Взгляды научного комитета на классификацию угроз в киберпространстве

Полковник С. Паршин

В первой части статьи¹ были раскрыты взгляды научного комитета министерства обороны (НКМО²) США на классификацию, характеристики и типы угроз в киберпространстве. Кроме того, рассмотрены главные источники киберугроз для вооруженных сил США.

Для понимания сущности и особенностей угроз в киберпространстве следует рассмотреть основные типы вредоносного программного обеспечения (ПО) и техники проведения кибератак.

Классификация вредоносного программного обеспечения. Вредоносное ПО можно классифицировать по следующим признакам: механизм распространения; способ представления; принципы функционирования; выполняемые вредоносные действия (назначение).

Классификация вредоносного программного обеспечения

Классификация вредоносных программ по механизму распространения: способные к самораспространению (сетевые черви и самокопирующиеся компьютерные вирусы, нацеленные на поиск конкретных объектов воздействия); неспособные к самораспространению (компьютерные вирусы, распространяемые при копировании, и троянские программы).

Компьютерные вирусы - это разновидность вредоносных программ, отличительной особенностью которых является, как правило, способность к самораспространению через запись своих возможно измененных копий в другие исполняемые или интерпретируемые файлы (например, файлы форматов .ехе, .com, .bat, .doc, .xls, .ppt), локально доступные на зараженной системе. Вирусы не используют для своего распространения уязвимости и удаленно доступные ресурсы. Они переносятся на другие вычислительные системы при копировании и запуске зараженных файлов.

Признаки компьютерных вирусов: вредоносные функции; самораспространение путем заражения других файлов своими копиями.

Сетевые черви - это вредоносные программы, способные к самораспространению в локальных и глобальных компьютерных сетях. В отличие от компьютерных вирусов сетевые черви используют для распространения уязвимости программных средств и сервисы сетевой коммуникации (например, электронную почту, файлообменные сети, системы мгновенного обмена сообщениями).

Признаки сетевых червей: вредоносные функции; самораспространение с помощью сетевых сервисов и использования уязвимостей.

Троянские программы - вредоносные программы, замаскированные под легитимные, но в отличие от вирусов и червей обладающие возможностью дальнейшего самовоспроизведения без способности создавать свои копии.

Признаки троянских программ: вредоносные функции; отсутствие самораспространения; маскировка под невредоносное ПО.

Классификация по способу представления. Вредоносное ПО может быть представлено как файл с исполняемым или интерпретируемым кодом (например, формата .ехе, .com, .dll) или как данные (например, формата .doc, .pdf, .xls), что возможно в особых случаях, но это позволяет качественно маскировать эксплоиты.

Признаки эксплоитов: вредоносные функции, маскировка под безопасный объект и эксплуатация уязвимостей.
Классификация по принципам функционирования. Среди технических характеристик функционирования вредоносного ПО одной из важнейших является реализация скрытности на зараженной системе. Вредоносные программы, обладающие такой возможностью, называются руткитами (англ. rootkit).

Руткит - программа, предназначенная для сокрытия в системе определенных объектов либо активности. Сокрытию, как правило, подвергаются ключи реестра (например, отвечающие за автозапуск вредоносных объектов), файлы, процессы в памяти зараженного компьютера, вредоносная сетевая активность.

Сам по себе руткит ничего вредоносного не делает, но данный тип программ в подавляющем большинстве случаев используется другими вредоносными программами для обеспечения своего скрытого функционирования. Это достигается путем перехвата и изменения низкоуровневых функций операционной системы.

Классификация по признаку выполняемых вредоносных действий (назначению). Программы-бекдоры (англ. backdoor) - это вредоносные программы, предназначенные для скрытного удаленного управления контролируемой компьютерной системой. Обычно они предоставляют возможность оператору вредоносной программы получить доступ к командной оболочке операционной системы (с целью просмотра объектов файловой системы, загрузки файлов, выполнения команд). Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в бот-сети, централизованно управляемые злоумышленниками в злонамеренных целях.

С помощью программы-бекдора злоумышленник может выполнять следующие действия на зараженном компьютере:
• получать полный доступ к файлам на жестком диске пользователя;
• загружать файлы;
• запускать программы;
• просматривать список процессов и выборочно завершать их;
• выполнять любые команды. Управление производится посредством специальной программы.

Программы-установщики (англ. dropper) - вредоносные программы, предназначенные для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа ПО.

Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняет на диске жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т. д.) другие файлы и запускает их на выполнение.

