**[En](https://cys-centrum.com/ru/lang/en)** **[Ru](https://cys-centrum.com/ru/lang/ru)** **Уже традиционно и на радость всем не равнодушным ИТ-шникам (и не только) 4 декабря 2015 в г.** **Киеве состоялась конференция Украинской группы информационной безопасности UISGCON11. От** **начала и до конца мероприятия, то ли потому, что было много заинтересованных и компетентных** **посетителей, то ли благодаря продуманности и насыщенности всякими «интересностями» самой** **конференции, нас не покидало чувство уюта. Помимо множества актуальных докладов, проводимых** **в два потока, программа конференции также включала несколько панельных дискуссий,** **соревнование CTF, конкурс Bring Your Own Sample и лотереи – всё это с ценными призами. В общем,** **весело было всем.** **Во время UISGCON11 генеральным директором CyS Centrum Николаем Ковалем был произведен** **доклад на тему «N-ое количество киберугроз, которые вы могли проспать в 2015 году». Презентация** **была посвящена экспресс-обзору угроз информационной безопасности, с которыми сталкивалась** **наша страна и наши граждане в текущем году. В докладе мы старались не обойти стороной никого,** **поэтому киберугрозы были рассмотрены в разрезе организаций разных типов (рис. 1):** **государственных учреждений;** **объектов критической информационной инфраструктуры;** **банковских учреждений;** **военных (в т.ч., пребывающих в зоне АТО);** **специальных служб;** **и др.** ----- **Рис. 1** **Как уже неоднократно отмечалось, способы доставки/реализации угроз (рис. 2) не меняются:** **электронная почта (наиболее распространенный способ), ресурсы сети Интернет (ссылки), а также** **«флешки» (больше касается как раз тех, кто пребывает в зоне АТО).** **Рис. 2** **Хотелось бы отметить, что одной из особенностей 2015 года было применение во время атак так** **называемой техники «watering hole» [1][2]. Суть метода заключается во взломе известного и/или** **посещаемого определенной (целевой) аудиторией веб-сайта, с целью размещения в его структуре** **й** **й** ----- **пользователя. При этом, среди взломанных сайтов, распространяющих вредоносное программное** **обеспечение, были как веб-ресурсы новостных агентств и банков [4][5], так и государственные** **(«силовые») учреждения. Примеры «вредоносных вставок кода», а также примеры «редиректов» (в** **частности, с сайта dpsu.gov.ua), приведены на рис. 3-4.** **Рис. 3** ----- **Второй особенностью всех атак стало то, что злоумышленники всё чаще и искуснее стали применять** **методы социальной инженерии [6], чтобы сама атака как можно более походила на нечто** **обыденное, не вызывающее подозрений. К примеру, если потенциальной жертве присылают на** **электронную почту файл с «вирусом», то мало того, что он (файл), а также тема и тело письма будут** **очень релевантными для жертвы, так еще и при его открытии жертве покажется вполне настоящий** **текст/картинка/видео и т.п. Такие «настоящие» файлы даже называются по-своему: документ-** **приманка или же lure/decoy документ. К слову говоря, если рассмотреть угрозу BlackEnergy2, то** **примеры рассылаемых злоумышленниками электронных писем (и документов-приманок) могут быть** **такими, как показано на рис. 5-7 (отправитель, тема, тело письма, а также документ-приманка – всё** **в этой атаке было так «как надо»).** **Рис. 5** **Рис. 6** ----- **Рис. 7** **Продолжая повествование о BlackEnergy2, отметим, что данная угроза не сходит с «экранов** **радаров» уже около двух лет, очень успешно осуществляя атаки на достаточно важные** **информационно-телекоммуникационные** **сети** **нашей** **страны.** **Основная** **направленность** **–** **кибершпионаж, сбор информации и как можно более долгое скрытое пребывание в сети атакуемой** **организации. Вместе с тем, довольно часто случается так, что эти ребята прибегают к варварскому** **выводу из строя атакуемых объектов. Например, в последний раз эта группировка проявила себя во** **время «украинских выборов» 25.10.2015, нарушив функционирование компьютерных сетей** **нескольких украинских телеканалов. Краткая справка об угрозе BlackEnergy2 приведена на рис. 8.** ----- **Рис. 8** **Те, кто неоднократно сталкивался с угрозой (а не впервые ее встретившие и именующих по-своему –** **[7][8]), подтвердят, что тут – не до шуток. Кроме того, серьезности добавляет и тот факт, что в своей** **роботе эти ребята применяют эксплойты под уязвимости нулевого дня [9]. Они прекрасно** **осведомлены, что с ними борются, поэтому, пользуясь случаем, не забывают оставлять «фидбэк» и** **«передавать приветы» (рис. 9). Следует иметь в виду (!), что всегда существует вероятность того,** **что подобного рода заявления и следы могут оставляться специально с целью введения в** **заблуждение исследователей и склонения к неправильной атрибуции своей противоправной** **деятельности.** ----- **Рис. 9** **Еще одной, не дающей покоя нашей стране киберугрозой, является Sofacy/Sednit/APT28/FancyBear.