновления базы, а ищет подозрительную активность. Минус: Хакеры давно научились тестировать свои программы на популярных антивирусах, меняя код до тех пор, пока он не перестанет вызывать подозрений.
Next-Gen Firewalls (перегружены)
Их минус — ложноположительные срабатывания. Они так активно ищут угрозы, что начинают тормозить работу, а технологии «песочниц» (эмуляция запуска вируса) тоже можно обмануть.
WhiteListing (неудобно)
Метод «белых списков» разрешенных программ технически надежен. Но в любой крупной компании список софта, который нужен сотрудникам, настолько обширен и меняется так часто, что поддерживать актуальный Whitelisting практически невозможно — это парализует рабочие процессы.
6. Эволюция детектирования: взгляд на изменения
Главный недостаток классических средств — они пытаются распознать вирус. Но что, если искать не сам вирус, а его последствия? Эту логику использует технология динамического обнаружения атак (реализованная, в частности, в продукте InfoWatch Targeted Attack Detector).
Основная идея проста, как гениальное решение: какими бы хитрыми ни были хакеры, их вмешательство неизбежно меняет систему. Поэтому решение не просто сканирует трафик, а периодически делает «слепки» состояния IT-системы, сравнивая их с эталоном прошлого.
«Полученные данные сравниваются с результатами прошлых сканирований, затем осуществляется интеллектуальный анализ произошедших изменений на предмет наличия аномалий, — поясняет Андрей Арефьев. — При обнаружении неизвестного вредоносного ПО к анализу привлекается аналитик компании».
Именно аномалии — первый и часто единственный признак того, что в системе идет «чужая» работа. Атака вовсе не обязательно должна выглядеть как вирус уровня «Красного Октября». Для серьезного ущерба достаточно маленького трояна, который тихо пересылает данные.
Вместо итога
Таргетированные атаки — это мощнейший инструмент влияния на корпоративную политику, геополитику и экономику. Противостоять им системно и тщательно можно лишь одним способом — перестать доверять репутационным антивирусам прошлого поколения и начать искать то, чего быть не должно: следы изменений там, где их не было вчера.