Kaspersky Security Bulletin: Прогнозы на 2018 год

 Загрузить полную PDF-версию отчета

Введение

Хотите верьте, хотите нет, но мы снова будем говорить об APT-угрозах. Прошедший 2017 год вызвал противоречивые эмоции у ИБ-экспертов. С одной стороны, на наших глазах «оживают» проблемы, прежде считавшиеся теоретическими, а каждая новая атака открывает новое поле для исследований. На примере APT мы можем лучше оценить реальную поверхность атаки, вычислить тактику злоумышленника и, как результат, еще эффективнее выслеживать и отражать новые угрозы. C другой стороны, целью нашей работы по-прежнему остается безопасность пользователей, для которых атака порой оборачивается катастрофой. Мы не рассматриваем каждый новый инцидент как вариацию уже пройденного материала. Вместо этого мы наблюдаем, как постепенно ослабевает безопасность пользователей, интернет-магазинов, финансовых и правительственных учреждений, и пытаемся представить, какое будущее наш ждет.

Как мы уже отмечали в прошлом году, наш отчет — не завуалированная реклама. Мы строим прогнозы на основе наблюдений за прошлый год и выделяем тенденции, которые могут обостриться в новом году.

Оглядываясь назад — сбылись ли наши прогнозы?

В качестве подтверждения реалистичности наших прогнозов за прошлый год давайте перечислим некоторые из них и приведем примеры.

Шпионаж и APT-угрозы

• Распространение пассивных имплантов, практически не оставляющих следов заражения
  Сбылось — https://securelist.com/unraveling-the-lamberts-toolkit/77990/
• Короткие заражения / вредоносные программы, скрывающиеся в оперативной памяти
  Сбылось — https://securelist.com/fileless-attacks-against-enterprise-networks/77403/
• Шпионаж станет мобильным
  Сбылось — https://android-developers.googleblog.com/2017/04/an-investigation-of-chrysaor-malware-on.html

Финансовые атаки

• Будущее финансовых атак
  Сбылось — https://securelist.com/lazarus-under-the-hood/77908/

Программы-вымогатели

• Грязное и лживое вымогательство
  Сбылось — https://securelist.ru/schroedingers-petya/31001/

Угрозы в промышленности

• Катастрофа не случилась, и мы очень рады, что ошибались. Однако мы видели, как Industoyer атакует АСУ – https://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet/

Интернет вещей

• Кирпич, как его ни назови
  Сбылось! BrickerBot — https://arstechnica.com/information-technology/2017/04/brickerbot-the-permanent-denial-of-service-botnet-is-back-with-a-vengeance/

Информационные войны

• Сбылось, масса примеров — https://citizenlab.ca/2017/05/tainted-leaks-disinformation-phish/

Чего ждать в 2018 году?

1. Больше атак на цепочки поставок. Глобальный центр исследования и анализа угроз «Лаборатории Касперского» отслеживает более 100 APT-групп и кампаний. Некоторые группировки обладают богатыми возможностями и широчайшим арсеналом, включающим эксплойты нулевого дня и бесфайловые средства атаки. Иногда они используют традиционные методы взлома, а потом передают работу более опытным командам хакеров, которые занимаются эксфильтрацией данных. Нередко мы наблюдали ситуации, когда опытные хакеры долго пытались взломать определенную цель и каждый раз уходили ни с чем. Такую стойкость потенциальной жертвы можно объяснить либо наличием мощного защитного решения и обученных сотрудников, не поддающихся на методы социальной инженерии, либо тщательной проработкой 35 ключевых стратегий по противодействию APT-атакам, подготовленных Управлением радиотехнической обороны Австралии. Как правило, опытные и настойчивые злоумышленники, специализирующиеся на APT-атаках, просто так не сдаются — они продолжают искать бреши в обороне, пока не найдут.

   Если все предпринятые меры не приносят плодов, злоумышленники временно отступают, чтобы повторно оценить свою цель. В итоге киберпреступники могут прийти к выводу, что атака на цепочку поставок может оказаться эффективнее прямого наступления. Даже если сеть организации со всех сторон прикрыта наилучшими в мире средствами защиты, ее сотрудникам все равно приходится работать со сторонним ПО. Взломав более простое и уязвимое стороннее решение, можно проскользнуть за надежные рубежи защиты исходной цели.

   В 2017 году преступники организовали несколько атак по этому сценарию. Вот некоторые из них:

   1. Shadowpad
   2. CCleaner
   3. ExPetr / NotPetya

   Такие атаки порой чрезвычайно трудно обнаружить и обезвредить. Например, в случае с Shadowpad злоумышленники успешно внедрили троянцы в несколько пакетов Netsarang, которые используют в банках и на крупных предприятиях во всем мире. Различить чистые и троянские пакеты крайне сложно — во многих случаях подделку выдает трафик, идущий в командный центр.

