Kaspersky Security Bulletin

Kaspersky Security Bulletin 2013. Прогнозы

  1. Развитие угроз в 2013 году
  2. Корпоративные угрозы
  3. Основная статистика за 2013 год
  4. Прогнозы

Мобильные угрозы

Начавшись много лет назад с троянца Gpcode, вредоносные программы-«вымогатели» эволюционировали в двух направлениях: троянцы, которые блокируют работу компьютера и требуют деньги за разблокировку, и троянцы, которые шифруют данные на компьютере и требуют гораздо более существенные суммы за расшифровку.

В 2014 году вирусописатели должны сделать логичный шаг в развитии этих видов троянских программ и обратить внимание на мобильные устройства. В первую очередь, конечно же, на устройства с административными правами на базе ОС Android. Шифрование пользовательских данных на смартфоне: фотографий, контактов, переписки – при наличии у троянца администраторских прав может быть реализовано достаточно просто, а распространение подобных троянских программ, в том числе и через легальный сервис Google Play, не составит большого труда.

Тенденция усложнения мобильных вредоносных программ, которую мы наблюдали в 2013 году, вне всякого сомнения, продолжится в 2014-м. Как и прежде, злоумышленники будут стремиться с помощью мобильных троянцев добраться до денег пользователей. Продолжится развитие средств, с помощью которых можно получить доступ к банковским аккаунтам владельцев мобильных устройств (мобильный фишинг, «банковские» троянцы). Начнется торговля мобильными ботнетами; их станут активно использовать для распространения сторонних вредоносных приложений. Уязвимости в ОС Android по-прежнему будут использоваться при заражении мобильных устройств, не исключено, что и в drive-by атаках на смартфоны.

Атаки на Bitcoin

Атаки на биткойн-пулы, биржи и пользователей Bitcoin станут одной из самых громких тем года.

Атаки на биржи будут пользоваться наибольшей популярностью у киберпреступников, поскольку при таких атаках соотношение затрат и прибыли оптимальное.

Что касается атак на пользователей Bitcoin, то в 2014 году значительно возрастет опасность атак с целью кражи их кошельков. Напомним, что в прошлом злоумышленники заражали компьютеры пользователей и использовали их для майнинга. Однако сейчас эффективность подобного метода снизилась в тысячи раз, тогда как кражи биткойнов сулят атакующим громадную прибыль при полной анонимности.

Защита тайны частной жизни

Во всех странах люди хотят скрыть свою частную жизнь от спецслужб. Обеспечить защиту данных пользователей невозможно без соответствующих мер со стороны интернет-сервисов, используемых пользователями, – социальных сетей, почтовых служб, облачных хранилищ. Однако существующих сейчас способов защиты недостаточно. Несколько подобных сервисов уже заявили о внедрении дополнительных мер по защите данных пользователей – например о шифровании данных, передаваемых между собственными серверами. Внедрение методов защиты продолжится, поскольку они будут востребованы пользователями, и их наличие при выборе может стать существенным аргументом в пользу того или иного интернет-сервиса.

Есть проблемы и на стороне конечного пользователя. Ему нужно обезопасить информацию, которую он хранит на своем компьютере и мобильных устройствах, а также самостоятельно обеспечить конфиденциальность своих действий в Сети. Это значит, что должна вырасти популярность VPN-сервисов и Tor-анонимайзеров, а также спрос на средства для локального шифрования.

Атаки на облачные хранилища

Для «облаков» наступают трудные времена. С одной стороны, доверие к облачным сервисам хранения информации пошатнулось из-за разоблачений Сноудена и ставших известными фактов сбора данных спецслужбами разных стран мира. С другой стороны, данные, хранящиеся там, их объем и, самое главное, содержание становятся все более и более привлекательной целью для хакеров. Мы еще три года назад говорили о том, что со временем хакеру может быть гораздо проще взломать облачного провайдера и украсть оттуда данные какой-либо компании, чем взломать саму компанию. Похоже, что это время наступает. Хакеры будут целенаправленно атаковать самое слабое звено  — сотрудников облачных сервисов. Атака против них может дать ключи для доступа к гигантским объемам данных. Помимо кражи информации, атакующих могут интересовать возможности по ее удалению или модификации, что в ряде случаев может быть гораздо выгоднее заказчикам атаки.

Атаки на разработчиков ПО

Перекликается с описанной выше проблемой вероятный рост атак на разработчиков программных продуктов. В 2013 году мы раскрыли серию атак киберкриминальной группы Winnti. Жертвами этих атак стали игровые компании, у которых были украдены исходники серверной части онлайн-игр. Жертвой другой атаки стала компания Adobe – у нее, в частности, были украдены исходники Adobe Acrobat и ColdFusion. Из более ранних примеров подобных инцидентов выделяется атака на RSA в 2011 году, когда атакующие раздобыли исходные коды SecureID, а затем эти данные были использованы в атаке на Lockheed Martin.

