Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

На совершение неправомерного доступа к компьютерной информации, находящейся на представленном для исследования системном блоке, указывает наличие вредоносной компьютерной программы, обладающей функциональными возможностями, включающими в себя несанкционированное уничтожение, блокирование, модификацию, копирование компьютерной информации, а также предоставление удаленного доступа посредством сети Интернет.

В результате восстановления и анализа удаленных данных файлов выявлено, что в директории «C: \Documents and Settings\user\ Application Data\AdobeTemp» находились исполняемые файлы и результаты исполнения программного обеспечения «TeamViewer», предназначенного для удаленного доступа к операционной системе. Необходимо также заметить, что директория, в которой обнаружены файлы программы, не предназначена для хранения указанных данных, копирование их в данную директорию и последующие удаления могли быть также осуществлены в результате неправомерного доступа, совершенного посредством сети Интернет.

Помимо этого, записи журналов событий операционной системы содержат информацию о многочисленных попытках соединения программного обеспечения, использующего протокол удаленного рабочего стола, осуществляемых в дневные и ночные часы.

Как видно из анализа приведенного инцидента, компиляция программы была осуществлена 16.10.2015 в 06:08:13, после чего злоумышленником проведена проверка в 07:57:04. На момент первичной проверки данная программа антивирусным программным обеспечением как вредоносная не определялась. Фишинг-атака была осуществлена также 16.10.2015 в 11:35:07, и в этот же день было сформировано мошенническое платежное поручение. Организация обнаружила инцидент 20.10.2015, потому как 16.10 — это была пятница, а в понедельник 19.10.2015 обратили внимание только на неисправность компьютера.

На момент осознания произошедшего инцидента и обращения в правоохранительные органы похищенные денежные средства уже были обналичены в банкоматах на просторах различных регионов страны.

Новая версия вредоносной программы еще не внесена в антивирусные базы данных, а серверы, посредством которых осуществляется рассылка фишинговых сообщений, еще не внесены в черные списки.

Необходимо обратить внимание на то, что используемые при фишинг-атаке ресурсы и вредоносные программы некоторое время не детектируются большинством защитных систем. И на передовой остается только пользователь, от компетентности и внимательности которого зависит успешность проводимой атаки.

Запустив вредоносную программу — бэкдор, пользователь продолжает свои обычные операции, в то время как в скрытом режиме бэкдор «отстукивается хозяину», который уже осуществляет подключение, проводит изучение содержимого компьютера и сетевого окружения, на основе которого принимает решение об осуществлении дальнейшей атаки.

Имея удаленный доступ, открытый посредством фишинга и бэкдора, злоумышленник может осуществлять любые операции на компьютере: копировать, загружать, устанавливать необходимые программы и файлы, удалять записи журналов слежения, отключать антивирусные программы.

От рассылки новой вредоносной программы до ее детектирования (распознавания) может пройти до нескольких дней, в течение которых злоумышленники будут получать управление финансовыми операциями на компьютерах коммерческих организаций.

После первой волны вредоносная программа обычно спускается ниже (продается), и через некоторое время следуют более мелкие волны кибератак, жертвами которых становятся лишь те организации и пользователи, которые пренебрегают антивирусным программным обеспечением. Передача вредоносной программы в пользование другой преступной группе позволяет организаторам путать след.

Как видно из приведенных примеров, несложное и вовремя проведенное техническое исследование компьютерного оборудования может существенно облегчить дальнейшее расследование уголовного дела.

Использование фишинговой рассылки для заброса вредоносных программ — это довольно распространенная ситуация.

При этом создание бэкдоров распространено столь широко благодаря большому количеству программных продуктов, позволяющих неспециалисту в автоматическом режиме делать из обычных программ опасное оружие. Подобные инструменты входят в состав популярных сборников, таких как BlackArch Linux[39], Kali Linux[40].

Перечислять и анализировать инструменты, продукты в данной книге мы не будем, потому как цель книги иная. Здесь достаточно указать, что подобного рода инструментов довольно много, и они позволяют почувствовать себя настоящим хакером любого пользователя персонального компьютера, прочитавшего статью, скачавшего и установившего себе дистрибутив.

Киноиндустрия довольно эффектно показывает моменты взломов и внедрение различного рода компьютерных вирусов в системы и сети, поэтому в общественном сознании сформировался стереотип чего-то невероятно технологически сложного, творящегося на фоне черного экрана.