Накануне праздников мы все с головой погружаемся в задачи, которые нужно успеть завершить, бдительность офисных работников притупляется, и это на руку хакерам. Недавно мы столкнулись с серией кибератак на компании финансового сектора России, в том числе и Сбербанк. На первый взгляд, это были привычные фишинговые рассылки на адреса банковских сотрудников. Но детальный разбор и анализ выявили постоянно эволюционирующую целенаправленную атаку.

В предыдущей колонке мы дали определение классу атак, которые отличаются особой сложностью исполнения и высокой степенью ручной работы со стороны атакующих. Эту колонку я хочу посвятить, скажем так, количественной характеристике атак, которые используются для оценки эффективности технологий и средств защиты.

Как бороться с целенаправленными атаками? Очевидно, что нужно какое-то технологическое решение, в котором были бы объединены лучшие идеи по обнаружению неизвестных угроз. Но прежде чем говорить о нем, стоит определиться с тем, что считать целевой атакой, и разобрать, как они работают.

Обнаружить источник малвари так же сложно, как отыскать черный айфон в темном чулане. Образцы вредоносных программ попадают в антивирусные компании по-разному — приходят с публичных сервисов, скачиваются с замеченных в распространении вирусов файлопомоек, загружаются с ханипотов, и т. д. Выяснить, где именно пользователь подцепил заразу, чаще всего невозможно. Установить источник заражения можно при анализе снятого с инфицированной машины жесткого диска. Если на нем сохранились логи, или когда сам вирусописатель подставился по неосторожности.

Когда антивирусные компании впервые начали публиковать обзоры Flame, с определенного угла зрения они читались как самая настоящая реклама этого продвинутого зловреда. Слаженный коллектив, миллионы долларов «инвестиций», высокие технологии, архитектура, паттерны, высочайшая квалификация... Вкусно звучит, не правда ли? Мы, мобильные кодеры, можем кое-чему у них подучиться!

Только в начале января каждого года я чувствую, что работать ежемесячным колумнистом — это легко (не то чтобы я сильно уставал от своей антивирусной и музыкальной деятельности, но все-таки). Потому что самое тяжелое в нашей работе — придумать хорошую тему, а один раз в начале года это не представляет никакой сложности. Время подводить итоги!

APT, таргетированные, целенаправленные атаки — все эти термины уже не первый год находятся на почетных местах в материалах секьюрити-изданий, корпоративных и частных ИБ-блогеров. Мы не оставляли эту тему без внимания, но теперь, когда накопился определенный объем информации, мы публикуем большую летопись, охватывающую самые запоминающиеся атаки за последние годы.