Виды вирусных атак. Вирусный червь Nimda

Опубликовано: 16 Мая, 2017, 07:46 | Куксиловa Полина Олеговна

Специалисты по кибербезопасности предполагают, что зафиксированная в конце предыдущей недели вирусная атака может активизироваться, когда работники снова включат свои компьютеры. В Великобритании больше всего пострадали клиники.

Программа-вымогатель WannaCry (она же WannaCryptor и WCry) шифрует файлы пользователя, в результате чего их уже нельзя использовать. За снятие блокировки злоумышленники добивались выкуп в биткоинах - эквивалент от 300 до 600 долларов. О том, как спастись от вируса-вымогателя и уберечь свои файлы на компьютере - в инструкции от ИА YakutiaMedia. Связаться с правонарушителями можно прямо через программу. В «Лаборатории Касперского» докладывали о 45 тысячах попыток хакерских атак в 74 государствах по всей планете в конце рабочей недели, наибольшее число попыток заражений наблюдалось в Российской Федерации.

После того как в МВД сообщили об успешном предотвращении атаки, идентичные сообщения появились и от других правительственных ведомств - МЧС, Минздрава, а кроме этого, РЖД и ГИБДД. Уполномоченный компании Avast Якуб Кроустек сказал в Twitter, что заражены около 36 тыс. компьютеров по всей планете, основная часть из них - в РФ, Тайване и Украине. В РФ оказались заражены компьютеры по крайней мере «Мегафона», МВД и СК, а также, вероятно, РЖД.

Тогда программист провел процедуру регистрации, после этого, вирус закончил свои атаки. Среди объектов нападения - не только лишь личные компьютеры, однако и серверы клиник, железных дорог, сотовых операторов, банков и силовых ведомств.

Атак либо вредоносного влияния на информационные системы самого НПК «Дедал» до реального момента не зафиксировано, системы функционируют в штатном режиме, тем как минимум, Специалисты провели мероприятия по усилению мер безопасности и профилактике вероятных угроз. Как оказалось, основной особенностью является использование эксплоита ETERNALBLUE. Вначале данная программа была разработана Агентством нацбезопасности Соединенных Штатов. По достоверным сведениям «Лаборатории Касперского», атака происходит с применением уязвимости в протоколе SMB, позволяющей удаленно запускать программный код.

Рено приостановил работу собственных заводов, чтобы проверить свои ПК. Наименее чем за сутки их жертвы перевели свыше 7 биткойнов, что составляет приблизительно 12 тыс. долларов США.

Для защиты компания Microsoft обновления устаревших версий известной ОС. Необходимо пользоваться обновлённым антивирусом в режиме мониторинга, по возможности проверить систему на наличие угроз. Но многие юзеры и организации отключают автоматические обновления на собственных компьютерах. «Вирус блокирует дисплей компьютера и шифрует файлы на жестком диске». Как правило письма шифровальщиков присылаются в виде заявлений от бухгалтерий, либо неоплаченных штрафов от ГИБДД.

Вышеперечисленные фрагменты - это далеко не полный список последствий атаки WannaCry, во многих случаях вред еще не оценён. «В связи с подозрениями в общенациональной кибератаке мы принимаем все предупреждающие меры, чтобы защитить здешние системы и серверы NHS», - говорилось в

Парадокс со знаком минус нашей цивилизации заключается в том, что достижения науки и новейшие технологии сразу же начинают применяться отнюдь не в благих целях. ИТ не стали исключением. Набрав силу, они превратились в опаснейшее оружие — относительно недорогое, скрытное, но очень разрушительное. Как-то само собой получилось, что ракетно-ядерная эпоха - это уже вчерашний день. Настала эра кибернетических операций, диверсий и даже войн.

И это не фигура речи. Во всех развитых государствах уже несколько лет официально существуют кибервойска. Чем они занимаются, догадаться нетрудно. Особенно преуспели в строительстве нового вида вооруженных сил США, Китай, Великобритания, Южная Корея, Германия, Франция и Израиль. Численность киберподразделений в разных странах составляет от нескольких сотен до нескольких десятков тысяч человек. Объем финансирования исчисляется сотнями миллионов долларов, а наиболее «продвинутые» и богатые государства тратят миллиарды. И Россия, по мнению ряда экспертов, в этом вопросе находится на передних рубежах - в рейтинге кибервойск нам отводят пятое место.

Но оружие, пусть даже самое разрушительное, если оно находится под контролем государства, - это еще полбеды. Главная неприятность информационных технологий в том, что они доступны террористам, преступникам, мошенникам и прочим «плохим парням». Конечно, многие будут по старинке красть деньги с кредитных карт и банковских счетов, но ведь найдутся и такие, которые устроят техногенную катастрофу на каком-нибудь крупном предприятии или под угрозой такой диверсии потребуют астрономическую сумму.

Могут ли злоумышленники нарушить работу АСУ ТП (автоматических систем управления технологическими процессами) или даже перехватить управление? Специалисты по ИБ отвечают, что случаи вмешательства в работу АСУ ТП регистрируются довольно часто. Точных данных о количестве и масштабах атак нет, поскольку предприятия стараются это скрывать, но, как считают эксперты, сегодня порядка 35% инцидентов, связанных со сбоями в промышленных сетях, можно считать результатом кибератак. Самый безобидный результат этого - простой предприятия. Исследовав инциденты в 2013 г., специалисты компании RISI пришли к выводу, что 60% предприятий, которые подверглись таким атакам, потеряли из-за простоя до 4 часов, 22% - от 4 до 24 часов, и 18% остановились более чем на сутки.

Конечно, проблема защиты промышленных объектов, АСУ ТП и критических элементов инфраструктуры существовала и прежде, но сейчас она вышла на новый уровень. Сегодня уже недостаточно изолировать производственные системы от внешних сетей, как было раньше, да и зачастую это невозможно и экономически нецелесообразно. Например, видеокамеры, датчики и прочие устройства подключаются по IP, управляются обычным компьютером, а данные накапливаются в стандартных СХД. И даже если производственную ЛВС сделать автономной и изолированной, все равно одного зараженного USB-накопителя хватит, чтобы, минуя все барьеры, внедрить вредоносное ПО в такую сеть.

