Бизнес под прицелом: как компаниям защищаться от киберугрозSkillFactory
Презентация для доклада, сделанного в рамках конференции Juniper New Network Day 01.01.2014.
Докладчик -- руководитель российского исследовательского центра «Лаборатории Касперского» Сергей Новиков.
Видеозапись этого доклада с онлайн-трансляции конференции вы можете увидеть здесь: http://www.youtube.com/watch?v=5LjRsAByfIw
Бизнес под прицелом: как компаниям защищаться от киберугрозSkillFactory
Презентация для доклада, сделанного в рамках конференции Juniper New Network Day 01.01.2014.
Докладчик -- руководитель российского исследовательского центра «Лаборатории Касперского» Сергей Новиков.
Видеозапись этого доклада с онлайн-трансляции конференции вы можете увидеть здесь: http://www.youtube.com/watch?v=5LjRsAByfIw
9. Пути распространения зловредного ПО
50 000 000 фишинговых атак
Социальные
Эксплоиты
блокируется каждый день
сети
72 %- спама в общем объеме
Съемные
Электронная
носители
почтового трафика
почта
информации
PAGE 9 |
15. Цель: Смартфоны. Почему?
Ваш девайс, может рассказать о вас больше чем Вы думаете:
Входящиеисходящие SMS
Рабочая почта
Персональные фото
Интернет банкинг
PAGE 15 |
Контакты
GPS координаты
Календарь
Разные приложения содержащие
персональный контент
16. iOS Взлом за 1 минуту !!!
Смотрите BlackHat новости за июль или youtube.com
PAGE 16 |
19. MAC OSx Ботнет Flashfake
700,000 зараженных машин
Распространение через зараженные веб сайты под видом Java Applet
3,5 % всех пользователей MAC
заражены
Представьте себе заражение
3,5% пользователей Windows …
PAGE 19 |
24. Не обновленный софт на компьютере
в РФ
По данным «Лаборатории Касперского», H1 2012
31%
Oracle Java
PAGE 24 |
29%
Adobe Flash
20%
Winamp
20%
17%
VLC
Microsoft
Media Player Office
Может сложиться впечатление, что потенциальными мишенями целевых атак, являются прежде всего правительственные организации, министерства, компании, разрабатывающие вооружение, химические заводы, сети вооруженных сил, политические организации, сети критических инфраструктур и т.п. Ну а если это гражданская коммерческая компания, то никак не меньше уровня Google, Adobe или NewYorkTimes. Такое впечатление складывается потому, что огласке в большинстве случаев предаются атаки, направленные на организации государственного уровня. На самом же деле под угрозой APT находится любая компания, владеющая данными, которые можно эффективно монетизировать. Мы имели дело именно с таким случаем: APT подвергались не правительственные, не политические, не военные и не промышленные организации, а игровые компании.
Китайская группа атаковала с начала 2011 года онлайн гейм компании. Всего мы насчитали 35. знаем о Инова, Gameforge (DE), Wargaming, Frogster (DE)Троян обнаружился на компе пользователя и попал туда вместе с апдейтом. Поначалу мы подумали что это геймовая компания заражает своих пользователей, но позже было выяснено, что это атака была на саму компанию и просто утекла к пользователям. Такой географический разброс вполне объясним. Часто игровые компании (издатели и разработчики) по сути являются международными компаниями, имеющими полнофункциональные офисы и представительства по всему миру. Кроме того, в индустрии компьютерных игр компании из разных стран нередко сотрудничают между собой. Разработчики игры могут находиться в одной стране, тогда как издатель — совсем в другой. Когда игра, выпущенная в одном регионе, попадает на рынки других регионов, ее часто переводят и выпускают уже другие издатели. 35 компаний. цельНечестное накопление игровой валюты/«золота» в онлайн-играх и перевод виртуальных средств в реальные деньги. Кража исходников серверной части онлайн-игр для поиска уязвимостей в играх - далее смотри пункт 1. Кража исходников серверной части популярных онлайн-игр для последующего развертывания пиратских серверов. Кража сертификатов и использование их далее для подписималвары для целевых атакНо, как мы и ожидали, радоваться было рано. Ровно через месяц после очищения сети игровой компании, группа Winnti проявилась вновь. Системный администратор прислал нам подозрительные файлы, которые пришли в письмах к их сотрудникам. Это был банальный spearphishing. Злоумышленники представлялись некими разработчиками компьютерных игр и, якобы, искали сотрудничества с крупными издательствами. Но, как мы и ожидали, радоваться было рано. Ровно через месяц после очищения сети игровой компании, группа Winnti проявилась вновь. Системный администратор прислал нам подозрительные файлы, которые пришли в письмах к их сотрудникам. Это был банальный spearphishing. Злоумышленники представлялись некими разработчиками компьютерных игр и, якобы, искали сотрудничества с крупными издательствами. Письма были написаны небрежно, с ошибками, что выдавало, что люди, их писавшие, явно не слишком хорошо владеют английским языком. Особенно забавно это было видеть в письме, присланном якобы от имени развивающейся игровой компании из Лос-Анжелеса, США. Они послали письма на личные ящики сотрудников компании от имени якобы других сотрудников компании. Чтобы письма выглядели более убедительно, в них добавили фотографии тех сотрудников, от имени которых посылались письма. Такие атаки продолжались регулярно в течение почти трех месяцев. Несмотря на то что большинство этих spearphishing атак не были чересчур сложными и убедительными (подготовленный человек заподозрил бы неладное при получение таких писем), когда мы имеем дело с большими числами (а компания насчитывает большое количество сотрудников), происходят даже события с малой вероятностью: один сотрудник в компании все-таки не углядел в письме подвоха и запустил вредоносную программу, содержащуюся в нем.
'Destroyers'. These are programs designed to destroy databases and information as a whole. ThemostnotableexampleofsuchmalwareisWiper. Espionage programs. This group includes Flame, Gauss, Duqu and miniFlame. The primary purpose of such malware is to collect as much information as possible, particularly very highly specialized data (e.g. from Autocad projects, SCADA systems etc.), Cyber sabotage tools. These are the ultimate form of cyber weaponry – threats resulting in physical damage to targets. Naturally, this category includes the Stuxnet worm.
'Destroyers'. These are programs designed to destroy databases and information as a whole. ThemostnotableexampleofsuchmalwareisWiper. Espionage programs. This group includes Flame, Gauss, Duqu and miniFlame. The primary purpose of such malware is to collect as much information as possible, particularly very highly specialized data (e.g. from Autocad projects, SCADA systems etc.), Cyber sabotage tools. These are the ultimate form of cyber weaponry – threats resulting in physical damage to targets. Naturally, this category includes the Stuxnet worm.