В результате использования программ данного класса хакеры достигают двух целей: скрытная инсталляция троянских программ и вирусов; защита от обнаружения известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.

Программы-загрузчики (англ. down-loader) - это вредоносные программы, предназначенные для несанкционированной пользователем загрузки и установки на компьютер-жертву вредоносного ПО. Загруженные из сети программы затем либо запускаются на выполнение, либо регистрируются на автозагрузку в соответствии с возможностями операционной системы.

Главным отличительным признаком программ-загрузчиков является возможность загрузки и запуска других вредоносных программ. Данный тип ПО в последнее время стал часто использоваться для первоначального заражения посетителей зараженных веб-страниц, содержащих эксплоиты.

Программы-прокси - вредоносные программы, скрытно и без ведома пользователя осуществляющие доступ к различным интернет-ресурсам. Обычно используются для рассылки спама и анонимного осуществления сетевых атак. Определяющим признаком программ-прокси является наличие функций прокси-сервера.

Программы-руткиты (см. классификацию по принципам функционирования).

Программы-шпионы (англ. spy) - это вредоносные программы, осуществляющие сбор различного рода конфиденциальных данных (вводимая с клавиатуры информация, снимки экрана, список активных приложений и т. д.) с контролируемой вычислительной системы и передачу этой информации оператору.

Определяющим признаком программы-шпиона является сбор конфиденциальных данных и отправка их оператору.

Рекламные программы - это рекламное программное обеспечение, предназначенное для показа рекламных сообщений (чаще всего в виде графических баннеров), перенаправления поисковых запросов на рекламные веб-страницы, а также для сбора данных маркетингового характера об активности пользователя (например, какие тематические сайты посещает пользователь), что позволяет сделать рекламу более целевой.

Признак рекламных программ - нежелательная демонстрация рекламы.

С помощью вредоносного ПО могут применяться следующие методы проведения кибератак:
• Ботнет (botnet). Сеть дистанционно контролируемых компьютеров (систем), используемых для координации атак и распространения вредоносных программ (malware), спама (spam) и осуществления перехвата конфиденциальных данных пользователей (в том числе фишинговое мошенничество - phishing scams). Она формируется за счет программ ботов (bots, сокращение от robots), скрытно устанавливаемых на скомпрометированных компьютерах и позволяющих несанкционированному пользователю контролировать их дистанционно с самыми различными целями, в основном злоумышленными.
• Отказ в обслуживании (Denial of Service - DoS). Метод атаки, препятствующий доступу к системе легитимным пользователям без реальной компрометации объекта атаки. Атака, проводимая из одного источника, нацелена на перегрузку атакуемой компьютерной системы массированным потоком запросов с подавлением легитимного трафика. Этотметод препятствует системе обмениваться данными с другими системами или блокирует и затрудняет ее доступ к Интернету.
• Распределенный отказ в обслуживании (Distributed Denial of Service - DDoS). Вариант метода отказа в обслуживании - атака осуществляется множеством компьютеров, а не одним. Зачастую используется заражение компьютеров самораспространяющимися программами типа червь для расширения числа компьютеров, привлекаемых к атаке на цель.
• Инструменты эксплуатации (exploit tools). Находящиеся в открытом доступе высокотехнологичные программные продукты, позволяющие злоумышленникам различного уровня квалификации определять уязвимости и через них получать доступ в выбранную для компрометации систему.
• Логическая бомба (logic bomb). Форма атаки, при которой программист встраивает вредоносный программный код в легитимную программу. Код, в свою очередь, заставляет эту программу провести деструктивные действия при наступлении заданного события. Одним из вариантов такого события может быть увольнение программиста с работы или просто наступление запрограммированной даты.
• Фарминг (pharming). Метод, используемый кибермошенниками для формирования у пользователя полной уверенности в том, что он подключился к легитимному веб-сайту. Этот метод использует разнообразные технические приемы для автоматического перенаправления пользователей на фальшивые сайты, являющиеся копиями оригинальных. Обычно злоумышленники изменяют адреса онлайновых банков. В этом случае при авторизации пользователь вводит конфиденциальные данные в экранные формы, не подозревая, что они тут же становятся известны преступникам.
• Фишинг (phishing). Высокотехнологичный метод кибермошенничества, чаще всего использующий рассылку спама или всплывающие окна и сообщения для обмана пользователей с целью принуждения их к раскрытию собственной конфиденциальной информации. Интернет-мошенники используют различные приемы для "выуживания" паролей и финансовой информации у гигантской аудитории интернет-пользователей.
• Сниффер (sniffer). Является синонимом анализатора пакетов (packet sniffer). Программа, перехватывающая данные при передаче и анализирующая каждый пакет на присутствие определенной информации, например паролей, передаваемых в открытом тексте.
• Спамминг (spamming). Принудительная рассылка коммерческих электронных писем, рекламирующих товары, услуги и интернет-ресурсы. Спам может использоваться в качестве механизма доставки вредоносного ПО и других киберугроз.
• Спуффинг (spoofing). Метод создания мошеннического веб-сайта (включая сайты, предоставляющие услуги электронной почты), имитирующего реальный, хорошо известный сайт, управляемый другой стороной. Например, событие спуффинга для электронного письма наступает тогда, когда адрес отправителя и другие части заголовка письма изменяются для формирования у получателя впечатления, что письмо поступило из надежного источника. Спуффинг скрывает реальное происхождение электронного сообщения.
• "Боевое прозванивание" (war-dialing) - тестирование одного или ряда телефонных номеров на наличие подключенных к ним модемов для дальнейшего его использования в интересах злоумышленников.
• "Боевое вождение" (war-driving). Метод (процесс) поиска и взлома уязвимых точек доступа беспроводных сетей Wi-Fi одиночным лицом либо группой лиц, оснащенных переносным компьютером с Wi-Fi-адаптером. При этом для пространственного поиска и локализации точки используется транспортное средство (отсюда и название - "боевое вождение").