Специалисты подчеркивают, что обычные методы защиты промышленных систем и АСУ ТП не работают. Эти объекты очень сложны, в них применяются узкоспециализированные технологии, серверы, автоматизированные рабочие места, программируемые логические контроллеры. И к ним должна быть адаптирована система безопасности. Кроме того, взрывной рост Интернета вещей порождает новые угрозы, против которых пока нет противоядия. А поскольку вредоносные программы способны проникать в производственные системы через офисные приложения и наоборот, важно обеспечить защиту всей информационной инфраструктуры предприятия.

Как отмечает Дмитрий Обозный , начальник отдела системного анализа компании «Код безопасности», существующий и постоянно растущий уровень информатизации промышленных предприятий и критически важных объектов инфраструктуры позволяет сделать вывод о существовании серьезной угрозы компьютерных атак. «Именно поэтому государство уделяет такое серьезное внимание этой проблеме - вплоть до включения в состав ключевых аспектов доктрины информационной безопасности и военной доктрины», - сказал он.

Максим Тикуркин , генеральный директор компании «Системный софт», напомнил, что в истории уже были громкие атаки на промышленные объекты и критически важные элементы инфраструктуры с существенными последствиями. Это и Stuxnet, атаковавший ядерные объекты Ирана, в результате чего было выведено из строя более 1 тыс. центрифуг, и атака на украинскую компанию «Прикарпатьеоблэнерго», в результате которой область и город остались на некоторое время без электричества. Эти случаи - особенно первый - демонстрируют всю серьезность возможных последствий атак. Примечательно, что в первом случае вирус распространялся через USB-накопители. Попадание вируса в сеть стало следствием халатности ряда сотрудников, допустивших использование в сети флэш-карт с вирусом, а также отсутствие обновлений ОС на станциях, которые были частью критической инфраструктуры.

Павел Луцик , руководитель проектов по информационной безопасности компании КРОК, считает, что к ключевым рискам ИБ промышленных систем относятся факты внешнего проникновения с выведением АСУ ТП из строя, внешнее несанкционированное управление технологическим процессом, а также риски, связанные с проникновением вредоносного ПО и неправомерными или случайными действиями сотрудников. Последствия - остановка производства, финансовые потери или даже катастрофы. В качестве примера он приводит атаку на сталелитейное предприятие в Германии. Хакерам удалось удаленно вывести из строя доменную печь, что привело к поломке оборудования и простою производства. Доступ к печи хакеры получили, заразив вредоносным программным обеспечением офисную сеть. Другой инцидент, получивший широкую известность, - кибератака на украинских поставщиков электроэнергии, в результате чего прекратилась подача электричества на 80 подстанциях, без света остались более 200 тыс. человек. Параллельно для отвлечения внимания атака была проведена и на call-центр энергокомпании. После отключения подстанций хакеры смогли внедриться в систему и приступить к удалению данных с жестких дисков на рабочих станциях и SCADA-серверах, также они изменили настройки источников бесперебойного питания. По уровню атаки можно судить о высокой технической подготовке злоумышленников.

«Вирусы и хакерские атаки представляют серьезную угрозу для промышленных предприятий, поскольку сегодня все больше процессов автоматизируется и цена простоя увеличивается, - говорит Сергей Абрамов , генеральный директор компании „Софи-Софт“. - Если 10-15 лет назад в таких ситуациях промышленное предприятие могло продолжать работу с относительно низкими потерями, то сегодня цена простоя гораздо выше».

«Атаки типа WannaCry и другие подобные или еще неизвестные являются серьезной угрозой для компаний любых отраслей, в том числе и для промышленных предприятий. Многие из них входят в стратегически важные комплексы, например ВПК, атомная промышленность, космическая отрасль. Любые несанкционированные действия могут приводить к выводу систем и оборудования из строя и другим чрезвычайным ситуациям», - комментирует Константин Савченко , руководитель отдела поддержки корпоративных продаж компании Axoft.

По словам Николая Зенина , главного инженера проектов информационной безопасности ГК «Компьюлинк», используемые на промышленных объектах АСУ в технологическом плане часто представляют собой разработки на базе старых версий ОС (Windows, Sun Solaris), что позволяет получать ожидаемую производительность приложений, функционирующих на имеющемся оборудовании. С другой стороны, такая система не терпит программных вмешательств. И даже добавление простого антивируса в промышленные системы - задача довольно сложная. На практике защита АСУ зачастую сводится к организации надежного защищенного контура вокруг системы, блокирующего любые внешние вмешательства.

«Если предположить, что защита не используется, то вирусы представляют серьезную угрозу для производства. Проникнув в АСУ ТП, они парализуют производство. Хакеры тоже могут нанести серьезный ущерб, вплоть до потери производственного объекта, как это было с металлургическим комбинатом в Германии, - говорит Алексей Петухов , руководитель направления АСУ ТП Центра информационной безопасности компании „Инфосистемы Джет“. - До сих пор малое число инцидентов связано с человеческим фактором, а именно отсутствием спроса на хакерские атаки на промышленные объекты и отсутствием понимания того, каким образом можно получить выгоду от них. К тому же все понимают, что ЧП на производстве может обернуться гибелью людей, а это уже другой уровень ответственности. Но, к сожалению, на ближайшие годы мы прогнозируем рост активности хакеров и вредоносного ПО и атаки на промышленные системы».

Война по правилам и без

Сражения в киберпространстве идут не первый год. Участниками «боевых действий» выступают как государства, так и различные группы, в том числе преступные и террористические. Их цель - нанести урон противнику (экономический, политический или репутационный), что обусловлено конкурентной борьбой, промышленным шпионажем либо желанием получить деньги. Наиболее вероятными целями для атак, по мнению Дмитрия Обозного, являются военные объекты, промышленная инфраструктура и предприятия, энергетические комплексы, телекоммуникационные компании, кредитно-финансовая сфера, здравоохранение, информационные ресурсы и СМИ.

