Marta Janus
Analityk zagrożeń, Kaspersky Lab Polska

Ataki ukierunkowane stajÄ… siÄ™ coraz czÄ™stszÄ… metodÄ… cyberataków. RóżniÄ… siÄ™ one zasadniczo od klasycznych ataków z wykorzystaniem szkodliwego oprogramowania, zarówno pod wzglÄ™dem technicznym jak i koncepcyjnym. Przede wszystkim ataki ukierunkowane cechuje Å›ciÅ›le okreÅ›lony cel (konkretna organizacja, firma, osoba czy maszyna w sieci), podczas gdy w przypadku masowego malware'u potencjalnym celem sÄ… wszyscy. Znakomita wiÄ™kszość klasycznych wirusów, robaków i trojanów jest zaprojektowana w taki sposób, by zainfekować jak najwiÄ™kszÄ… liczbÄ™ komputerów, dlatego też najczęściej atakowane sÄ… najpopularniejsze platformy sprzÄ™towe i systemowe, podczas gdy te niszowe cieszÄ… siÄ™ wzglÄ™dnym brakiem zainteresowania wÅ›ród cyberprzestÄ™pców. Inaczej ma siÄ™ sprawa w przypadku ataków ukierunkowanych, gdzie popularność platformy nie gra żadnej roli. Szkodliwe oprogramowanie wykorzystywane w takich atakach jest tworzone z myÅ›lÄ… o konkretnym celu - konkretnym sprzÄ™cie, systemie operacyjnym i zestawie aplikacji - przez co jest silnie wyspecjalizowane, a czÄ™sto również dużo bardziej zaawansowane technicznie.

Ataki ukierunkowane sÄ… również znacznie trudniejsze do wykrycia. W przeciwieÅ„stwie do gÅ‚oÅ›nych epidemii sÄ… one przeprowadzane ostrożnie i dyskretnie, a oprogramowanie w nich użyte zazwyczaj korzysta z wymyÅ›lnych technik ukrywania w systemie. Udany atak może na zawsze pozostać niewykryty – po uzyskaniu pożądanych zasobów cyberprzestÄ™pcy wycofajÄ… siÄ™ i bÄ™dÄ… starali zatrzeć wszystkie Å›lady. Nawet w przypadku zidentyfikowania ataku, atakowane firmy niechÄ™tnie dzielÄ… siÄ™ jakimikolwiek informacjami na ten temat, a próbki szkodliwego oprogramowania pozostajÄ… dÅ‚ugo niedostÄ™pne dla badaczy mogÄ…cych wykonać ich analizÄ™.

Jak wyglÄ…da schemat takiego ataku? W pierwszej kolejnoÅ›ci oczywiÅ›cie okreÅ›lany jest cel. Może to być firma, organizacja czy nawet konkretna osoba. CyberprzestÄ™pcy przeprowadzajÄ… rekonesans, polegajÄ…cy na zebraniu publicznie dostÄ™pnych informacji na temat obranego celu oraz na pozyskaniu szczegóÅ‚ów dotyczÄ…cych sprzÄ™tu, oprogramowania i zabezpieczeÅ„ używanych w danej firmie/organizacji lub przez danÄ… osobÄ™. Na podstawie tych danych wyznaczany jest wektor ataku i tworzony jest szkodliwy program, którego celem jest ominiÄ™cie tylko tych zabezpieczeÅ„, jakie sÄ… stosowane na atakowanej platformie, przy użyciu luk w zainstalowanych tam aplikacjach.

Kolejny etap polega na wprowadzeniu szkodliwego kodu i uruchomieniu go na maszynie docelowej. Aby to osiÄ…gnąć cyberprzestÄ™pcy najczęściej wykorzystujÄ… czynnik ludzki – socjotechnikÄ™, która bazuje na ciekawoÅ›ci, nieuwadze i braku odpowiedzialnoÅ›ci pracowników danej organizacji. Zainfekowane pliki sÄ… przesyÅ‚ane w wiadomoÅ›ciach email lub umieszczane na stronach internetowych, a pracownik zachÄ™cany jest do ich pobrania i uruchomienia. NastÄ™pnie szkodliwy program przeprowadza okreÅ›lone przez cyberprzestÄ™pców akcje, np. kolekcjonuje wszystkie interesujÄ…ce dane w jednym miejscu i wysyÅ‚a je w postaci zaszyfrowanej na serwer. Po uzyskaniu oczekiwanych rezultatów cyberprzestÄ™pcy czÄ™sto wycofujÄ… siÄ™ z atakowanej maszyny lub sieci aby zapobiec ewentualnemu wykryciu.

Jak obronić siÄ™ przed atakiem ukierunkowanym? Niestety, nie jest to sprawa prosta. W atakach tego typu czÄ™sto wykorzystywane sÄ… tzw. luki „zero day”, czyli takie, dla których nie ma jeszcze Å‚at. Jednak można znacznie zmniejszyć ryzyko, stosujÄ…c regularne aktualizacje, oprogramowanie antywirusowe z moduÅ‚em heurystycznym, antyspam i zaporÄ™ sieciowÄ…. KluczowÄ… rzeczÄ… jest również odpowiednia edukacja pracowników, jako że sÄ… oni najsÅ‚abszym ogniwem Å‚aÅ„cucha bezpieczeÅ„stwa.