«Сложные атаки — это не фильм, где злоумышленника ловят по вспышке на экране. Это тихая и планомерная работа, где главный приз — остаться незамеченным в инфраструктуре, пока не выкачаешь все ценные данные. Взлом Marriott — пример того, как слив данных может быть просто побочным эффектом, а не главной целью хакеров.»
Что произошло в Marriott: хронология взлома
В ноябре 2018 года Marriott International сообщила о масштабной утечке данных. Под угрозой оказалась информация о более чем 500 миллионах гостей. Однако самый тревожный факт заключался в другом: внутреннее расследование показало, что злоумышленники впервые проникли в сеть ещё в 2014 году, получив доступ к системе бронирования Starwood, которую Marriott приобрела позже. На протяжении четырёх лет злоумышленники беспрепятственно перемещались по сетям Starwood и после слияния — по Marriott, копируя данные.
Это не был взрывной инцидент. Атака началась с фишингового письма, направленного сотруднику. После компрометации учётной записи злоумышленники получили доступ к системе и начали устанавливать на серверы инструменты для удалённого управления (RAT). Целью был сбор данных — не для немедленной продажи, а для долгосрочного анализа. Имена, номера паспортов, почтовые адреса, даты рождения, номера кредитных карт с истекающими сроками — всё это попало в руки злоумышленников.
Почему атака оставалась незамеченной годами
Обнаружение сложных целенаправленных атак требует не только инструментов, но и правильного подхода к мониторингу. В случае Marriott сошлось несколько факторов, позволивших злоумышленникам действовать в тени.
Слияние и поглощение: унаследованные уязвимости
Слияние IT-инфраструктур двух крупных компаний — критически сложный процесс. При покупке Starwood Marriott унаследовала не только её системы, но и все накопленные проблемы безопасности. Злоумышленники уже находились внутри Starwood. Стандартные проверки при слиянии часто фокусируются на финансовых и юридических рисках, а глубинный аудит безопасности существующих активов остаётся на втором плане. Это создало идеальный коридор для миграции угрозы из одной сети в другую.
Использование легитимных инструментов
Вместо создания подозрительных исполняемых файлов злоумышленники активно использовали легитимные административные и системные утилиты, уже присутствующие в инфраструктуре, например, PowerShell для выполнения скриптов и перемещения по сети. Активность такого рода часто сливается с фоновым шумом ежедневных операций. Системы, настроенные на поиск известных сигнатур вредоносных программ, могли просто пропустить эти действия.
Поэтапный сбор данных и минимальная активность
Атака не была агрессивной. Данные выкачивались небольшими порциями в течение длительного времени, что не вызывало аномальных всплесков сетевого трафика или нагрузки на серверы базы данных. Такой медленный, низкопрофильный подход делает обнаружение с помощью пороговых значений аномалий практически невозможным.
[ИЗОБРАЖЕНИЕ: Схема, показывающая этапы атаки от фишинга до медленного экспорта данных в течение 4 лет]
Уроки для безопасности: что нужно мониторить
История Marriott чётко показывает, что защита не может строиться только на периметре. Необходимо перестроить систему мониторинга для обнаружения не очевидных угроз.
- Поведенческий анализ аномалий: вместо поиска известных вредоносных файлов следует отслеживать аномальное поведение пользователей и систем. Например, доступ к базам данных с необычных рабочих станций, запросы больших объёмов информации в нерабочее время или аномальные сессии администраторов.
- Мониторинг легитимных средств: нужно отслеживать необычное использование встроенных системных инструментов. Запуск PowerShell с определёнными флагами, использование утилит для дампа памяти или создание нестандартных запланированных задач — всё это потенциальные индикаторы компрометации.
- Сегментация сетей и контроль доступа: строгое разделение сегментов сети, особенно для критичных систем, таких как базы данных с персональными данными. Доступ к ним должен предоставляться по принципу наименьших привилегий и только с определённых доверенных узлов.
- Активный аудит при слияниях: при интеграции новых активов необходимо проводить глубокий аудит безопасности, включая поиск активных угроз, анализ логов на предмет компрометирующих признаков и проверку всех точек доступа.
Как подобные атаки выявляются
Обнаружение происходит не благодаря одному инструменту, а в результате корреляции множества слабых сигналов.
- Анализ логов: сбор и централизованный анализ логов с критических систем (серверы, базы данных, сетевые устройства). Поиск нестыковок во времени доступа, IP-адресах и объёмах запрашиваемых данных.
- Сбор и анализ сетевых метаданных: мониторинг необычных исходящих соединений, даже если они используют стандартные порты (например, HTTPS на 443 порту для выгрузки данных).
- Угрозы на стороне конечных точек: использование решений, которые отслеживают процессы и их взаимодействия, выявляя цепочки подозрительных действий, даже если каждое из них по отдельности выглядит легитимным.
- Внешние сигналы: иногда компания узнаёт об инциденте от правоохранительных органов или благодаря появлению её данных в открытых источниках или на тёмных форумах.
Последствия: не только штрафы
Помимо многомиллионных штрафов от регуляторов, компания столкнулась с долгосрочными последствиями.
- Потеря репутации: доверие клиентов было подорвано. Восстановление стоит дороже, чем меры по предотвращению утечки.
- Судебные иски: массовые коллективные иски от пострадавших гостей.
- Операционные издержки: затраты на расследование, усиление безопасности, уведомление клиентов и предоставление услуг мониторинга кредитных историй.
- Регуляторное внимание: компания попадает под пристальное внимание регуляторов, что ведёт к более частым и жёстким проверкам.
История Marriott — это не просто рассказ о прошлом инциденте. Это детальный сценарий, который повторяется в разных вариациях и сегодня. Защита строится не на вере в неприступность периметра, а на допущении, что злоумышленник уже внутри, и на готовности искать его по косвенным признакам его деятельности.