Максим Тикуркин считает, что атаки на технологические сети предприятий становятся менее привлекательными, потому что на большинстве промышленных объектов активно внедряются средства защиты АСУ ТП, в том числе дата-диоды, исключающие возможность атак из корпоративной сети. Что касается финансовой выгоды, то для ее достижения наиболее перспективными остаются корпоративные сети и даже сегмент B2C. Например, в мире разработчики вирусов-шифровальщиков заработали за последний год более миллиарда долларов. Что касается технологических сетей, то атаки на них преследуют не финансовые цели.

Вместе с тем Дмитрий Обозный отмечает, что доказанных фактов кибердиверсий со стороны «кибервойск» или спецслужб в настоящее время не имеется. Но необходимо принимать во внимание потенциальную возможность осуществления атак сотрудниками специальных «киберподразделений». О таких рисках идет речь в Доктрине информационной безопасности.

Мало кто спорит, что одно государство может провести кибератаку на объекты другого государства. Максим Тикуркин напомнил, что вышеупомянутый вирус Stuxnet был настолько сложен в плане заложенных в нем механизмов и принципов действия, что вряд ли мог быть разработан группой энтузиастов. Но это всего лишь догадки. В случаях крупных атак на критически важные объекты очень сложно доказать причастность (или непричастность) правительства той или иной страны.

«Если в настоящее время ряд стран находится в жесткой конфронтации, а некоторые в состоянии боевых действий, то очевидно, что и ИТ также остаются в их поле зрения, и также очевидно, что любой урон, в том числе с помощью кибератак, расценивается одной из сторон как еще одна удачная возможность нанести ущерб сопернику. Тем более что подобные атаки можно скрывать продолжительное время», - говорит Константин Савченко.

Андрей Марусин , старший менеджер по продукту ГК ИВС (Пермь), считает, что государства вполне могут вести кибервойну против «недружественных» режимов и стран. Если целью небольших групп хакеров являются деньги, то кибердиверсанты «на господдержке» работают над тем, чтобы ослабить экономику противника.

Но если кибервторжение повлечет за собой серьезные потери для атакованной стороны (а именно этого и добивается противник), то пострадавшее государство вполне может расценить это как акт агрессии или войны. Со всеми вытекающими. Алексей Петухов подчеркивает, что на уровне доктрин безопасности большинства развитых государств кибератаки могут быть оценены как акт вторжения. И эти страны оставляют за собой право отвечать всеми доступными средствами.

Андрей Марусин заметил, что такие вторжения носят характер военных действий, но пока только в кибернетическом пространстве. «На прошедшей в феврале 2017 г. коллегии ФСБ вопросы кибервойн стояли как никогда остро», - сказал он.

По словам Дмитрия Обозного, в соответствии с резолюцией 3314 Генеральной ассамблеи ООН от 14 декабря 1974 г., атаки в информационном пространстве не определяются как агрессия. Но в те годы и информационное пространство было совсем другим. Сегодня, согласно нашей военной доктрине, наблюдается тенденция смещения военных угроз в информационное пространство. А основными военными угрозами признаются «воспрепятствование работе систем государственного и военного управления РФ, нарушение функционирования ее стратегических ядерных сил, систем предупреждения о ракетном нападении, контроля космического пространства, объектов хранения ядерных боеприпасов, атомной энергетики, атомной, химической, фармацевтической и медицинской промышленности».

Но более вероятными представляются боевые и диверсионные операции в киберпространстве со стороны террористических и экстремистских групп. «Их вмешательство в управление автоматизированными системами критически важных объектов, в том числе и с целью вывода их из строя, можно считать довольно вероятными, - заявил Павел Луцик. - Имеются сведения, что в 2015 г. более 600 российских интернет-ресурсов были атакованы хакерами террористической организации „Исламское государство Ирака и Леванта“ (запрещена в России). Учитывая интерес подобных группировок к предприятиям США, к российским информационным ресурсам, их высокую мотивацию и финансовые возможности, можно прогнозировать рост угрозы для критически важных объектов нашей страны. Риск того, что террористические организации будут покупать техническую информацию компаний для совершения атак, довольно вероятен. Поэтому государствам так важно вовремя обезопасить себя от подобных угроз. Кроме того, в прогнозе МЧС о чрезвычайной обстановке на территории Российской Федерации отмечалось, что уровень информационной безопасности не соответствует уровню угроз в данной сфере, и в 2017 г. возможна активизация хакерских атак с целью создания условий для возникновения техногенных чрезвычайных ситуаций».

С этим согласен и Андрей Марусин. По его словам, преступники и террористы активно осваивают приемы и методы кибернетических войн. Их цели могут быть самыми разнообразными: от взлома сайтов с размещением на них компрометирующей информации до информационной войны против целого государства.

«Все страны с высоким уровнем развития экономики постоянно совершенствуют системы безопасности на промышленных предприятиях и объектах критически значимой инфраструктуры: развивается законодательство, разрабатываются стандарты, соответствующие новым угрозам, принимаются практические меры. Поэтому основная зона риска - страны третьего мира, в которых технологии защиты АСУ ТП внедряются с существенной задержкой, - говорит Максим Тикуркин. - В теории злоумышленники могут преследовать цели получения контроля над крупными предприятиями - например в области нефтепереработки. Вторая группа риска - страны с нестабильными политическими системами, в которых взломы критически важных объектов могут служить инструментом для смены политического режима».

Игорь Гершуни , руководитель группы инжиниринга АО «Белтел», подчеркивает, что любой, кто совершает подобную атаку, по определению является преступником. Если атака направлена не на получение прибыли, а на нанесение ущерба, то ее можно считать терактом. Ту же атаку на «Прикарпатьеоблэнерго» вполне можно квалифицировать как теракт. Что же касается целей, то они, по мнению Игоря Гершуни, могут быть разными: промышленный шпионаж, саботаж как средство конкурентной борьбы или способ оказания политического давления, использование ресурсов предприятия для своих целей (организации бот-нетов, майнинга криптовалют и т. п). Не стоит сбрасывать со счетов и банальное хулиганство, а также разрушение ради разрушения.