   По оценкам экспертов, зараженный пакет CCleaner загрузили на более 2 млн. компьютеров — это одна из самых масштабных атак за 2017 год. Мы проанализировали вредоносный код CCleaner и нашли сходство с такими бэкдорами, как APT17 или Aurora, ранее использовавшимися различными APT-группами под общим названием Axiom. Это показывает, насколько далеко готовы зайти APT-группы, чтобы добиться поставленных целей.

   Мы полагаем, что количество проведенных атак на цепочки поставок может превзойти наши ожидания: далеко не все атаки были обнаружены и раскрыты общественности. По нашим прогнозам, в 2018-м стоит ждать еще больше подобных атак — какие-то из них будут раскрыты, другие так и останутся незамеченными. Добавление троянцев в специализированное ПО, распространенное в отдельных регионах или отраслях экономики, станет популярным способом для попутного заражения стратегических объектов с охватом конкретной аудитории пользователей.

2. Больше сложных вредоносных программ для мобильных устройств. В августе 2016 года CitizenLab и Lookout опубликовали анализ Pegasus — недавно обнаруженной передовой шпионской платформы для мобильных устройств. Этот так называемый «набор ПО для законного перехвата данных» израильская компания NSO Group продает государственным и прочим структурам. В сочетании с уязвимостями нулевого дня, позволяющими удаленно обойти системы защиты современных мобильных ОС (например, iOS), эта платформа становится мощным оружием, которому нечего противопоставить.  В апреле 2017 года компания Google провела анализ Android-версии Pegasus, которую они окрестили Chrysaor. Помимо вредоносных программ для «законного наблюдения», таких как Pegasus и Chrysaor, ряд других APT-группировок разработали собственные мобильные импланты.

   Учитывая, что в iOS заблокирована возможность анализа системной среды, у пользователя нет возможности убедиться, что его смартфон не заражен. Экосистема Android оказалась более уязвимой, но все же ситуация там менее плачевная, так как пользователи могут защитить устройство решениями вроде Kaspersky Internet Security для Android.

   По нашей оценке, общее количество реально действующего вредоносного ПО на мобильных устройствах намного выше официальных показателей. Ограниченные возможности телеметрии не позволяют отследить и уничтожить все зловреды. Мы считаем, что в 2018 году увеличение частоты атак и совершенствование технологий их обезвреживания приведет к возникновению более сложных APT-зловредов для мобильных платформ.

3. Больше атак с учетом веб-профилирования через платформы типа BeEF. В операционные системы изначально встраивают неплохие средства безопасности и предотвращения атак, из-за чего цены на эксплойты нулевого дня взлетели в 2016 и 2017 годах. К примеру, в свежайшем списке выплат Zerodium за полный удаленный устойчивый джейлбрейк iOS, т. е. удаленное заражение без какого-либо взаимодействия с пользователем, предлагают заплатить 1,5 млн долларов США.

   

   Чтобы заполучить такие эксплойты, некоторые государственные заказчики готовы расстаться с невероятными суммами. Как следствие, все больше усилий тратится на защиту эксплойтов такого класса от случайного разглашения. Для этого злоумышленники затрачивают на порядок больше времени на разведку перед реальной атакой. В ходе разведки киберпреступник может попытаться точно определить версии браузера, операционной системы, плагинов и стороннего ПО на компьютере жертвы. С этими сведениями исполнитель атаки может слегка изменить эксплойт, чтобы он использовал уязвимости первого или энного дня, и без необходимости не применять свои самые ценные разработки.

   Такие APT-группировки, как Turla, Sofacy и Newsbeef (еще известны как Newscaster, Ajax Security Team или Charming Kitten) почти никогда не брезгуют профилированием. Некоторые APT-группы создают свои платформы для профилирования, такие как Scanbox. Учитывая широкую распространенность таких платформ и острую необходимость в защите дорогостоящих средств нападения, мы прогнозируем, что в 2018 году наборы инструментов для профилирования наподобие BeEF, как общедоступные, так и самодельные, еще больше распространятся среди хакеров.

4. Продвинутые атаки на UEFI и BIOS. Unified Extensible Firmware Interface (UEFI) — это программный интерфейс, выступающий прослойкой между прошивкой и ОС современных компьютеров. Этот стандарт в 2005 году был принят альянсом ведущих разработчиков программного и аппаратного обеспечения, в числе которых и Intel, после чего он стремительно начал вытеснять классический стандарт BIOS. Его популярность обусловлена наличием отсутствующих в BIOS расширенных функций, таких как возможность устанавливать и запускать исполняемые файлы, доступ к сети и Интернету, шифрование, процессоронезависимая архитектура и драйверы и пр. Такая широкая функциональность, ставшая коньком платформы UEFI, породила совершенно новый класс уязвимостей, невозможных в ограниченной среде BIOS. Например, благодаря поддержке сторонних исполняемых модулей можно создавать зловреды, запускаемые напрямую из UEFI до загрузки любых защитных решений и даже ОС.