Но, пожалуй, наиболее пристальное внимание в структурах, занимающихся информационной безопасностью, продолжает уделяться относительно новому типу киберугрозы, характеризующейся особым уровнем опасности и получившей наименование "целенаправленная устойчивая угроза" - APT (Advanced Persistent Threat).

Отличительными особенностями кибератак, подпадающих под определение APT, от других типов атак стали высокие уровни планирования, организации, привлекаемых ресурсов, включая соответствующее финансирование, и настойчивость исполнения. При этом основные технологические приемы их исполнения зачастую не носят прорывного характера и достаточно известны. Опасность же состоит не в технологиях, а прежде всего в целенаправленности и задействованных ресурсах.

В зависимости от поставленной цели атака может продолжаться годами. Методы проведения кибератак типа APT практически всегда означают, что за их организацией стоит государство. А отсюда для объектов атаки вытекает неутешительный вывод - за них взялись всерьез и надолго и "малой кровью" они не отделаются.

Ярким примером может стать получившая известность история кибер-атаки типа APT в отношении IТ-систем канадской компании - производителя телекоммуникационного оборудования Nortel. По сообщению интернет-версии издания "Уолл-стрит джорнэл", китайские хакеры получили доступ к информационным ресурсам и похищали конфиденциальную информацию компании почти десять лет, начиная с 2000 года. Подобное внедрение в компьютерные системы Nortel стало возможным после того, как были похищены логины и пароли семи сотрудников компании, в том числе генерального директора.

Другими заслуживающими серьезного внимания примерами операций в киберпространстве с использованием атак типа APT и получивших публичную известность стали Operation Aurora, Titan Rain, Night Dragon и GhostNet, подробности проведения которых были предоставлены в сообщениях авторитетных фирм, занимающихся информационной безопасностью, таких как McAfee, Google, лаборатория Касперского и ряд других.

Особо следует отметить крупномасштабную серию целевых атак, которая привела к взлому почти 1 500 компьютеров в 61 стране, проведенную в рамках операции Lurid, вскрытой специалистами фирмы "Тренд микро". Эта операция APT отличалась от вышеупомянутых тем, что основные ее цели находились на территории стран бывшего СССР, прежде всего в РФ, Казахстане и на Украине.

По утверждению директора по безопасности этой компании, атаке подверглись 47 объектов, включая дипломатические представительства, министерства и правительственные учреждения, где были взломаны 1 465 компьютеров.

Приведенные выше происшествия в киберпространстве, несомненно, стали еще одним поводом к переоценке угроз кибербезопасности, и прежде всего в разведывательном сообществе США. Показательным в этом отношении примером стало выступление 12 марта 2013 года директора национальной разведки Джеймса Клеппера перед членами сенатского подкомитета по разведке, в котором впервые киберугрозы были поставлены на первое место в перечне угроз национальной безопасности, потеснив на второе место угрозы терроризма и транснациональной организованной преступности. Среди уже перечисленных киберугроз в своем выступлении Клеппер озаботился двумя новыми: угрозой управления информацией (information control) и угрозой смены модели управления сетью Интернет (Internet governance).