«Взаимодействие киберпреступников сегодня стало эталоном совместной работы удаленных пользователей. Речь идет о координации не только отдельных специалистов, но и целых группировок, - отметил Алексей Петухов. - Уровень квалификации наемных киберприступников может соответствовать подготовке профессиональных киберподразделений. А так как негосударственные ресурсы в качестве политических инструментов активно используются по всему миру, то и вероятность осуществления целенаправленных кибердиверсий террористами и преступниками тоже растет».

Экспертное мнение

Михаил Хлестов , директор по развитию бизнеса компании Axoft:

Современные промышленные объекты в значительной степени автоматизированы. Технологические процессы управляются системами класса АСУ ТП, в которые входят обычные серверы и ПО, а также специализированное оборудование и системы. Как и в обычных программах, в системах АСУ ТП есть уязвимости, которые специалисты обнаруживают быстрее, чем производители успевают выпустить соответствующие патчи. Поэтому они уязвимы для атак хакеров, которые могут получить контроль над АСУ ТП и нарушить технологические процессы. Такие нарушения могут иметь как локальные последствия (например, сбой в системе производства), так и привести к катастрофе или прекращению работы объектов критически важной инфраструктуры. Во втором случае более уместно говорить о финансовом ущербе для экономики в целом, чем об ущербе для одного предприятия.

Только применение современных продуктов, высокий уровень компетенции специалистов и отлаженные процессы обеспечения информационной безопасности позволят своевременно зафиксировать вторжение злоумышленников и предотвратить нежелательные последствия. Как правило, компьютерная сеть промышленных предприятий делится на два сегмента: корпоративный и технологический. При этом корпоративный сегмент подключен к Интернету, а технологический хотя и не имеет прямого выхода во Всемирную сеть, но подключен к корпоративному. Поэтому задачу условно можно разделить на две части: защита корпоративной сети и защита технологической сети. Для защиты первой мы предлагаем нашим партнерам широкий спектр сертифицированных ФСТЭК продуктов информационной безопасности (системы класса антивирус, межсетевой экран, система обнаружения вторжений, сканер уязвимостей, системы класса SIEM и другие) ведущих мировых производителей. Кроме того, в нашем портфеле есть специализированные продукты, предназначенные для защиты технологического сегмента сети, в том числе Kaspersky Industrial CyberSecurity Platform (KICS).

Спецпроект

Уйдем в глухую оборону

Как же правильно организовать защиту предприятий? И кто должен взять на себя эту миссию и ответственность?

«Основная цель защиты АСУ на промышленных предприятиях заключается в обеспечении непрерывности технологических процессов, - считает Николай Зенин. - Для этого должен быть организован комплекс организационных и технических мер, обеспечивающих функционирование компонентов АСУ с минимизацией любых воздействий, в том числе вмешательства самих средств информационной безопасности. Также должны быть приняты организационные меры, исключающие возможность небезопасных действий со стороны пользователей, операторов АСУ по отношению к промышленной сети, в том числе подключения внешних носителей информации, создания неуправляемых беспроводных соединений, неконтролируемого приема-передачи файлов и установки неизвестного ПО».

По мнению Сергея Абрамова, нужна комплексная защита предприятия не только с помощью антивирусных программ и межсетевых экранов, необходимо также предусмотреть защиту от неосторожных, неумышленных действий сотрудников, которые могут нанести вред предприятию, систему блокировки распространения вирусов.

Дмитрий Обозный отметил, что комплексный подход к защите предприятий должен включать в себя организационные и технические меры. Необходимо сочетание обучения персонала и применения современных средств. Помимо этого должна быть регламентирована деятельность по защите информации и организации допуска к инфраструктуре и данным.

«Необходимо выстроить многоуровневую оборону, а также обратить внимание на обучение сотрудников компаний компьютерной грамотности, - заявил Андрей Марусин. - В наши дни недостаточно быть уверенным пользователем ПК, важно также понимать, как противодействовать социальной инженерии, используемой для подготовки атак на предприятия».

Антон Карданов , руководитель сектора ИБ компании AT Consulting, говорит, что масштаб угрозы и возможного ущерба от хакерских атак на промышленные предприятия очень индивидуальны и зависят от уровня подготовки к таким инцидентам каждого конкретного объекта. При организации системы защиты в первую очередь необходимо руководствоваться комплексным подходом к безопасности: это и подсистемы на различных уровнях (сетевые и прикладные средства безопасности), и организационные меры, и дополняющие технические средства. И конечно, необходимо помнить о том, что после создания системы необходимо провести оценку ее эффективности, найти слабые места.

«Защита предприятия от ИБ-угроз - это большой комплекс мер. Среди них - и использование современных средств, и обучение персонала, и даже такая банальная вещь, как регулярное продление технической поддержки на ПО и аппаратные комплексы, - подчеркнул Константин Савченко. - Очень часто встречаются ситуации, когда клиент построит высокий „забор“ из решений ИБ, но часть из них по разным причинам не обновляется, и, по сути, такой „забор“ из решений превращается в решето, в котором полно известных уязвимостей. В некоторых случаях следует отказаться от закупки нового оборудования, а лучше приобрести техническую поддержку по уже эксплуатируемым решениям.

Еще один тренд связан с пониманием проблематики и усовершенствованием атак. Давно известно, что обеспечить 100% безопасности невозможно, а значит, нужно смотреть не только в сторону средств защиты, но и средств мониторинга и обнаружения атак, оперативно выявлять урон, минимизировать его, проводить упреждающие меры на основе анализа данных».

Как обеспечить комплексную защиту объектов критической информационной инфраструктуры

Критически важные объекты - приоритетные цели атак злоумышленников, поскольку такие атаки наносят значительный вред функционированию систем государственного управления, подрывают безопасность и финансовое благополучие граждан, негативно влияют на экологию.

Именно поэтому для комплексной защиты объектов критической информационной инфраструктуры жизненно необходимо централизованное управление всеми подсистемами информационной безопасности. Тогда при получении сигнала об инциденте ИБ-специалист сможет оперативно отследить признаки компрометации во всей ИТ-инфраструктуре и своевременно на них отреагировать. Таким образом, одним из важнейших критериев выбора средства защиты информации (наряду с его функциональными возможностями и качеством) становится наличие централизованного управления.

