Из недавних случаев – программная библиотека Ledger Connect Kit, входящая в состав ПО криптокошелька Ledger, еще не так давно считалась одной из лучших в плане обеспечения безопасности сетевых протоколов блокчейн-систем. Но 15 декабря 2023 года некие злоумышленники сумели найти уязвимость в программной библиотеке стороннего производителя, которая использовалась Ledger, и, решив использовать ее, придумали довольно хитрую схему по воровству криптовалюты. Они распространили вредоносный программный код, который во время выбора своего кошелька выдавал пользователю фальшивое окно программы. А уж в нем, в зависимости от программы, были и коды, только имитирующие выбор кошелька для перевода средств (на самом деле перевод совершался только на счета злоумышленников), и даже «настоятельные рекомендации» по оплате некоторых сервисов (оплата за которые также прямиком шла злоумышленникам, а доступа к сервисам пользователи так и не получали). Касалось это почти всех криптовалютных сервисов, использующих данную библиотеку.
Хакеры сумели внедрить в программный код вирус под названием wallet drainer, который ворует все средства в автоматическом режиме, как только получит доступ к средствам.
Данная атака лишь демонстрирует тот факт, что криптовалюты отнюдь не являются абсолютно защищенными с точки зрения кибербезопасности. Как я уже говорил, причем неоднократно: все построенное или созданное человеком есть уязвимый продукт. Важно только найти эту уязвимость, и можно следовать словам Архимеда: «Дайте мне точку опоры, и я переверну Землю!»
Однако не стоит обманываться в безопасности тех, кто не использует криптовалюты – атака на цепочки поставок может быть применена к любому программному обеспечению, установленному на компьютере с выходом в Сеть. Дело в том, что современное программное обеспечение – штуковина, устроенная довольно сложно и из разных компонентов, эдакий цифровой комбайн из различных приложений. Как знать, в каком из программных модулей того ПО, что вы используете, злоумышленники найдут очередную лазейку, чтобы основательно покопаться в ваших файлах?
XSS-атаки
Распространенные в наши дни атаки XSS (Cross-site scripting) – это уязвимость в коде веб-приложений, позволяющая внедрить баннер с вредоносным скриптом на любую страницу в Сети, что, в свою очередь, дает злоумышленникам возможность похитить данные различного уровня – от куки-файлов (файлы автоматической авторизации для браузера) до личных данных пользователей. Внедрить вредоносные коды злоумышленники могут различными способами, например, оставить ссылку с комментарием под товаром в интернет-магазине или разместить скрипт в комментарии под постами пользователей в социальных сетях. При этом, если разработчики допустили ошибку в безопасности веб-сервиса, скрипт будет срабатывать при каждом открытии страницы или диалогового окна, в зависимости от места размещения вредоносной ссылки. Есть еще способ передачи скрипта в пакете приложения – то есть вредоносный код будет в составе самого приложения. Сам код может быть каким угодно – это может быть троян, дрейнер или же ботнет-вирус.
Таким образом, XSS-атаки можно считать одним из подвидов фишинга. Однако в наши дни эти атаки уходят в прошлое – приложения популярных маркетплейсов проходят серьезные проверки перед размещением, встроенные средства защиты современных браузеров также проводят валидацию сайтов перед открытием их на компьютере пользователя… Остается лишь использовать социальную инженерию, но и тут злоумышленников в подавляющем большинстве случаев ожидает неудача. Ведь банальных вопросов, которые может задать сам себе пользователь, попавший на фишинговый сайт, уже достаточно для обеспечения должного уровня защиты. А вопросы эти выглядят следующим образом.
1. Зачем этому сайту мои паспортные данные?
2. С какой целью я должен указывать данные пластиковой карты, которые используют для платежных операций или привязки карты к сервисам (CVV или код безопасности, пришедший в СМС)?
3. Зачем вводить авторизационные данные на страницах сторонних сервисов?
Также и разработчики браузеров не сидят на месте и улучшают в них безопасность, например, с помощью таких вещей, как:
– SOP (Same-Origin Policy) – политика, позволяющая определить, каким скриптам разрешить доступ к персональным данным. Также эта политика позволяет запретить сторонним сервисам, имеющим доступ к конкретному сайту, получать данные пользователей.
– CSP (Content Security Policy) – политика, которая позволяет установить список доверенных источников скриптов, которым будет разрешено получать данные пользователей, остальные же (не включенные в список) будут игнорироваться.
– Валидация входных данных – современные браузеры умеют проверять сайт на безопасность еще в момент запроса к нему. В частности, сайты, не имеющие шифрования http-протокола, не всегда могут быть открыты на компьютере пользователя – виной тому как раз упомянутый процесс.
