ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.12.2023
Просмотров: 18
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Задание 7.
Атаки на информационную инфраструктуру организаций кредитно-финансовой сферы Российской Федерации.
в 2019 году почти все эти традиционные схемы остались безрезультатными, за исключением единичных случаев с небольшим ущербом. И конечно, атаки непосредственно на инфраструктуру финансовых организаций не ограничивались только указанными вредоносными инструментами. В течение года ФинЦЕРТ получал информацию от участников обмена о выявлявшихся случаях целевых атак на финансовые организации с использованием иных, менее распространенных или не столь раскрученных семейств ВПО, преимущественно класса RAT (Remote Access Tool). В частности, выявлялись AsyncRAT, TeamBot (модифицированный Team Viewer) и некоторые неопознанные, предположительно приватные инструменты.
При этом такие рассылки могли быть достаточно опасными, поскольку получателей умело вводили в заблуждение. Так, кампании по распространению ВПО AsyncRAT велись с использованием названий ряда поднадзорных организаций.
В целом 2019–2020 годы оказались для финансовых организаций более безопасными с точки зрения целевых атак на инфраструктуру с использованием ВПО.
Атаки на информационную инфраструктуру клиентов организаций кредитно-финансовой сферы Российской Федерации.
Специфика информационного обмена ФинЦЕРТ и поднадзорных организаций подразумевает в первую очередь передачу информации об угрозах самим организациям. Клиенты этих организаций не имеют возможности напрямую отправлять информацию об атаках в ФинЦЕРТ, и, следовательно, мы не можем владеть полностью ситуацией вне пределов действия поднадзорных организаций. Однако на большом объеме поступающих данных, а также в результатах исследований следы работы других групп были бы в любом случае заметны и какие-либо образцы используемого ими ВПО поступали бы. Таким образом, группа RTM остается не только особо опасной, но и представляет наиболее актуальную угрозу для клиентов финансовых организаций – юридических лиц и индивидуальных предпринимателей.
Атаки с использованием программ-шифровальщиков.
Основной способ распространения программ-шифровальщиков – рассылка по электронной почте сообщений, содержащих во вложении вредоносный исполняемый файл либо имеющих в тексте самого сообщения ссылку на скачивание данного файла.
Однако длившаяся почти полтора года кампания по распространению шифровальщика Troldesh закончилась в декабре 2019 года. Его операторы перестали выпускать новые версии вымогателя и опубликовали около 750 тыс. ключей дешифрования, на основе которых затем были созданы дешифроваторы. В 2020 году массовых кампаний больше не отмечалось и выявлялись лишь отдельные факты получения участниками информационного обмена ФинЦЕРТ рассылок с приложением программ-шифровальщиков.
Атаки типа «отказ в обслуживании».
За отчетный период ФинЦЕРТ получил 221 сообщение от участников информационного обмена об инцидентах, связанных с атаками типа «отказ в обслуживании» (DoS). В результате анализа полученных сообщений выявлен рост атак с типом TCP-SYN (SYN Flood, или атака «переполнения SYN-пакетами»). При атаке с помощью переполнения SYNпакетами используется «трехстороннее рукопожатие» по протоколу TCP, чтобы вызвать сбои в работе сети и сервисов. Поскольку инициатором «трехстороннего рукопожатия» TCP всегда является клиент, то он первым отправляет пакет с флагом SYN серверу.
Проведение DoS-атак в этих случаях являлось хорошо известным приемом сокрытия в общем трафике следов работы сетевых сканеров уязвимостей, что может говорить о начальном этапе сложных целевых атак. Атаки прикладного уровня на веб-сервисы характеризуются максимальным таргетированием всех запущенных сервисов сайта. Другими словами, в ходе атаки достигается полное покрытие всех работающих сервисов и поддоменов сайта организации. Целью ее проведения является повышение эффективности реализации основной атаки и усложнение устранения ее последствий.
Атаки на банкоматы.
ФинЦЕРТ в 2019–2020 годах получил 17 сообщений от участников информационного обмена о различных атаках на банкоматы.
На основе проведенного анализа было выявлено, что злоумышленники чаще всего (44% всех случаев) использовали различные приспособления для вскрытия (отжима) дверцы банкомата с последующим извлечением и хищением банкоматных кассет с денежными средствами. 32% случаев связаны с кеш-треппингом (cash trapping), что дословно означает «захват наличности». Злоумышленники используют обычные алюминиевые планки, в большинстве случаев изготовленные из деталей мебельной фурнитуры.
Однако чаще всего (60% всех зафиксированных случаев) злоумышленники используют более «шумные» методы – газовые баллоны для проведения подрыва дверцы банкомата и иные средства физического воздействия с целью извлечения кассет с денежными средствами.