Разработанное компанией «Код безопасности» комплексное решение Secret Net Studio предоставляет такую возможность: оно обладает централизованной системой управления и мониторинга, ориентированной на крупные территориально распределенные структуры.

Не менее важным преимуществом Secret Net Studio можно считать наличие более 20 механизмов защиты от несанкционированного доступа. В их числе - распределенный межсетевой экран с функцией авторизации сетевых соединений для создания виртуальных сегментов без изменения сетевой топологии, контроль запускаемых приложений, контроль съемных носителей, система обнаружения вторжений уровня хоста и файловый антивирус для защиты от вредоносного ПО.

Secret Net Studio сертифицирован ФСТЭК, что позволяет использовать этот продукт для защиты государственных информационных систем (ГИС) и информационных систем, обрабатывающих персональные данные (ИСПДн). В результате большинство ИБ-задач решаются с помощью всего одного ИБ-продукта. А за счет централизованного управления системой можно повысить оперативность действий администраторов.

Спецпроект

Кому доверить безопасность?

Какие компании должны обеспечивать защиту информации и промышленных систем от вирусных атак и вторжений? Системные интеграторы, специализированные фирмы, собственные подразделения информационной безопасности на предприятиях или правительственные кибервойска?

«Если говорить о проблеме с глобальной точки зрения, то, конечно, ключевая роль должна быть за государством. Как пример - появление специализированных отраслевых организаций, - говорит Константин Савченко. - Но мы понимаем, что спасение утопающих - дело рук самих утопающих, поэтому ответственность ложится на саму организацию или предприятие. И тут важен рост влияния сотрудников, отвечающих как за ИТ в целом, так и за ИБ в частности».

Андрей Марусин считает, что правительство не сможет обеспечить информационную безопасность всем. Каждая компания должна задуматься над этим и вместе с надежным системным интегратором планомерно работать над улучшением уровня ИБ. Чем выше ее уровень, тем дороже обойдется атака. Нужно достичь такого предела, когда атаковать вас будет невыгодно.

По мнению Алексея Петухова, информационная безопасность обеспечивается процессами, людьми и техническими средствами. Процессы ИБ и системную работу с сотрудниками могут ввести только собственные подразделения компании. Только они и должны получать информацию от средств защиты. Далее все зависит от возможностей предприятия и его организационной структуры. Но так же как и борьба с преступностью - задача государства, а не каждого гражданина, так и защита от кибертерроризма - системная задача государства.

Дмитрий Обозный добавил, что в зависимости от сферы деятельности предприятия или критически важного объекта концептуально обеспечение защиты сводится к взаимодействию ИБ-вендора, интегратора, собственных ИБ-специалистов заказчика и регуляторов рынка.

Игорь Гершуни убежден, что обеспечивать защиту промышленных систем от кибератак должны все структуры, имеющие к этому отношение. Системные интеграторы помогут спланировать и оптимизировать комплекс мер безопасности, установить и настроить оборудование и ПО. На собственные подразделения ИБ логично возложить ответственность за выработку и контроль всех процедур, обучение персонала, проведение регламентных и аварийно-восстановительных работ. Специализированные компании в обязательном порядке привлекаются для независимого аудита безопасности и пен-тестов.

В приведенном комплексе мер наиболее трудоемкой задачей, требующей больших ресурсов и высокой квалификации персонала, является контроль и анализ трафика и событий безопасности в сети. Данная задача обычно возлагается на ситуационный центр информационной безопасности, который может быть развернут силами самого предприятия (что дорого, сложно и долго) либо отдан на аутсорсинг сторонней специализированной организации (это не всегда возможно по ряду причин). «Что касается правительственных кибервойск, то не очень понятно, что именно понимается под данным словосочетанием, но без государственного участия в защите объектов критической инфраструктуры не обойтись. В нашей стране этим занимается недавно созданная система ГосСОПКА», - заявил Игорь Гершуни.

Антон Карданов, ссылаясь на практический опыт, говорит, что наиболее эффективно привлечение системных интеграторов с опытом выполнения подобных проектов. Конечно, интеграторы бывают разные, и следует ориентироваться на компании, которые специализируются на обеспечении ИБ критичных объектов. При этом системный интегратор должен работать в тесном контакте со специалистами внутренней службы безопасности.

«Ответственность за защиту АСУ ТП лежит, разумеется, на руководстве предприятий и критически важных объектов, однако внутренние подразделения не могут реализовать весь комплекс мер по развертыванию системы кибербезопасности. В настоящее время большинство проектов по защите АСУ ТП реализуется интеграторами, имеющими соответствующий опыт и располагающими специализированным инструментарием для проверки защищенности объектов АСУ ТП», - подытожил Максим Тикуркин.

Компьютеры в РФ, на Украине, в Турции и Германии. По предварительным данным, криптовирус Bad Rabbit (англ. "плохой кролик") послужил причиной недоступности для пользователей сайтов ряда СМИ, в частности - российского агентства "Интерфакс". Кроме того, сообщалось о "хакерской атаке" на информационную систему международного аэропорта Одессы (Украина) и метрополитен Киева.

Вирусы-вымогатели (ransomware, криптовирусы) работают по схожей схеме: они блокируют рабочий стол пользователя компьютера, шифруют все файлы определенных типов, найденные на компьютере, после чего удаляют оригиналы и требуют выкуп (обычно - перевод определенной суммы денежных средств на счет злоумышленников) за ключ, разрешающий продолжить работу и вернуть файлы. Зачастую создатели криптовирусов ставят пользователям жесткие условия по срокам уплаты выкупа, и если владелец файлов не укладывается в эти сроки, ключ удаляется. После этого восстановить файлы становится невозможно.

Редакция ТАСС-ДОСЬЕ подготовила хронологию первых в истории вирусов, а также наиболее масштабных вирусных компьютерных атак.

В 1971 году первую в мире программу, которая была способна самостоятельно размножать свои копии в компьютерной сети, создал инженер американской технологической компании BBN Technologies Боб Томас. Программа, получившая название Creeper не была вредоносной: ее функционал ограничивался самокопированием и выведением на терминал надписи: "Я крипер, поймай меня, если сможешь". Годом позже другой инженер BBN, изобретатель электронной почты Рэй Томлинсон, создал первый антивирус, который самостоятельно "размножался" на компьютерах сети и удалял Creeper.

