Они знают, где вы находитесь: кибербезопасность и теневой мир геолокации
Тони Сопрано знал. Когда один из его партнёров по покеру в 4-й серии 5-го сезона «Клана Сопрано» спрашивает Тони, нравится ли ему его новый Cadillac Escalade, вымышленный гангстер отвечает: «Он мне нравится. После того как я отключил систему глобального позиционирования [GPS]».
Ладно, он выразился немного грубее, чем «система», но суть в том, что Тони знал, как опасно быть отслеживаемым.
Возможно, остальные из нас не так сильно беспокоятся о том, что их могут найти где угодно, как Тони, но мы все должны понимать, насколько опасной может быть геолокация даже для тех из нас, кто не связан с мафией, и принимать меры для своей защиты.
Невидимый вектор атаки
Каждый запрос к смартфону, каждая регистрация в бизнес-приложении и каждый поиск IP-адреса создают геолокационную сигнатуру, которую злоумышленники могут использовать в своих целях.
Киберпреступники используют данные геолокации для проведения атак с географической привязкой, в том числе фишинговых кампаний и рассылки пользователям локализованной рекламы, которая может содержать вредоносное ПО. Геолокация обеспечивает хирургическую точность, превращая определение местоположения в оружие.
Что делает эти атаки особенно коварными, так это их концепция «плавающих нулевых дней». По сути, вредоносное ПО может оставаться совершенно безобидным до тех пор, пока не достигнет намеченной географической цели. Вредоносные файлы безвредно перемещаются по сетям, пока их не активируют триггеры геолокации.
А потом — бац! Начинается кибератака. К сожалению, обнаружить её практически невозможно до момента активации.
Stuxnet: начало революции в сфере кибератак
Самым известным примером таргетинга на основе геолокации является, конечно же, Stuxnet, ставший эталоном для атак с использованием геолокации. Червь содержал узкоспециализированную вредоносную программу, которая активировалась только при обнаружении определённых промышленных систем управления на иранских ядерных объектах.
Stuxnet вывел из строя почти пятую часть иранских ядерных центрифуг, заразил сотни тысяч компьютеров и привёл к физическому разрушению тысячи машин.
За последние 15 лет атаки, вдохновлённые Stuxnet, значительно усовершенствовались. Геозонирование превратилось в стандартную методологию атак. Продолжающаяся кампания по распространению вредоносного ПО Astaroth является примером такой эволюции. Атака явно была нацелена на Бразилию, где находится 91% заражённых систем.
Вредоносная программа также успешно атаковала конкретные отрасли: 27 % атак пришлись на производственные организации, а 18 % — на IT-сектор.
Атаки с использованием геолокации сложно обнаружить с помощью традиционных средств защиты
Почему данные геолокации так эффективны в качестве топлива для атак? Они усиливают эффект от социальной инженерии, позволяя проводить гиперперсонализированные атаки. APT-группа SideWinder мастерски демонстрирует этот метод, используя целевые фишинговые письма в сочетании с геозонами для доставки вредоносного контента только жертвам в определенных странах, а именно в Бангладеш, Пакистане и Шри-Ланке.
Геолокация играет ключевую роль в защите от киберугроз, выявляя необычные схемы попыток входа в систему из разных географических точек и помечая их как потенциальные попытки захвата аккаунта. Но киберпреступники могут обойти эту защиту, манипулируя данными о местоположении, чтобы создать шаблон «нормального» поведения перед началом атаки.
Поставщики управляемых услуг (Managed Service Providers, MSP) и ИТ-отделы часто считают, что виртуальные частные сети (VPN), анонимизация и шифрование обеспечивают достаточную защиту от атак с использованием геолокации. Эти меры полезны и даже необходимы. Но их недостаточно.
Опытные злоумышленники быстро адаптируются и используют ботнеты, чтобы обойти распространённые методы защиты.
Группы продвинутых постоянных угроз (APT) делают традиционные средства защиты неэффективными, используя инфраструктуру, которая выглядит географически распределённой. Группы злоумышленников могут координировать атаки через зашифрованные каналы.
Стратегии смягчения последствий угроз с привязкой к местоположению
Но поставщики управляемых услуг и ИТ-специалисты не беспомощны в борьбе с атаками с использованием геолокации. Им нужен многоуровневый подход, выходящий за рамки традиционной защиты периметра. Организации могут защитить себя с помощью:
- Внедрение надёжных систем обнаружения конечных точек, которые отслеживают активность из необычных мест, сохраняя при этом гибкость в работе, чтобы снизить вероятность обмана со стороны киберпреступников.
- Использование систем-приманок с поддельными данными о местоположении, чтобы ввести злоумышленников в заблуждение и собрать информацию об их критериях выбора целей и методах.
- Разработка базовых шаблонов определения местоположения пользователей и систем, позволяющих быстро выявлять аномальные географические активности, которые могут указывать на взлом или подготовку к атаке.
- Все решения по аутентификации и авторизации на основе местоположения считаются потенциально уязвимыми и требуют нескольких факторов подтверждения помимо географического положения.
Будущее кибератак с привязкой к местоположению
Опасность атак с использованием геолокации будет только возрастать. По мере распространения интернета вещей (IoT) и периферийных вычислений количество угроз, связанных с геолокацией, будет только увеличиваться.
Сочетание искусственного интеллекта с данными геолокации обещает появление ещё более изощрённых методов атак. Алгоритмы машинного обучения могут определять оптимальное время и целевую аудиторию для атак с привязкой к местоположению, а технология дипфейков может создавать убедительный локальный контекст для кампаний социальной инженерии.
Вот почему организации должны понимать, что в условиях современных угроз данные о местоположении представляют собой как мощный инструмент защиты, так и критическую уязвимость. Необходимо инвестировать в усиление защиты конечных устройств, а также в повышение уровня аутентификации и авторизации.
Организациям не обязательно превращаться в Тони Сопрано в своих системах геолокации, но им необходимо понимать, какие угрозы связаны с геолокацией и как их минимизировать.
Редактор: AndreyEx