   Первое коммерческое вредоносное ПО под UEFI появилось в 2015 году в виде модулей UEFI команды Hacking Team. Удивительно, что серьезных зловредов на UEFI обнаружили немного, что можно объяснить сложностью обнаружения подобного ПО. Как мы полагаем, в 2018 году мы будем чаще сталкиваться с UEFI-зловредами.

5. Продолжение разрушительных атак. Начиная с ноября 2016 года, эксперты «Лаборатории Касперского» наблюдают за новой волной вайпер-атак, охвативших множество целей на Ближнем Востоке. В новой серии атак применялась разновидность одиозного червя Shamoon, фигурировавшего в атаке на компании Saudi Aramco и Rasgas в 2012 году. После четырехлетней спячки один из самых загадочных вайперов в истории вернулся. Червь Shamoon, также известный как Disttrack, представляет собой семейство зловредов большой разрушительной силы, эффективно уничтожающих все данные на компьютере жертвы. Ответственность за атаку на Saudi Aramco взяла на себя хакерская группа «Рассекающий меч правосудия» (The Cutting Sword of Justice), опубликовавшая свое послание на сервисе Pastebin в день атаки в 2012 году. Свой поступок они мотивировали протестом против монархии в Саудовской Аравии.

   Атаки с участием Shamoon 2.0 в ноябре 2016 года были направлены на ключевые отраслевые и финансовые учреждения Саудовской Аравии. Как и у предыдущей версии зловреда, задачей Shamoon 2.0 был массовый вывод из строя компьютерных систем зараженных организаций. В ходе расследования атак с применением Shamoon 2.0 специалисты «Лаборатории Касперского» также натолкнулись на ранее неизвестную разновидность вайперов, нацеленную на предприятия Саудовской Аравии. Мы назвали ее StoneDrill. Вероятнее всего, авторами этого вайпера являются хакеры из APT-группировки Newsbeef.

   Кампании Shamoon и StoneDrill не были единственными разрушительными атаками в 2017 году. Атака ExPetr/NotPetya, на первый взгляд казавшаяся вымогательством, на деле оказалась грамотно завуалированным вайпером. Вслед за ExPetr прошли новые волны атак с псевдовымогателями, оставившие жертв практически без надежды на восстановление данных. Все они пополнили список «вайперов-вымогателей». Мало кто знает, но в 2016 году APT-группировка CloudAtlas запустила серию аналогичных атак с псевдовымогателями, направленную на финансовые учреждения России.

   Мы ожидаем, что в 2018 году разрушительные атаки станут более распространенными и закрепят свой статус наиболее заметного кибероружия.

6. Скомпрометированное шифрование. В марте 2017 года эксперты заподозрили неладное в реализации шифрования по методам Simon и Speck для IoT-устройств, подготовленной АНБ. После этого обе заявки на сертификацию ISO отозвали, а их подачу перенесли во второй раз.

   В августе 2016 года компания Juniper Networks заявила об обнаружении двух загадочных бэкдоров в сетевых экранах NetScreen. Пожалуй, самое интересное в этой парочке то, что они основаны на незначительном изменении констант в генераторе случайных чисел Dual_EC, узнав которые, злоумышленник сможет расшифровывать VPN-трафик с устройств NetScreen. Оригинальный алгоритм Dual_EC был спроектирован в АНБ и утвержден Национальным институтом стандартов и технологий США. Еще в 2013 году в расследовании Reuters высказывалось предположение, что АНБ заплатила компании RSA 10 миллионов долларов, чтобы та применяла в своих устройствах несовершенный алгоритм, допускающий компрометацию шифрования. Хотя о возможном существовании этого бэкдора узнали еще в 2007 году, некоторые компании, например Juniper, все равно продолжили пользоваться этим алгоритмом. Они лишь использовали другой набор констант, что в теории должно было обеспечить защиту их данных. По всей видимости, такой подход серьезно раздосадовал некоего APT-хакера. Он взломал системы Juniper и заменил константы на свой набор, чтобы управлять VPN-подключениями и расшифровывать трафик.

   Все эти попытки скомпрометировать шифрование не остались незамеченными. В сентябре 2017 года международная команда экспертов в области криптографии вынудила АНБ отказаться от двух новых алгоритмов шифрования, которые агентство хотело стандартизировать.