Но несмотря на это, помните – полной защиты от XSS пока еще нет. Поэтому уповать на защитные алгоритмы браузеров и честность разработчика не стоит.
Успешно противостоять XSS-атакам можно, соблюдая простейшие правила кибербезопасности: не переходить по сомнительным и даже очень знакомым ссылкам (любая неожиданно появившаяся ссылка считается сомнительной); иногда этот тип атаки используется для формирования атак, заставляющих ваш браузер переходить и выполнять определенные действия. Атаки XSS (межсайтовые скриптинги) часто используются для того, чтобы замаскировать вредоносную ссылку под ссылку на известный сервис, например, Facebook, Google или Microsoft. Когда пользователь переходит по такой ссылке, он может попасть на сайт, где его ждет что-то неприятное, например, могут украсть его аккаунт или получить доступ к конфиденциальным данным.[19]
Apt-атаки
АРТ-атакой называют разновидность цифровых угроз, которая определяется множеством действий, направленных на сбор, анализ и целевой удар по сетевой или IT-инфраструктуре цели. Для выполнения целей злоумышленник проникает в сеть любым возможным способом, после чего начинает сбор информации – движение трафика между точками сети, действия пользователей, а также собирает различные данные, которые ему удается перехватить.
Главной особенностью APT-атак является их целенаправленность. Эти атаки не проводят абы как, атакуя любой понравившийся объект в сети – они проходят лишь в адрес какой-то определенной компании или крупного сетевого узла, и только с конкретным умыслом. Их проведение требует тщательно выверенной тактики действий, но допускает и некоторые импровизации по ситуации. И самое главное – такие атаки могут быть незаметными в течение довольно долгого времени, за счет вялой активности злоумышленника. Но не следует заниматься самообманом – скрытные действия злоумышленников не менее опасны в сравнении с целевой быстрой атакой.
Впервые термин APT (Advanced Persistent Threat) был введен ВВС США в 2006 году, когда они исследовали новый тип атаки, совершенной на их компьютерную базу. Специалисты по цифровой безопасности ВВС отметили, что на их сетевую инфраструктуру было совершено нападение по новым принципам – это не был ни троянский вирус, ни привычный червь… Расследование выявило, что новая атака несла в себе целый спектр действий, направленных на проникновение сквозь защиту и последующее хищение данных с серверов организации. Итак, как же определить, что на ваши сервера произведена АРТ-атака?
На самом деле распознать именно АРТ-атаку достаточно сложно в силу ее устройства – это целый комплекс действий, каждый из компонентов которого может расцениваться как отдельная угроза. Давайте рассмотрим некоторые знаки, которые могут косвенно указать на производящуюся атаку.
1. «Письма счастья» в электронных ящиках сотрудников. В ходе цифровой разведки, которую проводят злоумышленники, им любым способом нужно попасть внутрь инфраструктуры. А для этого необходимо тем или иным способом «выведать» логины и пароли сотрудников, чтобы, подменив ID-данные устройства, войти в сеть. Чтобы получить авторизационные данные, злоумышленники могут использовать социальную инженерию, вирусные программные коды и иные прелести цифрового мира, дающие доступ к различным системным уязвимостям.
В таких письмах, как правило, отмеченных флажком «важно», может содержаться файл со зловредным кодом, ссылка на него или просто код-инициатор инструкции, дающей доступ к системным уязвимостям. Поэтому очень важно проводить с сотрудниками разъяснительную работу на тему фишинговых писем и социальной инженерии в частности. Только владея знаниями о том, как устроены принципы такого воздействия, ваши сотрудники смогут успешно противостоять фактам применения техник социальной инженерии.
2. «Лишние» входы в сеть с использованием актуальных или уже устаревших (но активных) логинов и паролей. Если вы видите подобные логи, это в любом случае должно вас насторожить, даже если нет иных подозрений на внешнее воздействие. Тем не менее любая подозрительная попытка входа в учетную запись или активация того или иного узла в сети должна подлежать глубокому изучению – и если выяснится, что попытка входа никак не связана с действиями сотрудника, то эту учетную запись необходимо отключить либо сменить ей пароль доступа. В некоторых случаях для дальнейшего изучения можно ограничить скомпрометированной учетной записи доступ к данным или вовсе использовать уловку HoneyPot для попытки выявления данных злоумышленника.
3. Для получения постоянного доступа к компьютерам жертв злоумышленники часто применяют компьютерные вирусы и иное зловредное ПО, которое использует уязвимости системы для передачи хакерам данных с зараженных компьютеров или сети. Иными словами, злоумышленникам уже не нужно сидеть постоянно в сети, чтобы поймать нужные данные – достаточно заразить сеть нужным зловредным программным кодом, чтобы необходимые данные отсылались по заранее заданному адресу.