Угроза управления информацией, по его мнению, представляет собой риск того, что, например, информационный контент сети может стать причиной политической нестабильности и даже смены режима.

Угроза системе управления Интернетом, исходящая от желания многих стран перейти к государственной модели управления национальными сегментами всемирной сети, может привести к международному онлайновому регулированию информационных ресурсов, что неизбежно вызовет ограничение обмена информацией между национальными сегментами сети, существенное замедление внедрения технических инноваций и повышение возможностей иностранных государств по ведению разведывательных операций в Интернете уже в ближайшей перспективе.

При этом следует учитывать, что на действенность (результативность) вышеперечисленных угроз в отношении современных компьютерных и сетевых систем дополнительно влияет и ряд факторов, избежать которые весьма сложно:
• изначально концепция построения сети Интернет подразумевала, что предполагаемая порядочность и обещанная высокая степень анонимности пользователей станут в уязвимой по своей сути системе барьером к установлению авторства;
• сложность современных программных и технических средств делает весьма затруднительной и вряд ли осуществимой разработку компонентов без изъянов или вскрытие вредоносных закладок;
• многие компоненты создаются и обслуживаются сторонними структурами (например, их невозможно изменить без разрешения правообладателя);
• повсеместное использование коммерческого ПО и технического оборудования, разработанных для рынков с низкой озабоченностью проблемами безопасности;
• оффшорная разработка программного обеспечения и технических средств производителями с неизвестной ответственностью.

Параметры управления рисками

В рамках дальнейшего изучения получающих все большее распространение киберугроз рабочая группа НКМО США ввела для информационно-коммуникационной системы понятие киберриска, оцениваемого в виде функции со следующими параметрами: угрозы; уязвимости системы, которую вы хотите обезопасить; последствия от утраты системы после атаки.

Уязвимости характеризуются как естественные или внедренные оперативным путем, а последствия - как допускающие восстановление или летальные для атакованной системы.

Дополнительно НКМО был разработан многоуровневый подход³ к управлению киберрисками, раскрывающий некоторые аспекты перспективной стратегии США в отношении киберугроз:
• поскольку не представляется возможным полностью защитить кибер-пространство от угроз V-VI уровней, то одним из элементов стратегии общего снижения угрозы должны стать сдерживание и устрашение;
• стратегия защиты в отношении уже известных уязвимостей не эффективна против угроз уровней III и IV. Требуются дополнительные меры, такие как управление последствиями;
• при должной реализации оборонительная стратегия может обезопасить только от угроз I и II уровней.

Таким образом, деятельность научного комитета министерства обороны США вносит существенный вклад в научное обоснование проведения практических мероприятий в области защиты национального киберпространства, определение форм и разработку способов его использования для реализации национальных интересов.

Этот орган в своей работе опирается не только на научно-исследовательские организации МО, но и активно сотрудничает с другими заинтересованными государственными и частными структурами, что позволяет проводить полномасштабное исследование той или иной проблемы с целью формирования выводов и рекомендаций консультативного характера для Пентагона. То, что этот научный комитет продолжает уделять проблемам деятельности в киберпространстве самое пристальное внимание, подтверждает и представленный в сентябре 2016 года новый доклад на тему "Управление защитой киберпространства".

¹ Начало см.: Зарубежное военное обозрение. - 2017. - № 5. - С. 12-17.

² НКМО является федеральным консультативным органом, сформированным для проведения независимых исследований в интересах министра обороны США.

³ Этот многоуровневый подход был полностью принят МО США и нашел свое отражение в наставлении КНШ JP 6-0. Joint Communications System. 10 June 2015.

Зарубежное военное обозрение. 2017, №6 С. 29-34

• Взгляды научного комитета МО США на классификацию угроз в киберпространстве ч1 (2017)
• Системы боевого управления и связи морской пехоты США - проблемы и решения (2006)
• Современные тенденции в совершенствовании системы управления вооружёнными силами ведущих зарубежных стран в информационную эпоху (2009)
• Грядущая цифровая война (2008)
• Информационная безопасность США (2010)
• Американская глобальная стратегия развития киберпространства в полицентричном мире
• Пентагон не будет бомбить и обстреливать хакеров
• США формируют систему коллективной кибербезопасности
• США пока полностью не готовы к отражению серьезной кибератаки (2012)
• Информационное оружие: теория и практика применения в информационном противоборстве