Katram kiberuzbrukumam ir noteikti priekšnosacījumi un sekas. Piemēram, nepietiekama uzņēmuma IT infrastruktūras aizsardzība. Tomēr nav iespējams paredzēt, kādas būs tā sekas. Mēs sniedzam divu kiberapdraudējumu piemērus, kuru mērķis ir nozagt naudu no bankas kontiem. Šie piemēri ir minēti Kaspersky Lab Vīrusu incidentu operatīvo risinājumu nodaļas (Global Emergency Response Team, GERT) pētījuma materiālos.
1. gadījums. Elektroniskā atslēga nav panaceja
No pirmā acu uzmetiena šis gadījums šķita pavisam parasts: lielas bankas klienti sāka masveidā pa tālruni un e-pastu vērsties bankā ar sūdzībām par naudas zudumu no viņu kontiem. Tomēr izmeklēšanā atklājās, ka tas nav tipisks kredītkaršu krāpšanas gadījums. Šajā gadījumā kibernoziedznieki bija uzlauzuši internetbankas sistēmu no klientu puses. Acīmredzot, klientu datori bija inficēti ar trojieti, kas ir izveidots īpaši uzbrukumiem šī veida internetbankas sistēmām.
Trojieša kaitīgais kods tika integrēts upuru datoru interneta pārlūkprogrammās, lai sekotu lietotāju aktivitātei. Kaitīgā programmatūra pastāvīgi atjauninājās, lejupielādējot no attālinātiem komandserveriem dažādu veidu skriptus atkarībā no darbībām, kādas lietotājs veica savā kontā internetbankas sistēmā. Savāktie dati netika saglabāti cietajā diskā, bet gan nosūtīti uz attālināto serveri. Tas ir īpaši svarīgi, jo tādējādi pēc datora restarta vai izslēgšanas visas kriminālās darbības pazīmes tajā pazuda bez pēdām.
Kaitīgajai programmatūrai bija visai plašs funkciju klāsts.
– Tā atrada un nosūtīja finanšu informāciju.
– Tā vāca informāciju par USB ierīci, kas tika izmantota divu faktoru autentificēšanai.
– Tā izmantoja no komandservera lejupielādētos skriptus, lai finanšu transakciju laikā aizstātu atsevišķus datus, tādējādi pārskaitot naudu kibernoziedznieku kontos.
– Tā zaga paroles.
– Tā spēja patstāvīgi veikt krāpnieciskas transakcijas.
– Tā spēja nemanāmi palaist interneta pārlūku un veikt darbības bez lietotāja ziņas, viņam bija tikai jāiesprauž elektroniskā atslēga – visu pārējo kaitīgā programmatūra izdarīja pati.
Lai gan divu faktoru autentifikācija ļauj paaugstināt kopējo IT drošības līmeni (kas internetbankām ir īpaši svarīgi), šis piemērs parāda, ka pati par sevi šī metode nevar sniegt drošu aizsardzību. Lai iegūtu pilnīgu aizsardzību, ir jāizmanto efektīvi antivīrusu risinājumi.
2. gadījums. Nepareiza drošības politika
Arī šajā gadījumā kiberuzbrukuma rezultāts bija tāds pats kā iepriekšējā piemērā – tika nozagta nauda. Atšķirība ir tikai summā, kas šajā gadījumā bija milzīga, lai gan par upuri kļuva tikai viens dators uzņēmuma finanšu nodaļā. Interesanti, ka šajā datorā bija instalēts aizsardzības risinājums, taču vēlāk izrādījās, ka pamata antivīrusu aizsardzība bija izslēgta uzņēmuma vadības noteiktās aplamās drošības politikas dēļ – antivīrusu datubāzes bija novecojušas, proaktīvā aizsardzība nestrādāja.
Uzbrukums sākās ar e-pasta vēstuli, kas bija izveidota atbilstoši visiem sociālās inženierijas noteikumiem. Kibernoziedznieki to nosūtīja kādam finanšu nodaļas darbiniekam. Vēstulei bija šķietami nevainīgs pielikums, kas izskatījās tai pilnīgi piemērots un iederīgs. Atverot vēstuli, saņēmējs, pats to nezinot, palaida programmatūru, kas izmanto datorā instalētās programmatūras ievainojamību. Tas ļāva hakeriem iegūt darbinieka piekļuves paroles uzņēmuma finanšu programmatūrai. Vēl viena kaitīgā programmatūra tika izmantota, lai attālināti pārvaldītu inficēto sistēmu un nozagtu uzņēmuma naudu.
Šis gadījums pierāda, ka uzņēmuma informācijas aizsardzības nodrošināšana ir karš, kas norisinās vienlaikus vairākās frontēs. Nepareiza uzņēmuma IT drošības politika rada trūkumus uzņēmuma informācijas drošības sistēmā.
• Izslēgta datoru pamata aizsardzība. Kaspersky Lab antivīrusu risinājumi nodrošina vairāklīmeņu aizsardzību: proaktīvās aizsardzības moduļi ļauj bloķēt jaunās kaitīgās programmatūras, pat ja antivīrusu datubāzes netiek atjauninātas. Un tajā gadījumā, kad proaktīvā aizsardzība nenostrādā, jaunais uzņēmumiem domātais risinājums Kaspersky Endpoint Security 8 for Windows bloķē iepriekš nezināmas kaitīgās programmatūras, izmantojot mākoņtehnoloģijas. Mūsu aprakstītajā gadījumā lielākā daļa antivīrusu risinājuma funkciju bija izslēgtas.
• Izslēgta uzņēmuma e-pasta filtrēšanas sistēma. Ja šī sistēma darbotos, ļaunprātīgā vēstule būtu nofiltrēta vai nu kaitīgā pielikuma dēļ, vai tāpēc, ka saņēmējs to nav pieprasījis. Taču šī funkcija bija izslēgta.
• Programmatūras ar ievainojamībām. Mērķuzbrukumā tika izmantota izplatīta un sen zināma ievainojamība darbinieka datorā. Regulāra programmatūru atjauninājumu instalēšana un centralizēta ievainojamību pastāvēšanas pārbaude varētu novērst naudas zādzību.
Vai uzņēmumi ir gatavs jauniem, bīstamiem kiberdraudiem?
Minētie piemēri parāda, ka var ievērojami samazināt naudas zādzības risku no banku kontiem, kuriem piekļuve tiek veikta no darbavietas datora, ja tiek izmantotas visas instalēto drošības risinājumu funkcijas. Izmeklēšana apstiprināja, ka neatkarīgi no uzņēmuma lieluma vai speciālo aizsardzības metožu, piemēram, elektronisko atslēgu, izmantošanas uzņēmumiem savas IT infrastruktūras aizsardzībai, sākot no datņu serveriem līdz darbinieku datoriem un pat viedtālruņiem, ir jāizmanto daudzfunkcionāli risinājumi. Ir jānodrošina pilnīga aizsardzība un kontrole ikvienai ierīcei, kura tiek izmantota piekļuvei konfidenciālai uzņēmuma informācijai, tās glabāšanai vai apstrādei.