• Решения
• •
• Продукты
• •
• Новости
• •
• Аналитика
• •
• Типовые проекты
• •
• Контакты

Операция Shady RAT. Анализ угроз информационной безопасности и рекомендации по защите

Компания McAffe, специализирующаяся на вопросах компьютерной безопасности, рассказала о раскрытии крупнейшей в мировой практике операции по взлому компьютерных сетей, получившей название «Operation Shady RAT». RAT (remote access tool, средство удаленного управления) — тип софта, используемого хакерами для несанкционированного доступа в компьютерные сети.

На протяжении пяти лет хакерской атаке подверглись сети и серверы различных правительственных структур и компаний, включая сайты правительств Канады, Индии, Южной Кореи, Тайваня, США и Вьетнама, а также ООН, Ассоциации государств Юго-Восточной Азии (АСЕАН), Международного олимпийского комитета (МОК) и Всемирного антидопингового агентства. Перечень организаций, пострадавших в результате атак хакеров, насчитывает 72 позиции.

Основные факты об операции Shady RAT:

1. Точечный фишинг - наиболее удачный способ атаки, предоставляющий киберпреступникам возможность доступа к учетным записям атакованных пользователей.

2. Хищениям подвергаются данные различных типов. В течение многих лет исследований инцидентов информационной безопасности, специалисты компании McAffe выделили следующие типы данных, похищаемых хакерами из сетей организаций:

• государственная тайна;
• исходные коды;
• отладочные базы данных;
• архивы сообщений электронной почты;
• планы компаний;
• детали новых аукционов месторождений нефти и газа;
• хранилища документов;
• юридические договоры и контракты;
• конфигурации систем диспетчерского управления и сбора данных (SCADA).

3. Мотивация киберпреступников многообразна. Из наиболее часто встречающихся можно выделить финансовый интерес и отстаивание своих политических взглядов.

4. Объем похищенных данных измеряется Петабайтами (1000 Терабайт).

5. Неизвестно где вся эта информация хранится, кто имеет к ней доступ и как ее использует.

6. Угрозам атак подвергались компании из любых регионов.

7. Угрозам атак подвергались компании любых отраслей (публичные, частные, государственные).

8. Угрозам атак подвергались компании любых размеров.

9. Атаки были продолжительными по времени. Наиболее длительная атака продолжалась 28 месяцев (в среднем время обнаружения атаки составляло более 8 месяцев).

10. Все компании из Fortune Global 2000 можно разделить на 2 категории: те, которые были атакованы и узнали об этом, и те, которые были атакованы и не знают об этом до сих пор.

Чтобы не стать жертвой киберпреступников, специалисты компании McAffe рекомендуют:

1. Заблокируйте нежелательные проникновения:

• обеспечение безопасности электронной почты позволяет обнаружить фишинговые сообщения до того, как они попадут пользователям;
• Web-безопасность помогает предотвратить переход пользователей на инфицированные Web-сайты;
• всесторонняя защита конечных точек (Endpoint protection) помогает обнаружить и предотвратить загрузку вредоносных программ;
• межсетевой экран и системы предотвращения вторжения (IPS) блокируют загрузки вредоносных программ и предотвращают несанкционированный доступ к ресурсам сети.

2. Заблокируйте несанкционированные изменения:

• использование «белых списков» (whitelisting) программ блокирует несанкционированные изменения ПО;
• мониторинг событий в базах данных предотвращает несанкционированный доступ к критическим базам данных.

3. Защитите критичные данные от хищения:

• шифрование данных лишает преступников возможности использования данных даже если они были похищены;
• решения по защите от утечки информациих (DLP) определяют критичные данные и контролируют движение этих данных в сети организации.

4. Знайте, что происходит в сети организации:

• анализ поведения объектов сети может помочь определить компрометированные информационные системы основываясь на аномалиях поведения;
• централизованное управление и оценка уязвимостей позволяет своевременно вносить исправления в уязвимые системы.

5. Мыслите глобально:

• недостаточно знать только то, что происходить в вашей сети. Чтобы должным образом защитить ресурсы компании, необходимо глобальное понимание всех существующих угроз

Интересные факты о вредоносных программах:

• Средний размер вредоносной программы - 121.85 Кбайт;
• Наиболее распространенные имена файлов, содержащие вредоносные программы:

- Svchost.ext (встречается наиболее часто)
- Iexplore.exe
- Iprinp.dll
- Wiinzf21.dll

• Вредоносные программы избегают обнаружения за счет:

- использования только исходящих HTTP соединений;
- встраивания (инъекций) в процессы;
- постоянства сервисов.

• Способы связи:

- 100 процентов вредоносных программ типа backdoor используют только исходящие соединения;
- 83 процента используют порты 80 или 443 (TCP);
- 17 процентов используют другие порты.

Оригинал статьи на английском языке.



Аналитика

• 02.05.2012
  Комплексная защита конечных точек

  Очевидно, что наличие одного антивируса уже давно не обеспечивает необходимый уровень защиты конечных точек от современных угроз информационной безопасности. Распространение мобильных устройств, увеличение емкости съемных носителей, эволюция вредоносного ПО и новые типы атак требуют применения комплексного подхода к обеспечению конфиденциальности данных и работоспособности бизнес-приложений.

Архив

Новости

• 19.04.2012
  Получен сертификат соответствия ФСБ России на шлюз защиты удаленного доступа StoneGate SSL

  Компания Stonesoft объявила о получении сертификата соответствия систем защиты удаленного доступа StoneGate SSL требованиям, предъявляемым ФСБ России к шифровальным (криптографическим) средствам, по классам КС1 и КС2.

Архив