Как работает рынок нелегального хостинга

Кроме этого, исследователи Trend Micro выявили, например, такой факт: одним из сигналов для специалистов по ИТ-безопасности, говорящим об активности киберпреступников, должно стать обнаружение операций майнинга криптовалюты с использованием инфраструктуры организации. Хотя криптомайнинг сам по себе не нарушает бизнес-процессов и не приводит к финансовым потерям, ПО для него обычно используется хакерами для получения прибыли от скомпрометированных серверов организации, которые "простаивают", пока киберпреступники разрабатывают более перспективные с точки зрения заработков схемы. К числу таковых относятся, например, кража ценных данных, продажа доступа к серверам другим хакерам и подготовка к целевым атакам с использованием программ-вымогателей. Любые серверы, на которых обнаружены криптомайнеры, рекомендуется немедленно отключить от инфраструктуры и обследовать на предмет возможных противозаконных действий.

В докладе перечислены доступные на сегодняшний день услуги рынка нелегального хостинга, а также приведены технические подробности того, как они функционируют и как киберпреступники используют их для ведения своей деятельности. Также в нем содержится подробное описание типичного жизненного цикла скомпрометированного сервера - от первоначального взлома до финальной атаки. Облачные серверы особенно уязвимы для компрометации и использования в инфраструктуре нелегального хостинга, так как они часто защищены хуже локальных.

Как сообщается в докладе, киберпреступники используют уязвимости в серверном ПО, атаки методом перебора для взлома учетных данных или кражу этих учетных данных при помощи фишинга, чтобы развернуть в сети организации вредоносное ПО. Также они могут взломать программное обеспечение для управления инфраструктурой, похитив ключи облачного API, что предоставит им доступ к ресурсам и возможность создания новых виртуальных машин. После взлома доступ к этим облачным серверам продается на подпольных форумах, специализированных торговых площадках и даже в социальных сетях для использования в разнообразных атаках.

В докладе также рассматриваются новые тенденции рынка нелегального хостинга, в том числе взлом телефонии и спутниковой инфраструктуры, а также сдача в аренду возможности скрытно использовать вычислительные мощности организаций, включая удаленный доступ по RDP и VNC.

"Рынок нелегального хостинга предлагает своим клиентам широкий спектр инфраструктурных решений для разного рода кампаний, включая абьюзоустойчивый хостинг, услуги анонимизации, предоставление доменных имен и предварительно скомпрометированные корпоративные ресурсы", - отмечает директор направления перспективного исследования угроз в Trend Micro Боб Макардл. По его словам, цель компании заключается в том, чтобы повысить уровень осведомленности об инфраструктуре, которую используют киберпреступники, чтобы помочь правоохранительным органам, клиентам компании и другим исследователям в этой области лишить злоумышленников инструментов совершения правонарушений и увеличить их операционные расходы".

"Взломав локальные или облачные корпоративные активы, хакеры смогут в дальнейшем свободно их использовать. Поэтому на практике в первую очередь стоит обратить внимание именно на те активы, которые проще всего скомпрометировать", - подчеркивает Боб Макардл.

Директор экспертного центра безопасности Positive Technologies Алексей Новиков говорит, что для злоумышленников, которые взламывают компании для использования их инфраструктуры, нет разницы - облачная ли это инфраструктура или on-premise. "Главное, что они могут получить к ней доступ. При этом доля компаний, где удается получить доступ к ресурсам внутренней сети от лица внешнего злоумышленника, с каждым годом увеличивается. Использование методов социальной инженерии и эксплуатация недостатков защиты облачной инфраструктуры дополнительно повышают шансы на успешное преодоление сетевого периметра", - объясняет Алексей Новиков. По его словам, так как все больше компаний уходят в облака, то, естественно, увеличивается количество инцидентов и взломов, связанных с облачной инфраструктурой. При этом многие компании при миграции в облако в последнюю очередь думают о безопасности новой инфраструктуры или не имеют возможности ею заняться.

"Как правило, векторы атак основываются на эксплуатации известных недостатков безопасности и в большинстве своем не требуют от злоумышленника глубоких технических знаний. Для поддержания высокого уровня защищенности системы необходимо соблюдать общие принципы обеспечения информационной безопасности. При этом все вопросы в области ИБ лучше обсуждать "на берегу", до миграции сервисов компании в облака. Важно сразу очертить круг ответственности и понять, кто будет заниматься информационной безопасностью - сам бизнес или провайдер облачной инфраструктуры. Если защиту ИБ будет предоставлять провайдер - сразу договориться об объемах, способах и техниках защиты, определить SLA и регулярность отчетов о состоянии защищенности облачной инфраструктуры, а самое главное - четко знать, от чего есть защита, а от чего ее нет", - предупреждает Алексей Новиков.

По его мнению, стоит помнить, что на сетевом периметре компаний основная проблема безопасности заключается в недостаточной защите веб-приложений. Следует регулярно проводить анализ защищенности веб-приложений, при этом наиболее эффективным методом проверки является метод белого ящика, подразумевающий анализ исходного кода. В качестве превентивной меры рекомендуется использовать межсетевой экран уровня приложений (web application firewall) для предотвращения эксплуатации уязвимостей, которые могут появляться при внесении изменений в код или добавлении новых функций.

"Важно знать, что злоумышленники могут долгое время находиться в инфраструктуре и оставаться незамеченными. Поэтому мы рекомендуем не только защищать сетевой периметр, но и проводить регулярный ретроспективный анализ сети с целью выявить уже случившееся проникновение", - советует Алексей Новиков.

Директор департамента цифровой экономики университета "Синергия" Роман Солдатенков утверждает, что самая неприятная часть заключается в том, что не всегда возможно оперативно выявить так называемый взлом в больших организациях. "Если компания небольшая, то на "подключение" извне укажет сомнительный трафик. К примеру, будет заметен резкий скачок. Но в огромных корпорациях трафик и так огромен. И риск взлома существует всегда, если инфраструктура подключена к Глобальной сети. Невозможно получить доступ только в одном случае - когда внутренние сети полностью отключены от интернета", - рассказывает Роман Солдатенко.

По его оценке, самый действенный метод борьбы - регулярный мониторинг. "В крупных организациях существуют подразделения, отвечающие за информационную безопасность. И тут нужно понимать, какие у взломов могут быть причины? Люди прежде всего таким образом зарабатывают деньги. Проникают в чужую инфраструктуру, используют чужие ресурсы и начинают самостоятельно зарабатывать деньги на чужих ресурсах. И здесь важно найти тех, кому это может быть интересно. Ведь, как правило, это происходит неслучайно. Это может быть организация-конкурент или запущенные процессы сепарации внутри компании", - говорит Роман Солдатенко.

По мнению Романа Солдатенко, подобных взломов будет все больше. "Масштаб проблемы увеличится колоссально уже в ближайший год-два. Проблема получает все больший размах вместе с развитием новых технологий. Нужно быть осведомленным в области информационной безопасности, защиты информации. А после получать более углубленные знания. Мы должны понимать, что такие проблемы создаются не компьютерами, а людьми, которые просто чуть больше усилий приложили, чтобы обучиться чему-то дополнительному", - рекомендует Роман Солдатенко.