   В октябре 2017 года появилась новость о недоработке в криптографической библиотеке, на которой компания Infineon основывала генерацию простых чисел RSA-шифрования в своих чипах. Хотя свидетельств в пользу умышленного саботажа нет, поневоле задумаешься, а так ли безопасны ключевые технологии шифрования смарт-карт, беспроводных сетей или интернет-трафика. Мы считаем, что в 2018 году будут обнаружены и исправлены новые серьезные уязвимости в шифровании как в самих стандартах, так и в отдельных реализациях.

7. Кризис пользовательской идентификации в электронной коммерции. Последние несколько лет запомнились растущим числом масштабных и даже катастрофических утечек данных, идентифицирующих личность (PII). Свежайший пример — утечка из компании Equifax, которая затронула 145,5 миллионов американцев.  Постоянные утечки уже давно никого не удивляют. Впрочем, нужно понимать, что масштабное разглашение PII ставит под удар фундаментальные основы электронной коммерции и целесообразность пересылки важных документов через Интернет. Все мы слышали о случаях мошенничества и кражи личных данных, но что будет, если широко распространенные средства идентификации пользователей в какой-то момент окажутся абсолютно ненадежными? Коммерческие и государственные структуры, особенно в США, станут перед выбором. Им придется либо отказаться от использования Интернета в повседневных делах, либо разориться на внедрение других многофакторных решений. Возможно, опасения напрасны и стандартом безопасности личных данных и транзакций станут более надежные методы идентификации, такие как ApplePay. Но пока этого не случилось, интернет может сдать свои позиции ключевого средства оптимизации скучных бюрократических процессов и сокращения операционных расходов.
8. Больше взломанных роутеров и модемов. Еще один известный рассадник уязвимостей, который стараются не замечать, — роутеры и модемы. Повсюду, дома и на работе, мы полагаемся на них в решении повседневных задач. Но зачастую эти устройства работают на базе проприетарного ПО, за которым никто не следит и которое никто не обновляет. Эти крохотные компьютеры — привратники, открывающие нам дверь в Интернет. Это делает их главной целью злоумышленников, которые хотят незаметно и надолго закрепиться в вашей сети. Одно недавнее интересное исследование продемонстрировало, что в некоторых случаях киберпреступники могут имитировать различных пользователей Интернета, маскируя свои действия совершенно другим адресом подключения. Это серьезное преимущество, особенно с учетом популярности тактик запутывания и операций «под чужим флагом». Мы не сомневаемся, что углубленный анализ подобных устройств неизбежно приведет к новым удивительным открытиям.
9. Социальный хаос. Любовь к информационным войнам в прошлом году вылилась в ряд громких утечек информации и политических скандалов. Никто и представить не мог, что социальные сети станут столь мощным политическим орудием. Неважно, кто его использует — политические «эксперты» или авторы «Южного Парка», публикующие юмористические выпады в адрес гендиректора Facebook. Очевидно лишь то, что рядовые пользователи ждут от администрации популярных соцсетей хотя бы проверки фактов в публикуемых сообщениях и зачистки подставных пользователей или ботов, пытающихся добиться несоразмерного социального влияния. К сожалению, владельцы соцсетей, оценивающие свою успешность по ежедневному числу активных пользователей, не слишком торопятся устранять ботов. Их эта проблема не интересует, даже если боты действуют в открытую или с легкостью вычисляются независимыми экспертами. Мы ожидаем, что явные злоупотребления будут продолжаться и что крупные ботсети станут еще доступнее. Кроме того, само общение в соцсетях станет восприниматься публикой в более негативном ключе, что спровоцирует отток посетителей в другие сервисы, где не пренебрегают комфортом участников ради прибыли и красивой статистики.

Вывод

В 2017 году мы предрекли конец индикаторов заражения. Мы считаем, что в 2018 году опытные киберпреступники будут проводить оригинальные и необычные атаки, осваивая новый, устрашающий арсенал. Ежегодные темы и тренды не стоит рассматривать отдельно друг от друга – они тесно взаимодействуют, образуя ландшафт угрозы безопасности, актуальный для всех, от пользователей до бизнеса и правительств. Мы не знаем, когда это закончится, но знания об угрозах и их понимание будут мощными инструментами в ваших руках.

Наши прогнозы относительно APT-угроз охватывают основные тренды, но отдельные отрасли промышленности столкнутся с собственными вызовами. Мы хотим пролить свет на угрозы, которые будут актуальны в 2018 году.

Прогнозы по развитию угроз в автомобильной отрасли на 2018 год
Прогнозы по развитию угроз в отрасли «подключенной» медицины на 2018 год
Прогнозы по развитию угроз и мошеннические схемы в финансовой отрасли на 2018 год
Прогнозы по развитию угроз в сфере промышленной безопасности на 2018 год
Прогнозы по развитию угроз для криптовалют на 2018 год
Прогнозы по развитию угроз для подключенных систем в 2018 году