** **Этот славянский коллектив, очень вероятно имеющий отношение к разведывательным службам,** **отметился (был замечен) при атаках (абсолютно разного рода) на Министерство иностранных дел** **Украины, ЦВК (но не взлом!), исследовательские организации Польши и правоохранительные** **органы Грузии (как минимум). Тут на лицо чисто кибершпионская деятельность (без выведения** **компьютерной сети из строя), а факт взлома, как правило, выявляется много позднее самого** **взлома. Почерк упомянутого коллектива позволяет сказать об опытности атакующих, а занятие этой** **деятельностью практикуется ими, видимо, уже около десятка лет [14].** **Без внимания не была оставлена и военная сфера. Ссылаясь на исследования компании ESET** **[10][11], а также, наш личный опыт, по праву можно сказать, что наиболее выразительной угрозой** **для этой сферы была «Potao». Кроме того, военнослужащие, пребывающие в зоне АТО, а также** **представители наших спецслужб, неоднократно были атакованы незамысловатой угрозой** **«Armageddon» (на основе RAT/RMS/UltraVNC), о чём очень подробно расписано в исследовании** **компании Lookingglass [12][13]. Краткая информация в отношении двух озвученных угроз отображена** **на рис. 10.** ----- **Рис. 10** **Если говорить об украинских банковских учреждениях, то их, традиционно, атакуют около двух** **известных нам группировок, применяя при этом вредоносную программу ZeuS** **и Neutrino,** **соответственно. Более подробно про ZeuS можно почитать в нашей статье «Банковский троян ZeuS** **[на протяжении нескольких лет используется для хищения денежных средств со счетов предприятий](https://cys-centrum.com/ru/news/zeus_kins_alert)** **Украины». Продолжая разговор об угрозах для банковского сектора, следует отметить одну** **неприятную тенденцию – с недавних пор группировка (угроза Dyre или Dyreza), атаковавшая прежде** **банки США, Великобритании, да Европы в целом, «расширилась» и на нашу страну. Может потому,** **что кризис, а может потому, что интеграция в Европу нашей страной осуществляется во всех** **плоскостях и сферах (рис. 11).** ----- **Рис. 11** **Настоящим мейнстримом второго полугодия 2015 года стали шифровальщики-вымогатели: CTB-** **Locker, .XTBL, .CBF,** **Watnik,** **Vault и другие (рис. 12). При распространении некоторых из них был** **применен до недавних пор плохо выявляемый метод двойного именования файлов, при котором** **конечный файл, к примеру, имел расширение .JS (то есть, по сути, был обфусцированным VB-** **скриптом). Тема шифровальщиков стала настолько актуальной, что один исследователь даже** **доказал возможность реализации этой угрозы в отношении устройств, функционирующих под** **управлением MacOS. Не следует расслабляться, даже если у вас есть резервные копии (!), так как** **некоторые злоумышленники выдумывают все новые методы, «помогающие» потерпевшему** **расстаться со своими деньгами и заплатить выкуп.** ----- **Рис. 12** **Подытоживая статью, сам собой напрашивается вывод о том, что сфера «кибер» (информационная** **среда в целом) становится все более враждебной и опасной (хотя, быть может, чем больше знаешь,** **тем менее крепко спишь…). Анализ используемых тактик, техник и процедур помогает более** **адекватно выстраивать защиту, поддерживать в актуальном состоянии модель угроз и быть готовым** **к вновь появляющимся киберугрозам. Информационная безопасность есть процесс, и останавливать** **его противопоказано.** **Отдел исследования киберугроз CyS Centrum** **Использованные материалы:** **[1]** **[https://en.wikipedia.org/wiki/Watering_Hole](https://en.wikipedia.org/wiki/Watering_Hole)** **[2]** **[http://www.trendmicro.com.au/vinfo/au/threat-encyc...](http://www.trendmicro.com.au/vinfo/au/threat-encyclopedia/web-attack/137/watering-hole-101)** **[3]** **[https://ru.wikipedia.org/wiki/Эксплойт](https://ru.wikipedia.org/wiki/???????? )** **[4]** **[http://www.cyphort.com/unicredit-compromised/](http://www.cyphort.com/unicredit-compromised/)** **[5]** **[http://www.cyphort.com/unicredit-compromise-contin...](http://www.cyphort.com/unicredit-compromise-continued/)** **[6]** **[https://ru.wikipedia.org/wiki/Социальная_инженерия](https://ru.wikipedia.org/wiki/??????????_????????? )** **[7]** **[https://www.linkedin.com/pulse/fire-sale-initial-i...](https://www.linkedin.com/pulse/fire-sale-initial-investigation-michael-goedeker)** **[8]** **[https://socprime.com/en/blog/fire-sale-cyber-attac...](https://socprime.com/en/blog/fire-sale-cyber-attack-hits-whole-industry-across-entire-state-of-ukraine/)** **[9]** **[https://ru.wikipedia.org/wiki/Уязвимость_нулевого_дня](https://ru.wikipedia.org/wiki/??????????_????????_??? )** **[10]** **[http://habrahabr.ru/company/eset/blog/263855/](http://habrahabr.ru/company/eset/blog/263855/)** **[11]** **[http://eset.ua/ru/news/view/390/operation-potao](http://eset.ua/ru/news/view/390/operation-potao)** **[12]** **[https://lgscout.com/operation-armageddon-cyber-esp...](https://lgscout.com/operation-armageddon-cyber-espionage-as-a-strategic-component-of-russian-modern-warfare/)** ----- **06.12.2015** -----