Как утверждает Джордж Куртц, методы, которыми пользовались организаторы атак, довольно примитивны. Фото: McAfee |
Показательно, что атаки совершаются в рабочее время. При проведении операции, которой было присвоено кодовое наименование Night Dragon, хакеры используют относительно несложные методы проникновения.
«Публичные сайты нефтяных, газовых и нефтехимических компаний регулярно подвергаются техническим атакам, – заявил директор McAfee по выработке стратегии безопасности Грег Дэй. – При этом хакеры широко используют методы социальной инженерии, выуживая интересующую их информацию у ключевых сотрудников предприятий в Казахстане, Греции, США и на Тайване".
Судя по тому, что при осуществлении вторжения применяются средства взлома, которые на подпольных хакерских форумах называют китайскими, атаки имеют вполне понятное происхождение. Расследование показало также, что IP-адреса компьютеров, от которых исходила угроза, зарегистрированы в Пекине, а все операции проводились с 9 утра по 5 вечера по местному времени. Можно предположить, что взломщиками являются не фрилансеры или непрофессиональные хакеры, а штатные сотрудники китайских компаний.
По мнению специалистов McAfee, атаки осуществлялись группой хакеров, и известен по крайней мере один человек, который предоставлял хакерам необходимую компьютерную и телекоммуникационную инфраструктуру. Это житель города Хэцзэ, расположенного в провинции Шаньдун.
"Мы полагаем, что этот человек владеет информацией, которая могла бы помочь найти по крайней мере некоторых исполнителей, группы или организации, ответственные за проведение атаки", – отмечают в McAfee. По словам Дэя, в подобных ситуациях его компания направляет официальное уведомление правоохранительным органам.
В отчете McAfee подчеркивается, что хакеры продолжают искать способы получения доступа к конфиденциальной корпоративной информации. В конце 2009 года в Google объявили о регистрации атак, которые исходили из Китая и были направлены против десятков транснациональных компаний. Впоследствии происходившее тогда получило название "Операция Аврора».
Названия конкретных компаний, подвергшихся атаке, в отчете McAfee не приводятся, но, по словам Дэя, в их число входит ряд консультантов в области профессиональных услуг, выполняющих в том числе и заказы McAfee.
Технический директор McAfee Джордж Куртц в корпоративном блоге сообщил, что атаки осуществляются с помощью целого набора хакерских технологий, но при этом применяются довольно примитивные методы и инструменты.
Впрочем, несмотря на их простоту, распознать соответствующие общие шаблоны специалистам по безопасности удалось лишь недавно.
"В результате проведенного анализа, изучения общих свойств и выявления связей между ними исследователям удалось выяснить, что атаки совершались в течение по крайней мере двух, а вероятнее всего, четырех лет", – утверждается в отчете McAfee.
По словам Дэя, несмотря на постоянные проверки, призванные гарантировать безопасность ИТ-инфраструктуры компаний, связать зарегистрированные случаи атак в единое целое очень сложно из-за широкого распространения и сложности корпоративных информационных систем.
"Утверждать, что специалисты по безопасности не видят простых вещей, находящихся прямо у них под носом, было бы неправильно, – заметил Дэй. – Глубина и многообразие существующего мира заметно осложняют стоящую перед ними задачу. Учитывая этот факт, мы продолжаем внимательно следить за всеми видами выявленных угроз».
Целью нападения зачастую становятся публичные сайты компаний. Они подвергаются атакам с внедрением кода SQL. Хакеры пытаются заставить внутренние базы данных отвечать на команды, которые системе безопасности следовало бы блокировать. Атаки, проводимые путем внедрения кода SQL, довольно часто завершаются либо похищением конфиденциальной информации, либо созданием благоприятных условий для проведения новых атак.
После взлома веб-сервера злоумышленники загружают туда различные программы, например средства удаленного администрирования. Обычно такие инструменты используются системными администраторами для удаленного устранения различных неисправностей компьютеров. Подобные средства предоставляют полный доступ ко всем ресурсам машины и позволяют администраторам видеть все аспекты системы так, словно они находятся непосредственно рядом с компьютером.
Хакеры получают нужные им сведения из каталога Active Directory – сервиса Microsoft, который служит для предоставления пользователям доступа к открытым для них ресурсам корпоративных сетей. Для получения доступа к другим сервисам и конфиденциальным сведениям, циркулирующим в Сети, а также к информации производственных систем применяются инструменты для взлома паролей.