Кража исходных кодов популярных продуктов дает атакующим прекрасную возможность для поиска в них уязвимостей – для последующего использования. Кроме того, при наличии доступа к репозиториям жертвы атакующие могут и модифицировать исходный код программ, добавив в них «бэкдоры».

И опять же, здесь в зоне особого риска находятся разработчики мобильных приложений (а таких разработчиков насчитываются тысячи), и тысячи приложений создаются ими и устанавливаются на сотни миллионов устройств.

Кибернаемники

Разоблачения Сноудена показали, что государства ведут кибершпионаж в том числе с целью экономической помощи «своим» компаниям. Этот факт устранил своего рода моральный барьер, который до этого удерживал бизнес от использования столь радикальных методов конкурентной борьбы.

Компании нередко будут вынуждены вести экономический кибершпонаж, чтобы не потерять конкурентоспособность – ведь другие уже шпионят в целях получения конкурентного преимущества. Не исключено, что в некоторых странах компании будут вести кибершпионаж и за правительственными структурами. А также за своими сотрудниками, партнерами и поставщиками.

Осуществлять такие действия бизнес может только с помощью кибернаемников — организованных групп квалифицированных хакеров, которые будут оказывать компаниям коммерческие услуги по ведению кибершпионской деятельности. Скорее всего, эти хакеры будут называться «кибердетективами».

Одним из примеров использования наемных хакеров для осуществления коммерческого кибершпионажа стала атака Icefog, которую мы раскрыли летом 2013 года.

Фрагментация интернета

Поразительные вещи произошли с Сетью. Многие эксперты, и в частности Евгений Касперский, говорили о необходимости создания некого параллельного «безопасного интернета» без возможности анонимного совершения преступных действий в нем. А киберпреступники создали свой собственный отдельный Darknet, основанный на технологиях Tor и I2P, которые позволяют им анонимно заниматься криминалом, торговать и коммуницировать.

Одновременно с этим начался процесс дробления интернета на национальные сегменты. До недавнего времени этим отличался только Китай со своим Великим китайским файерволом. Однако в стремлении отделить значительную часть своих ресурсов и самостоятельно их контролировать Китай оказался не одинок. Ряд стран, включая Россию, приняли или собираются принять законы, запрещающие использование иностранных сервисов. Особенно эти тенденции усилились после публикаций Сноудена. Так, в ноябре Германия заявила, что собирается полностью замкнуть все коммуникации между германскими ведомствами внутри страны. Бразилия сообщила о намерении проложить альтернативный магистральный интернет-канал, чтобы не использовать тот канал, который идет через американскую Флориду.

Всемирная Сеть стала распадаться на куски. Страны не желают выпускать хотя бы один байт информации за пределы своих сетей. Эти тенденции будут нарастать все сильней, и от законодательных запретов неизбежен переход к техническим ограничениям. После этого вероятным шагом станут и попытки ограничения иностранного доступа к данным внутри страны.

При дальнейшем развитии подобных тенденций мы очень скоро можем оказаться без единого интернета – но с десятками национальных сетей. Не исключено, что некоторые из них даже не будут иметь возможности взаимодействовать друг с другом. При этом теневой Darknet будет единственной наднациональной сетью.

Пирамида киберугроз

Все ожидаемые нами события и тенденции 2014 года проще всего представить графически, взяв за основу пирамиду киберугроз, нарисованную нами год назад.

Эта пирамида состоит из трех элементов. В основании находятся угрозы, используемые в атаках на рядовых пользователей со стороны традиционных киберпреступников, движимых исключительно соображениями собственной финансовой выгоды. На среднем уровне – угрозы, используемые в целевых атаках корпоративного кибершпионажа, а также так называемые полицейские программы-шпионы, применяемые государствами для шпионажа за своими гражданами и компаниями. Верхушка пирамиды – киберугрозы, создаваемые государствами для проведения кибератак на другие государства.

Большинство описанных выше сценариев развития киберугроз относятся к среднему уровню пирамиды. Поэтому в 2014 году мы ожидаем наиболее значительное увеличение количества угроз, связанных с экономическим и внутригосударственным кибершпионажем.

Обеспечит увеличение числа подобных атак перепрофилирование части киберпреступников, которые сейчас заняты атаками на пользователей, в кибернаемников-кибердетективов. Кроме того, весьма возможно, что услуги кибернаемников станут оказывать и те IT-специалисты, которые ранее никогда не занимались криминальной деятельностью. Этому будет способствовать ореол легитимности, который создадут работе «кибердетективов» заказы со стороны солидных компаний.

Kaspersky Security Bulletin 2013. Прогнозы

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике