Фантастика литературного замысла уступила… фантастике мысли, научных дерзаний. Но от этого действительность не стала менее фантастической.
Б.П. Коноваленко
Фантастика литературного замысла уступила… фантастике мысли, научных дерзаний. Но от этого действительность не стала менее фантастической.
Б.П. Коноваленко
Эксперты Positive Technologies проанализировали наиболее известные за последние 10 лет семейства руткитов — программ, позволяющих скрыть в системе присутствие вредоносного программного обеспечения или следы пребывания злоумышленников. Исследование показало, что 77% руткитов используются киберпреступниками для шпионажа.
Руткиты — не самое распространенное вредоносное ПО. Случаи обнаружения руткитов, как правило, отсылают к громким атакам с резонансными последствиями — зачастую данные утилиты входят в состав многофункционального вредоносного ПО, которое перехватывает сетевой трафик, шпионит за пользователями, похищает сведения для аутентификации или использует ресурсы жертв для проведения DDoS-атак. Наиболее известный случай применения руткита в атаках — кампания по распространению вредоносного ПО Stuxnet, главной целью которой была приостановка развития ядерной программы Ирана.
Аналитики Positive Technologies провели масштабное исследование руткитов, используемых злоумышленниками за последние десять лет — начиная с 2011 года. Согласно полученным данным, в 44% случаев злоумышленники использовали руткиты в атаках на госучреждения. Чуть реже (38% случаев) эти вредоносы применялись для атак на исследовательские институты. Эксперты связывают выбор этих целей с основным мотивом киберпреступников, распространяющих руткиты, — получением данных. Так, большую ценность для злоумышленников представляет информация, которую обрабатывают эти организации. В топ-5 наиболее атакуемых посредством руткитов отраслей по итогам исследования также вошли телеком (25%), промышленность (19%) и финансовые организации (19%). Помимо этого, более половины руткитов (56%) используются хакерами в атаках на частных лиц. Главным образом это таргетированные атаки в рамках кампаний по кибершпионажу в отношении высокопоставленных чиновников, дипломатов и сотрудников целевых организаций.
«Руткиты, особенно работающие в режиме ядра, очень сложны в разработке, поэтому их используют либо высококвалифицированные APT-группировки, которые обладают навыками разработки подобного инструмента, либо группы, чьи финансовые возможности позволяют купить руткиты на теневом рынке, — поясняет аналитик Positive Technologies Яна Юракова. — Основная цель злоумышленников такого уровня — кибершпионаж и получение данных. Это могут быть как финансово мотивированные преступники, которые похищают крупные суммы денег, так и группировки, добывающие информацию и совершающие разрушительные действия в инфраструктуре жертвы в интересах заказчиков».
Как показал анализ, исследованные семейства руткитов в 77% случаев использовались злоумышленниками для получения данных, примерно в трети случаев (31%) — для извлечения финансовой выгоды, и лишь в 15% атак эксперты отметили мотив эксплуатации инфраструктуры компании-жертвы для проведения последующих атак.
Согласно отчёту Positive Technologies, на теневых форумах в основном преобладают объявления о продаже руткитов пользовательского уровня — их обычно используют в массовых атаках. По оценкам экспертов компании, стоимость готового руткита варьируется от 45 до 100 000 долл. США и зависит от режима работы, целевой ОС, условий использования (например, вредонос можно взять в аренду на месяц) и дополнительных функций (чаще всего запрашивают получение удаленного доступа и сокрытие файлов, процессов и сетевой активности). В некоторых случаях разработчики предлагают доработку руткита под нужды заказчика и оказывают сервисное сопровождение. Стоит отметить, что в 67% объявлений фигурировало требование о том, что руткит должен быть «заточен» под Windows. Это коррелирует с результатами исследования: доля таких образцов в выборке вредоносов, изученных специалистами Positive Technologies, также превалирует, составляя 69%.
