Як APT-групи роками залишаються непоміченими в інфраструктурі фінансових установ

За даними дослідження IBM Security фінансові установи в середньому витрачають 168 днів на виявлення порушення, при цьому APT-групи можуть залишатися в мережі роками, систематично збираючи критичну інформацію. Розуміння механізмів тривалого проникнення стає ключовим для побудови ефективної системи захисту.

 

Анатомія невидимого проникнення: коли інструменти системи працюють проти неї

Сучасні APT-групи майстерно використовують тактику "Living off the Land", експлуатуючи легітимні системні утиліти для досягнення своїх цілей. Аналіз атак Carbanak продемонстрував як зловмисники використовували PowerShell для поширення в мережі, створюючи команди, невідрізнені від дій системних адміністраторів. Кожна атака на банк тривала від 2 до 4 місяців від початкового зараження до викрадення коштів.

Windows Management Instrumentation (WMI) стає особливо небезпечним інструментом у руках APT-операторів. Через WMI можна виконувати команди віддалено, створювати persistence механізми та збирати системну інформацію без активації традиційних засобів моніторингу. Background Intelligent Transfer Service (BITS) використовується для непомітного завантаження payload'ів під виглядом системних оновлень.

Ключова проблема полягає в тому, що традиційні системи безпеки налаштовані на виявлення відомих загроз, але не аналізують контекст використання легітимних інструментів. Для ефективного протистояння необхідно впровадження поведінкового аналізу та регулярне проведення пентестів для виявлення прогалин у захисті.

Сліпі зони моніторингу: що залишається поза увагою SIEM

Традиційні SIEM-системи в банках мають критичні обмеження у видимості East-West трафіку між внутрішніми сегментами мережі. Особливо проблематичним є логування привілейованих операцій. APT-групи, такі як Lazarus, систематично використовують облікові записи з підвищеними привілеями, при цьому їхня активність може роками залишатися в сліпих зонах через неналежне налаштування політик аудиту. У гібридних хмарних середовищах ситуація ускладнюється різними системами логування та відсутністю централізованої видимості.

Конкретні індикатори компрометації, які часто пропускаються:

• Аномальний доступ до Active Directory через LDAP протягом нестандартних годин
• Нетипові зміни в групових політиках домену
• Підозрілий обмін сертифікатами в PKI інфраструктурі

Механізми закріплення: від операційної системи до firmware

APT-групи використовують складні методи закріплення, адаптовані специфічно для банківського середовища. Модифікація завантажувача дозволяє загрузити шкідливий код ще до запуску операційної системи, роблячи виявлення практично неможливим стандартними засобами.

Імплантування засобів у мережеве обладнання стає особливо ефективним у фінансових установах через критичність мережевої інфраструктури. Аналіз атаки на Bangladesh Bank показав використання модифікованого firmware SWIFT Alliance Access для перехоплення та модифікації фінансових повідомлень.

Зловмисники також активно зловживають доменними політиками, створюючи легітимні на перший погляд об'єкти групових політик (GPO), які забезпечують постійний доступ через заплановані завдання або сценарії автозапуску. Для ефективного виявлення таких механізмів необхідна комплексна оцінка захищеності інфраструктури.

Поширення в мережі через довірені інтеграції

Найбільш складним аспектом APT-операцій у фінансовому секторі є експлуатація міжбанківських інтеграцій. SWIFT-з'єднання, попри багаторівневий захист, залишаються привабливою ціллю через можливість прямого доступу до фінансових операцій.

APT-групи використовують кореспондентські відносини між банками для поширення в екосистемі. Компрометація одного учасника мережі може призвести до каскадного ефекту, коли зловмисники отримують доступ до партнерських організацій через довірені канали.

Атаки через ланцюг поставок на фінтех-провайдерів стають особливо популярними. Компрометація постачальника платіжних рішень може надати доступ до десятків банків-клієнтів. Інцидент з SolarWinds продемонстрував масштаби таких атак, коли одна компрометація вплинула на тисячі організацій.

Обхід систем виявлення аномалій: штучний інтелект проти штучного інтелекту

Сучасні APT-групи адаптуються до ML-based систем детекції через поступове "навчання" алгоритмів на шкідливу активність. Поступово збільшуючи обсяг підозрілих операцій, зловмисники досягають того, що система починає сприймати аномальну поведінку як норму.

Атаки з використанням часових інтервалів застосовуються для обходу поведінкового аналізу. Розтягуючи шкідливу активність у часі та синхронізуючи її з легітимними бізнес-процесами, APT-оператори мімікрують під звичайну робочу активність співробітників.

Використання внутрішньої інформації про налаштування безпеки банку дозволяє точково обходити конкретні правила виявлення. Для протистояння таким методам необхідно регулярне проведення penetration test із залученням зовнішніх експертів, які не знають особливостей внутрішніх систем.

Економічна мотивація тривалих операцій

Бізнес-модель APT-груп у фінансовому секторі базується на довгостроковому інвестуванні в таргет. Замість швидких атак зловмисники сконцентровані на систематичному збиранні розвідувальної інформації, яка може використовуватися роками.

Інсайдерська торгівля на основі отриманих даних про майбутні фінансові операції банку може приносити мільйони доларів прибутку без прямого викрадення коштів. Підготовка до масштабних операцій на кшталт викрадення через SWIFT потребує глибокого розуміння внутрішніх процесів, що виправдовує багаторічне перебування в мережі.

Практичні рекомендації: побудова системи полювання на APT

Ефективна система threat hunting потребує комплексного підходу до аналізу інфраструктури. Розробка індивідуальних правил виявлення має базуватися на конкретних TTP (Tactics, Techniques, Procedures) актуальних APT-груп.

Інтеграція threat intelligence дозволяє корелювати внутрішні події з глобальними кампаніями. Timeline аналіз історичних логів може виявити індикатори компрометації, які залишалися непоміченими роками.

Регулярний аудит інформаційної безпеки та комплексні тести на проникнення залишаються найефективнішими методами виявлення складних тривалих загроз.  Лише через моделювання реальних атак можна оцінити реальний рівень захищеності організації та виявити критичні gaps у системі безпеки.

 

---

Побудова надійної системи захисту від APT-загроз потребує експертного підходу та глибокого розуміння сучасних тактик зловмисників. Професійна оцінка захищеності через penetration testing дозволяє виявити уразливості до того, як ними скористаються реальні зловмисники.

 

< Предыдущая		Следующая >