В 1981 году был создан первый вирус, который впервые вызвал неконтролирумую "эпидемию". Вирус под названием Elk Cloner (англ. "Клонирователь оленя") был создан 15-летним американским студентом Ричардом Скрентой для компьютеров Apple II. Вирус заражал магнитные дискеты и после 50-го обращения к зараженному носителю выводил на дисплей стишок, а в отдельных случаях он мог также повредить дискету.

В феврале 1991 года в Австралии появился первый вирус, масштаб заражения которым составил более 1 млн компьютеров по всему миру. Вредоносная программа Michelangelo была написана для IBM-совместимых персональных компьютеров (ПК) и операционной системы DOS. Она срабатывала каждый год 6 мая, в день рождения итальянского художника и скульптора Микеланджело Буонаротти, стирая данные на главной загрузочной области жесткого диска. Прочую информацию с диска можно было восстановить, но рядовому пользователю ПК сделать это было сложно. Создатель вируса остался неизвестен, отдельные случаи срабатывания программы фиксировались вплоть до 1997 года.

2 июня 1997 года студент Датунского университета (Тайбэй, Тайвань; КНР) Чэнь Инхао создал первую версию вируса Chernobyl ("Чернобыль" или CIH - по первым слогам имени имени автора). Вирус заражал компьютеры с операционными системами Windows 95 и 98, срабатывал каждый год 26 апреля, в годовщину катастрофы на Чернобыльской АЭС. Вирус стирал загрузочную область жесткого диска и, реже, данные BIOS - загрузочной области компьютера. В последнем случае требовалось менять чип на материнской плате или даже приобретать новый компьютер, так как старый выходил из строя. По оценкам, заражению подверглись более 60 млн ПК по всему миру, ущерб превысил $1 млрд. Непосредственно к Чэнь Инхао исков подано не было, он избежал ответственности.

5 мая 2000 года в мире началась наиболее масштабная эпидемия компьютерного вируса. Созданный филиппинскими студентами Реонелем Рамонесом и Онелем де Гузманом "почтовый червь" ILOVEYOU (англ. "я тебя люблю") рассылал себя по всем контактам электронной почты владельца зараженного ПК и заменял на свои копии большинство файлов с документами, изображениями и музыкой. Только в первые 10 дней эпидемии число зараженных компьютеров превысило 50 млн. Чтобы защититься от эпидемии, многие государственные учреждения по всему миру временно отключили электронную почту. Совокупный ущерб впоследствии был оценен в $15 млрд. Создателей вируса быстро вычислила филиппинская полиция. Однако они остались безнаказанными из-за отсутствия в местном уголовном кодексе статьи, предусматривающей ответственность за компьютерные преступления.

В сентябре 2010 года вирус Stuxnet поразил компьютеры сотрудников АЭС в Бушере (Иран) и создал проблемы в функционировании центрифуг комплекса по обогащению урана в Натанзе. По мнению экспертов, Stuxnet стал первым вирусом, который был использован как кибероружие.

12 мая 2017 года значительное число компьютеров с операционной системой Windows подверглось атаке вируса-вымогателя WannaCry (англ. "хочу плакать"). Вирус шифрует файлы пользователя, чтобы их нельзя было использовать; за расшифровку данных злоумышленники требовали заплатить $600 в криптовалюте биткойн. Всего было заражено до 300 тыс. компьютеров в по меньшей мере 150 странах мира. Предполагаемый ущерб превысил $1 млрд. От атаки, в частности, пострадали Национальная система здравоохранения (NHS) Великобритании, испанская телекоммуникационная компания Telefonica, электронная система суда бразильского штата Сан-Паулу и др. Глобальная хакерская атака также затронула компьютеры российских силовых ведомств и телекоммуникационных компаний. Атакам подверглись системы МЧС, МВД, РЖД, Сбербанка, мобильных операторов "Мегафон" и "Вымпелком". По данным американских экспертов, вымогавшим средства злоумышленникам поступило всего 302 платежа в общем размере около $116,5 тыс. По оценкам Сбербанка, более 70% "успешно" атакованных компьютеров принадлежали российским организациям и физическим лицам. После атаки Microsoft выпустила обновления пакетов безопасности для уже не поддерживавшихся операционных систем Windows XP, Windows Server 2003 и Windows 8.

27 июня 2017 года от атаки компьютерного вируса - шифровальщика Petya.А пострадали десятки компаний в РФ и на Украине. По сообщению Group-IB, которая занимается предотвращением и расследованием киберпреступлений, в России атаке подверглись компьютерные системы "Роснефти", "Башнефти", "Евраза", российских офисов компаний Mars, Mondeles и Nivea. На Украине вирусной атаке подверглись компьютеры "Киевэнерго", "Укрэнерго", "Ощадбанка" и концерна "Антонов". Также из-за вируса временно отключился автоматический мониторинг промышленной площадки на Чернобыльской АЭС. Вирус Petya распространяется через ссылки в сообщениях электронной почты и блокирует доступ пользователя к жесткому диску компьютера, требуя выкуп в размере $300 в биткойнах. Этим он схож с вредоносной программой WannaCry, с которой была связана предыдущая крупная вирусная атака в мае 2017 года.

В последние дни уходящей недели по всему миру прошла волна заражения компьютеров вирусом-шифровальщиком. Пострадали как рядовые граждане, так и вполне серьёзные коммерческие и государственные предприятия и учреждения. По последним данным под удар попали компьютеры из по меньшей мере 150 стран. Но при всей своей массовости вирус поразил далеко не все машины. Как так вышло?

14 05 2017
21:41

Начнём с простого: большинство вирусов попадает на компьютер путём загрузки на него заражённого файла. Чаще всего это исполняемый файл, который требует запуска или же запускается самостоятельно. Для того, чтобы избежать самопроизвольного срабатывания таких программ, система безопасности Windows запрашивает ваше согласие на выполнение действия со свежеустановленным файлом. В случае, если вы не дадите разрешения на запуск приложения, процесс будет автоматически прерван.

