Опасная тенденция на годы вперед
Известно, что ошибки допускают все, как разработчики софта, так и разработчики «железа». Иногда эти ошибки имеют далеко идущие, серьезные и весьма «долгоиграющие» последствия. В начале текущего года был обнаружен именно такой баг, причем в массовом оборудовании, и исправить его удастся очень нескоро. Так что у кибрепреступников или киберармий появляется новый инструмент, который, как то ружье на стене, обязательно «выстрелит».
Ситуация с угрозами регулярно меняется. Одни уходят, бывает, толком не успев появиться. Так произошло с криптомайнерами, число которых одно время росло, прямо как курс биткоина. Но как только хайп спал, как и курс самой популярной криптовалюты, игра перестала стоить свечей. Затрат много, а отдачи никакой.
Судя по всему, ровно по той же причине отмечается существенное снижение интереса киберперступников к банковским троянцам, рассчитанным на кражи средств у обычных людей. Причем как для компьютеров, так и для мобильных устройств. Правда, данное утверждение относится только к России, за рубежом активность высокотехнологичных воров остается высокой. Да и к вредоносным программам, целью которых являются банки или предприятия, сказанное выше также не относится. Их продолжают обворовывать, хотя объемы таких краж все же заметно – на 12% – снизились.
Плюс ко всему киберпреступники из группировок Cobalt и Lazarus освоили кражи через межбанковскую систему Swift. По итогам первой половины 2018 года, по данным Group IB, таких атак было девять против трех годом раннее. Но при этом большую часть украденного все же удалось вернуть.
Однако наша история посвящена совсем другому. А именно атакам, связанным с использованием уязвимостях в процессорах, и тому, чем они грозят.
Зимой текущего года во всех семействах процессоров на архитектуре x86/x64 от Intel и AMD, а также некоторых SoC на архитектуре ARM с интервалом в несколько дней было обнаружено несколько уязвимостей: Midtown, Spectre, Glitch. Все они позволяют получить доступ к содержимому оперативной памяти. Им подвержены процессоры и системы на чипе, выпущенные с 1995 года до новейших. На полное устранение данных проблем уйдет от двух до пяти лет.
Как отметил в своем выступлении на конференции CyberCrimeCon 2018 сооснователь, технический директор компании Group IB Дмитрий Волков, эти уязвимости невозможно полностью устранить программным путем. Можно только слегка усложнить жизнь злоумышленнику, отключив гиперпоточность, что может отрицательно сказаться на производительности системы на некоторых задачах, особенно если речь идет о серверах. При этом, что хуже, эксплуатацию данных «дыр» невозможно детектировать с помощью каких бы то ни было технических средств. Эту атаку можно обнаружить только постфактум, когда она уже произошла.
Однако Дмитрий Волков все же полагает, что атаки с применением такого рода уязвимостей еще долго не будут массовыми. Эксплуатация Midtown, Spectre, Glitch требует высокой квалификации от исполнителя, а также реализации целого ряда не всегда легко выполнимых для рядового киберпрестпника условий. Однако для киберармий, спецслужб и, возможно, некоторых категорий хактивистов (идеологически мотивированных хакеров) это не является серьезным препятствий.
Но все же, если ваша компания для такого рода атакующих не представляет ну совсем никакого интереса, то в целом беспокоиться не о чем. Под угрозой же находится все, что подпадает под определение критической информационной инфраструктуры, а также энергетический, ядерный, водный, авиационный сектора.
Но все радикально изменится, когда появится набор готовых инструментов, позволяющих эксплуатировать данные уязвимости. А он, как полагает Дмитрий Волков, вряд ли будет выпущен очень скоро вследствие технической сложности. Однако, конечно, никакой гарантии тут давать нельзя. Тем более, как показывает практика, разработки спецслужб и разного рода киберармий тоже имеют склонность утекать и оказываться доступными всем желающим.
А вот применение в своих целях BIOS и UEFI – опасность куда более реальная. По оценке Дмитрия Волкова, киберпреступники используют уязвимости в прошивках системных плат с 2013 года. А впервые об их употреблении для возможных атак было объявлено в 2011 году.
Атаки посредством уязвимостей в BIOS или UEFI также невозможно выявить с помощью современных средств детектирования угроз. При этом готовые эксплойты уже есть, пока, правда, на уровне прототипов. Неисключено, что они уже кем-то применяются.
Атаки с использованием UEFI позволяют злоумышленникам очень многое. Например, заразить систему в принципе неудаляемым вредоносным ПО, которое будет воспроизводиться снова и снова, причем от него не спасает даже полная переустановка операционной системы. Ведь область, которую задействует UEFI в своих целях, данная процедура не очищает. Надо сказать, тут разработчики зловредов «подсмотрели» у кое-каких вендоров, которые именно таким образом инсталлировали ряд фирменных приложений на ряд моделей своих ноутбуков.
По мнению Дмитрия Волкова, данную схему вполне могут использовать в программах кибершпионажа. Вредоносное ПО в компьютеры могут «залить» под видом очередного обновления. Тем более что технология подмены сайтов у тех, кто на «темной» стороне, очень хорошо отработана.
Очень серьезные проблемы с прошивками промышленного оборудования. Так, на последней конференции PHDays демонстрировалось «окирпичивание» одной из моделей сетевых коммутаторов, рассчитанных на технологические сети. Для этого достаточно просто ввести в командную строку очень много совершенно произвольных символов, причем восстановление работоспособности этого устройства оказывается довольно нетривиальной процедурой с далеко не 100%-ной гарантией успеха.
Также 6 апреля текущего года произошло событие, названное Цископадом. Была совершена массовая атака на сети ряда российских компаний. В ее ходе были выведены из строя коммутаторы компании Cisco, работавшие под управлением прошивки определенной версии. И вряд ли эта атака будет последней.
Опубликовано 21.11.2018