Слаб человек: как найти и обезвредить кибершпиона

Владимир Ардаев, обозреватель МИА "Россия сегодня"

В минувшую субботу Федеральная служба безопасности России выявила внедрение вредоносных шпионских программ в компьютерные сети порядка 20 российских организаций.

По информации Центра общественных связей (ЦОС) ФСБ, заражению подверглись компьютеры органов государственной власти, научных и военных учреждений, предприятий оборонно-промышленного комплекса и других объектов критически важной инфраструктуры страны. Распространение вируса носило целевой характер, что, по мнению контрразведчиков, указывает на профессионально спланированную операцию.

"По оценке специалистов, указанное вредоносное программное обеспечение по стилистике написания, наименованию файлов, параметрам использования и методам инфицирования схоже с программным обеспечением, использованным в нашумевших операциях по кибершпионажу, выявленных ранее как на территории Российской Федерации, так и по всему миру. Новейшие комплекты данного программного обеспечения изготавливаются для каждой "жертвы" индивидуально, на основе уникальных характеристик атакуемой ПЭВМ", — говорится в сообщении ЦОС.

Программы-шпионы заражали компьютеры, попадая в них с электронными сообщениями, содержавшими вложения. Внедрившись в систему, такая программа подгружает необходимые модули и после этого может перехватывать сетевой трафик, прослушивать переговоры, снимать скриншоты экрана, самостоятельно включать web-камеры, микрофоны, активировать мобильные устройства, вести аудио- и видеозапись, фиксировать нажатие клавиш.

ФСБ сообщает, что "во взаимодействии с министерствами и ведомствами проведен комплекс мероприятий по выявлению всех "жертв" данной вредоносной программы на территории Российской Федерации, а также локализации угроз и минимизации последствий, нанесенных ее распространением".

Но как в принципе могло случиться, что компьютерные сети стратегически важных для страны организаций и учреждений (многие из которых относятся к тем, которые принято называть "режимными объектами") оказались настолько уязвимы, что их стало возможно "заразить" через обычные электронные письма?

РИА Новости обратились за разъяснениями к специалистам по кибербезопасности.

Слабое место

В "Лаборатории Касперского" от подробных комментариев отказались, ограничившись коротким сообщением.

"Мы знаем о том, что вышли новости о кампании кибершпионажа, направленной на российские организации. Эксперты глобального центра исследований и анализа угроз "Лаборатории Касперского" в настоящее время исследуют действия мощной кибергруппировки, которая, по всей вероятности, стоит за этой кампанией. Нам необходимо некоторое время для подтверждения имеющейся у нас информации, и сразу после этого мы готовы поделиться результатами нашего расследования", — сообщили в пресс-службе.

Более подробные комментарии предоставила компания "Информзащита", более 20 лет работающая в области кибербезопасности.

"Абсолютно защищенных информационных систем не существует. Известно множество международных примеров схожих ситуаций: успешные взломы официальных сайтов западных государственных организаций и обнародование переписки их сотрудников. Вопрос взлома практически любой системы в современном мире состоит только во времени и ресурсах, необходимых для реализации атаки, стоимости средств защиты информации и возможного ущерба от нарушения безопасности информации", — утверждает эксперт отдела анализа защищенности компании "Информзащита" Александр Гореликов.

В то же время, как бы ни была совершенна система информационной безопасности, одним из самых слабых ее звеньев всегда остается человек, полагает он. Угроза атак на пользователей информационных систем через массовые почтовые рассылки не теряет своей актуальности. Соотношение трудозатрат на подготовку атаки и возможного результата подтверждает эффективность такого метода проникновения в компьютерные сети организаций.

"Злоумышленники берут количеством: чем больше список адресатов в рассылке, тем выше шанс компрометации. Доставить зловредный код в защищаемую сеть можно через вредоносные вложения в письмах (это могут быть как различные исполняемые файлы, модифицированные таким образом, чтобы антивирусы не выявляли их по сигнатурам, так и офисные файлы с макросами). Можно использовать различные техники обхода спам-фильтров  путем заманивания пользователя на различные подконтрольные злоумышленнику порталы (например, фишинговые сайты)", — объясняет Александр Гореликов.

То есть взлом даже самых защищенных компьютерных систем осуществить можно, и один из наиболее эффективных путей – через электронную почту. Там, где бывает сложно обойти хитроумные преграды, воздвигнутые антивирусной защитой и другими средствами безопасности, выбирается самое уязвимое звено – пользователь. Который, заинтересовавшись присланным ему сообщением, полученным из незнакомого или даже не вызывающего подозрений источника, открывает вложение – безобидную картинку, документ или ссылку на внешне безобидный ресурс. Остальное, как говорится, дело техники – "вшитый" во вложение или содержащийся на фиктивном ресурсе программный код делает свое черное дело.

"Почтовые атаки", по словам Александра Гореликова, требуют тщательной подготовки.

"Любая атака начинается со сбора информации о цели. Злоумышленники формируют список сотрудников для рассылки, для этого могут использоваться различные открытые источники, например социальные сети, общедоступные базы, официальные сайты, сайты госзакупок и другие информационные ресурсы. Далее формируется несколько сценариев с учетом интересов и личных предпочтений пользователей для увеличения эффективности атаки. В назначенный день с подконтрольных злоумышленнику серверов, либо с публичных сервисов происходит рассылка", — объясняет он.

Насколько защищены наши секреты?

Но неужели компьютеры "режимных" стратегических организаций так легко доступны?

"По-настоящему важная и критичная информация обрабатывается в информационных системах, которые работают автономно и не имеют подключения к интернету или смежным, подключенным к сети, системам. Данный подход существенно затрудняет взлом информационной системы извне и предотвращает утечку информации", — поясняет главный архитектор департамента комплексных решений "Информзащита" Илья Лисов.

Однако, по мнению специалиста, остается и другая угроза, таящаяся в самом программном обеспечении, значительная часть которого – импортная, то есть иностранного происхождения.

"Всегда существует угроза использования злоумышленником уязвимостей, а также "закладок" в прикладном или общесистемном программном обеспечении. Данные угрозы можно нивелировать, например, проверкой на недекларированные возможности, применением отечественных программ и средств защиты информации, отключением от интернета – все зависит от категории обрабатываемой информации, архитектуры информационной системы и анализа возможного злоумышленника", — говорит Илья Лисов.

Чтобы повысить уровень защищенности и обеспечить информационную безопасность в государственных организациях, в России есть вся необходимая законодательная и нормативная правовая база, напоминает эксперт. Причем это не статический процесс, а комплексная цикличная работа, которой необходимо заниматься на регулярной основе, утверждает он.

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) регламентировала порядок и методы предотвращения взломов информационных систем.  Минимум раз в год следует проводить тесты на проникновение в системы, привлекая внешних профессионалов, которые могут оценить реальный уровень защиты информации. Так называемые "дружеские" хакерские взломы из интернета стоят недорого, но позволяют выявить и своевременно устранить уязвимости системы до того, как ими воспользуются злоумышленники.

"Следует также не забывать своевременно модернизировать устаревшие системы защиты информации, применять современные многоуровневые средства защиты, с учетом особенностей архитектуры информационной системы и процесса обработки информации", — напоминает специалист.