Вирусы, которые распространяются внутри локальной сети или путём передачи с помощью внешних устройств (диски, карты памяти), система может обнаружить далеко не всегда. Для этого существует вторая линия обороны – антивирус. Такое ПО позволяет сканировать носители на предмет вредоносных программ, а также проводить регулярную проверку компьютера. Наиболее распространённые антивирусы (NOD 32, Avast, Avira, Kaspersky lab.) обладают широкой базой данных о возможных опасностях, которые регулярно обновляются производителем программ. Чем обширнее база, тем больше вероятность того, что попавший на вашу машину вирус входит в неё, а значит, будет оперативно обнаружен.

Заражение компьютера не всегда становится заметно сразу. Часто всего проблемы начинаются с замедления работы системы, постепенного сокращения свободного места на дисках или же «слетания» заполненных и внесенных в память паролей. В какой-то момент компьютер перестаёт нормально работать – отказывает загружаться или запускать те или иные сервисы и программы, самопроизвольно выключается через определённый промежуток времени. Что с этим делать?

В первую очередь, не паниковать. Если вы не уверены, что способны самостоятельно справиться с проблемой, выключите компьютер и свяжитесь со специалистом. В выключенном виде вирусы не распространяются, так что хуже вы точно не сделаете.

Если же всё не так печально (к примеру, компьютер загружается, но периодически появляются странные окна, надписи и т.д.), то стоит запустить проверку антивирусом. При обнаружении проблем лечить и удалять повреждённые файлы. Программа по защите сама подскажет, что и как делать с виновниками происходящего.

Однако некоторые вирусы блокируют запуск ПО, которое может их обнаружить. Для этого крупные разработчики создали специальный сервис по проверке компьютера на вредоносные программы без установки приложения. Пользователь запускает на компьютере исполняемый файл, который при помощи интернет-канала устанавливает соединение с базой данных вирусов и производит сканирование машины. После обнаружения заражённые файлы также подлежат удалению.

Вирусы-шифровальщики также поддаются «лечению». Правда, для того, чтобы расшифровать свои данные, вам потребуется код, который преступники якобы должны высылать своей жертве. Для старых версий подобных программ коды известны, их можно найти на просторах интернета в свободном доступе.

Но последний вирус, поразивший весь мир, таких кодов не имел. Распространялся он по сети, при этом вовсе не обязательно было что-то устанавливать на компьютер – шифровальщик цеплялся к машине самостоятельно. При попытке оперативного (до появления сообщения о заражении) лечения указанными выше способами он появляется вновь, рано или поздно открывая окно с информацией о том, что ваше устройство было взломано. Этот вирус лечится, но проще всего переустановить всю систему. В любом случае будут потеряны все аудио-, видеофайлы, изображения и текстовые документы, ведь они уже зашифрованы, так что полное обновление системы будет просто более быстрым решением. Действенных способов спасти и расшифровать файлы пока нет.

Но почему он поразил не все компьютеры? Помимо того, что во время прохождения атаки не все пользователи были в сети, часть из активных компьютеров была защищена путём обновления Windows. Да, всё правильно. Те, кто не убирал галочки с поля «разрешить автоматическую установку обновлений», оказались в безопасности, ибо критическая уязвимость, которой пользуется этот шифровальщик, была устранена более месяца назад.

Чтобы ничего подобного не прилетало по сети безнаказанно, необходимо пользоваться ещё одним защитным механизмом – фаерволом. Это, грубо говоря, фильтр данных, поступающих на вашу компьютер по сети. Часто он блокирует работу безобидных программ, игр и пакетов с неизвестным создателем, что бывает очень неудобно в обычной ситуации. Но защита – так защита.

Будьте бдительны. Дублируйте свои документы на внешних и облачных носителях.

Дмитрий Потапкин, специально для Обзор.press.

Самая мощная и серьезная угроза компьютерных пользователей - это вирусные атаки. Они затрудняют важную работу с данными и документами. Для каждого пользователя компьютера обязательно наличие знаний о программном обеспечении и сервисах, которые могут помочь защитить устройства от атак. Нужно принимать все возможные меры, чтобы компьютерные системы были защищены. Ниже перечислены основные источники вирусных атак.

Загружаемые программы

Одним из возможных источников вирусных атак являются загружаемые из Интернета программы. Ненадежные источники и интернет-группы новостей являются одним из основных источников вредоносных программ. Загружаемые файлы выступают одними из лучших распространителей вируса. Любой тип исполняемой программы, включая игры, бесплатные приложения, дополнения для экрана, а также исполняемые файлы, является одним из основных источников компьютерных вирусных атак. В таких данных с расширением «.com», «.exe» и «coolgame.exe» также содержатся вредоносные сценарии. Поэтому во всех случаях, когда вы хотите загрузить программы из Интернета, необходимо сканировать каждую из них перед запуском.

Cracked Software

«Кряки» выступают еще одним источником вирусных атак. Большинство людей, которые скачивают взломанные и пиратские версии программного обеспечения онлайн, не знают о том, что они могут содержать вирусы. Такие формы файлов содержат вредоносные сценарии и ошибки, которые трудно обнаружить, а также удалить. Следовательно, всегда предпочтительным вариантом является загрузка программного обеспечения из соответствующего источника.

Вложения электронной почты

Они также являются одним из популярных источников компьютерных вирусных атак. Следовательно, вы должны обращаться с вложениями электронной почты с особой осторожностью, особенно если письмо приходит от неизвестного отправителя. Установка хорошего антивируса - первостепенная необходимость, если вы хотите устранить этот риск. Необходимо сканировать электронную почту, даже если она приходит от друга. Существует вероятность того, что другой пользователь может иметь неосознанно перенаправленный вирус вместе с приложением электронной почты.

Интернет - лучший источник вирусных атак-2017

Нельзя отрицать тот факт, что Интернет является одним из весьма распространенных источников вирусов, особенно в наши дни. Этот факт не является сюрпризом, и, конечно, нет никакого смысла прекращать доступ к Интернету впредь. Большинство пользователей компьютеров не знают, когда вирусы атакуют компьютерные системы. Почти каждый юзер нажимает на ссылки и загружает все, что предлагает браузер, и, следовательно, бессознательно допускает возможность вирусных атак.