«Несмотря на сложности разработки этих зловредов, каждый год мы отмечаем появление новых версий руткитов, чей механизм работы отличается от уже известных вредоносов. Это говорит о том, что киберпреступники продолжают развивать инструменты, позволяющие маскировать вредоносную активность, и постоянно придумывают новые техники обхода средств защиты — появляется новая версия Windows, и сразу же разработчики вредоносов создают руткиты, ориентированные под нее, — комментирует Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies. — Мы ожидаем, что руткиты продолжат использовать хорошо подготовленные APT-группировки, а значит, речь идет уже не просто о компрометации данных и извлечении финансовой выгоды, а о сокрытии сложных целенаправленных атак, результатом которых может быть реализация недопустимых для организаций событий — от вывода из строя объектов КИИ, таких как атомные станции, ТЭЦ и электросети, до техногенных катастроф, вызванных авариями на промышленных предприятиях, и случаев политического шпионажа».
Чтобы обезопасить свою компанию от атак с использованием руткитов, специалисты Positive Technologies рекомендуют использовать средства обнаружения вредоносной активности на конечных узлах и решения типа PT Sandbox, которые позволяют выявить вредоносную программу как на этапе установки, так и в процессе работы. Обнаружить руткиты также поможет сканер руткитов, проверка целостности системы и анализ сетевого трафика на предмет аномалий.
Последний вышедший номер
Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru
© ООО Издательский дом "ИнфоАвтоматизация", 2003-2026 гг.
Сайт «Автоматизация в промышленности» предназначен для специалистов по промышленной автоматизации: главных инженеров, главных энергетиков, главных механиков, главных метрологов, инженеров служб АСУ ТП, АСУТП, КИПиА, КИП и А, отделов метрологии, отделов автоматизации, отделов главного инженера, специалистов инжиниринговых и внедренческих фирм, менеджеров фирм системных интеграторов, преподавателей вузов, научных работников, сотрудников научно-исследовательских институтов, студентов и аспирантов.
Сайт «Автоматизация в промышленности» неразрывно связан с одноименным журналом, в котором публикуются концептуальные, научно-практические и внедренческие статьи, посвященные промышленным автоматизированным системам, системам управления бизнес-процессов, программному и алгоритмическому обеспечению, техническим средствам автоматизации, вопросам сертификации, описанию промышленных стандартов, а также обзоры зарубежной прессы.
В каждом номере проводится обсуждение актуальных тем по проблемам создания и применения следующего инструментария: интегрированные АСУ, MES, АСУ П, АСУ ТП, SCADA, АСКУЭ, EAM, ТОИР, ERP, LIMS, ЛИУС, распределенные системы управления, РСУ, система управления качеством выпускаемой продукции, промышленные тренажеры, современные методы и алгоритмы управления и моделирования, коммуникационные средства, GSM–связь, РС-совместимые контроллеры, ПК, человеко-машинный интерфейс, встраиваемые системы, Web-технологии, HTML-технологии, числовое программное управление, ЧПУ, виртуальные приборы, виртуальное измерение, беспроводная связь, имитационное моделирование, Ethernet, Internet-технологии, Industry 4.0, Интернет вещей, промышленный Интернет вещей, IIoT, IoT, Четвертая промышленная революция, навигационные системы, роботы, датчики, сенсоры, диагностика клапанов, водоподготовка, экологические системы, производственная безопасность, идентификация, RFID-технологии, машинное зрение, промышленные сети, средства промышленного монтажа, корпуса и конструктивные решения, пневмоавтоматика, ПЛК, программируемые логические контроллеры, интеллектуальные датчики, сервосистемы, системы поддержки принятия решений и т.д.
Вниманию читателей предлагаются подборки по автоматизации следующих отраслей промышленности и народного хозяйства: металлургия, нефтегазовая отрасль, химическая промышленность, транспорт, сельское хозяйство, комбикормовая и перерабатывающая промышленность, автомобилестроение, энергетика, электроэнергетика, жилищно-коммунальное хозяйство, интеллектуальное здание, умный дом, непрерывное производство (рецептурное), дискретное производство, пищевая промышленность и др.