24 декабря 2014

Радар включён: «Лаборатория Касперского» запускает инструмент для мониторинга APT

Бизнес

«Лаборатория Касперского» выпустила новый визуальный инструмент, предназначенный для мониторинга APT в реальном времени — «Журнал направленных атак«.

wide1
Помимо весьма привлекательного внешнего вида, он содержит краткие, но исчерпывающие данные о каждой известной на данный момент передовой постоянной угрозе. Давайте рассмотрим, что он предлагает и как работает.

На первом экране APT представлены в виде большого флота военных кораблей идущих вверх по шкале времени, при этом длина их кильватеров показывает срок активности угроз. Длина корабля отражает период времени между обнаружением и «текущим состоянием» APT, то есть активна угроза в данный момент или нет. Корабли, заплывшие в 2014 год, — это по-прежнему активные угрозы, остальные – уже нет. К сожалению, большинство из них активны в настоящее время, в том числе последняя выявленная кампания Regin, которая была обнаружена еще в 2012 году и, по-видимому, действует с 2003 года.

all_apts

Теперь, если провести курсором мыши над некоторыми «кораблями», например, над прекрасным судном Flame, то мы увидим связи между этими конкретными APT и некоторыми другими — Gauss, Duqu, miniFlame и Stuxnet, при этом последний сильно смахивает на субмарину.

links

Как мы все знаем, если бы не ошибка в коде, Stuxnet никогда бы не обнаружили, и история APT была бы иной, хотя, по крайней мере, две APT были известны и ранее: Agent.btz и Aurora. Agent.btz, кстати, имеет определенные связи с Epic Turla, большой вредной кампании, которая до сих пор растет и становится вреднее и вреднее по мере накопления данных.

Если кликнуть на Epic Turla, мы увидим её статус, тип, время обнаружения, продолжительность жизни, количество целей, платформы-мишени, а также карту наиболее пострадавших стран.

epic_turla

Ниже приводится дополнительная информация об угрозе, в том числе пути распространения, цели, особенности и определённые цели вместе с артефактами, которые указывают на возможные источники.

И, наконец, ссылка на детальное исследование угрозы от Securelist.

Если вернуться к главному экрану, то можно увидеть «фильтр», который позволяет выбрать APT по ряду признаков. Например, если надо определить, какие APT нацелены на iOS (весьма экзотический запрос, не так ли?), мы можем установить такие настройки и увидим два «эсминца» и один «ракетный катер»:

iOS_APT

Это FinSpy, Hacking Team RCS и недавно открытый Cloud Atlas — преемник печально известной APT RedOctober. Все три нацелены, среди прочих платформ, и на iOS-устройства. И Hacking Team RCS, по-видимому, действует с 2008 года.

Термин «APT» был введен еще в 2006 году, но, несмотря на попытки сделать его ясным и исчерпывающим, он по-прежнему довольно расплывчат. В значительной степени причина этого в том, что «передовая постоянная угроза» должна была обозначать атакующих — хакерские группы, подразделения вражеских кибервойск и т.п., но термин несколько мигрировал в сторону обозначения вредоносных программ, используемых APT-группами, и кампаний, которые они ведут, сколь бы некорректно это ни было.

В двух словах, APT является угрозой, исходящей от квалифицированных, мотивированных, организованных и хорошо финансируемых киберпреступников. Она называется «передовой», так как операторы ее имеют в своем распоряжении полный спектр инструментов для вторжения, сбора разведданных и кражи информации. Эти инструменты, как правило, делаются на заказ, хотя частичная «гибридизация кода» между различными APT не является редкостью.

Она также называется постоянной, поскольку злоумышленники ставят приоритет конкретной задаче, такой как эксфильтрация определённых данных от конкретных лиц. Они не ищут информацию оппортунистически, как это свойственно обычным преступникам. Кроме того, атаки ни в коем случае не бывают разовыми: как правило, они непрерывные, остаются активными в течение многих лет, как показано выше. Операторы предпочитают скрытный и потаённый подход, и они пытаются сохранять доступ к инфраструктуре мишени, как можно дольше оставаясь незамеченными.

Специалисты «Лаборатории Касперского» полагают, что в ближайшем будущем еще больше преступников перейдут к тактике APT, так как непрерывное вредоносное присутствие в зараженной инфраструктуре может принести большую прибыль, чем разовые атаки.