Загрузка с неизвестного носителя

Один из других распространенных источников вирусных атак - неизвестный диск или флешка. Большинство пользователей компьютеров считают, что одним из наиболее распространенных способов заражения вирусом является съемный носитель с данными. Рекомендуется удалять диск или флешку, когда компьютерная система не работает. Если вы не удаляете носитель после выключения устройства, оно может автоматически начать загрузку с него.

Это может увеличить возможность установки, а также запуск файлов/программ на конкретной компьютерной системе. Помимо вышеупомянутых источников, (например, Bearshare, Kazaa и Limewire) также иногда являются источниками вирусных атак. Следовательно, необходимо удалять загруженные файлы из вышеупомянутых сетей обмена данными, чтобы исключить возможность заражения вирусом.

Новая вирусная атака

Многие организации в Европе и США пострадали от вирусной атаки, связанной с вымогательством. Это произошло из-за действия вируса, известного как «Петя». распространились через крупные фирмы, включая рекламодателя WPP, пищевую компанию Mondelez, юридическую фирму DLA Piper и датскую судоходную и транспортную фирму Maersk, что привело к блокированию данных с ПК и последующему требованию выкупа.

Это вторая крупная глобальная атака по вымогательству за 2017 год. В начале мая Национальная служба здравоохранения Великобритании (NHS) стала первой среди организаций, зараженных вирусом WannaCry, который использовал уязвимость системы. Как стало впоследствии известно, он был выпущен в Интернет в апреле группой хакеров, называющей себя «Теневые брокеры».

Атака WannaCry повлияла на более чем 230 000 компьютеров в более чем 150 странах, среди которых оказались NHS, испанская телефонная компания Telefónica и немецкие государственные железные дороги. Как и WannaCry, «Петя» быстро распространяется по сетям, использующим Microsoft Windows, но что это такое и как это можно остановить?

Как это работает?

Вирусная атака 27 июня 2017 года типа Ransomware прошлась по многим странам, в том числе по России. Это вид вредоносного ПО, которое блокирует доступ к компьютеру или его данным и требует деньги для восстановления доступа к ним.

Когда компьютер заражен, Ransomware шифрует важные документы и файлы, а затем требует выкуп, как правило, в биткоинах, для получения цифрового ключа, необходимого для разблокировки файлов. Если у жертв нет недавней резервной копии файлов, они должны либо заплатить выкуп, либо потерять все свои данные.

Как работает рецессия «Петя»?

Зараженное устройство блокирует компьютеры в сети и требует 300 долларов США, выплачиваемых в биткоинах. Вредоносная программа быстро распространяется после заражения с использованием уязвимости EternalBlue в Windows (Microsoft выпустила исправление, но не все его установили) или двумя инструментами администрирования ОС. Вирус пытается использовать один параметр, и если он не работает, он пытается выполнить следующий. При этом у него имеется лучший механизм для распространения, чем у WannaCry, как отметили специалисты.

Есть ли защита?

Большинство крупных антивирусных компаний-разработчиков заявляют, что их программное обеспечение обновлено, и теперь способно активно обнаруживать и защищать от заражений вирусом «Петя». Например, производители продуктов Symantec и Kaspersky сообщили, что их программное обеспечение по безопасности теперь может обнаруживать вредоносное ПО.

Кроме того, обновление Windows и поддержание ОС в актуальном состоянии тоже останавливает один из основных способов заражения, а также защищает от будущих атак с разными полезными нагрузками.

От этой конкретной атаки вредоносных программ была обнаружена еще одна линия защиты: «Петя» проверяет файлы, предназначенные только для чтения, C:\Windows\ perfc.dat, и если он найдет его, он не будет запускать сторону шифрования программного обеспечения. Но эта «вакцина» на самом деле не предотвращает заражение, и вредоносное ПО все еще будет использовать свою точку опоры на вашем ПК, чтобы попытаться распространиться на других в одной сети.

Почему он называется «Петя»?

Строго говоря, новый вирус - это не совсем то, что известно специалистам как «Петя». Похоже, что это вредоносное ПО обладает значительным количеством кода, имеющего много совпадений со старым вирусом, который действительно назывался Petya. Но через несколько часов после начала атак исследователи заметили, что это лишь поверхностное сходство. Исследователи из «Лаборатории Касперского» после вирусной атаки в России отказались называть это вредоносное ПО данным именем, и в результате стали распространяться схожие варианты названия - Petna, Pneytna и т. д. Кроме того, другие исследователи, которые самостоятельно заметили вредоносное ПО, дали ему другие имена: румынский Bitdefender назвал его Goldeneye, например.

С чего это началось?

Похоже, что атака была осуществлена с помощью механизма обновления программного обеспечения, встроенного в бухгалтерскую программу, которую, по мнению украинской киберполиции, должны использовать компании, работающие с украинским правительством. Это объясняет, почему пострадало так много украинских организаций, в том числе правительство, банки, государственные энергетические компании и киевский аэропорт и система метро. Система в Чернобыле также была отключена от сети, вынудив сотрудников использовать ручные счетчики для измерения уровней радиации в зоне отчуждения АЭС. Вторая волна инфекций была порождена фишинговой кампанией с вредоносными приложениями.

Как далеко он распространился?

Новый вариант «Пети» вызвал серьезные нарушения в работе крупных фирмах в Европе и США, в том числе в рекламной компании WPP, французской строительной компании Saint-Gobain и российских сталелитейных и нефтяных компаниях. В частности, произошла массивная вирусная атака на «Роснефть» и «Евраз». Пищевая компания Mondelez, юридическая фирма DLA Piper, датская судоходная и транспортная фирма AP Moller-Maersk и Heritage Valley Health System, которая работает в больницах и учреждениях по уходу в Питтсбурге, также заявили, что их системы пострадали от вредоносного ПО.

В отличие от WannaCry, эта версия «Пети» пытается распространяться внутри сетей, но не проявляется внешне. Это может ограничить предельное распространение вредоносного ПО, которое, похоже, замедлило снижение числа новых заражений за одну ночь.