Kaspersky Security Bulletin

Прогнозы по продвинутым угрозам на 2020 год

Нет ничего сложнее, чем давать прогнозы. Но вместо того чтобы всматриваться в магический шар, мы сделаем предположения, основанные на событиях последних 12 месяцев, и обозначим тренды, которые ждем в ближайшем будущем.

Ниже излагается наше видение того, что может произойти в следующем году, построенное с оглядкой на знания экспертов в данной области и опирающееся на наши наблюдения за APT-атаками, поскольку именно их организаторы традиционно выступают центром инноваций.

Операции под ложным флагом: следующий уровень

Операции под ложным флагом стали важным тактическим элементом для многих APT-групп. В прошлом такие операции включали попытки отвлечь внимание от операторов кампании, например, путем намеренного использования слов на русском языке в коде группы Lazarus или на румынском в зловредах группы WildNeutron.

В случае Olympic Destroyer APT-группа Hades решила не ограничиваться банальным затруднением атрибуции и подделала элементы атаки так, что в результате последняя стала выглядеть как детище другой кибергруппировки. По нашему мнению, эта тенденция в будущем продолжится – преступные группы будут стремиться не только избежать атрибуции, но и выставить виноватым кого-то другого.

Для данных целей могут, например, использоваться установленные бэкдоры, которые ассоциируются с другими APT-группировками. Злоумышленники могут не только использовать чужой код, но и намеренно сливать свой, чтобы им воспользовались другие группировки и тем самым еще больше запутали общую картину. Здесь на ум приходит недавний случай, о котором сообщили британский Национальный центр кибербезопасности (UK NCSC) и Агентство национальной безопасности (NSA) США, когда группа Turla использовала разработки неизвестной иранской хакерской группировки.

Кроме всего вышеперечисленного, следует помнить и о том, как злоумышленники используют коммерческое вредоносное ПО, скрипты, публично доступные средства обеспечения безопасности, а также ПО для администрирования при проведении атак и для распространения зловредов. Все это усложняет атрибуцию. Добавьте в это уравнение пару ложных флагов – а эксперты при расследовании атак хватаются за любую доступную информацию, – и этого может оказаться достаточно, чтобы ошибочно приписать авторство не той группировке.

От троянцев-вымогателей к целевым троянцам-вымогателям

Последние два годы мы наблюдали снижение количества атак, проводимых с помощью распространенных универсальных вымогателей, и тенденцию на проведение направленных атак с конкретными мишенями – злоумышленники выбирают организации, которые готовы заплатить значительные суммы, чтобы восстановить данные. Мы назвали этот метод «целевым вымогательством».

В течение года мы зафиксировали несколько случаев использования киберпреступниками целевых шифровальщиков; в будущем, по нашему мнению, их атаки будут все агрессивнее. Возможно также, что вместо блокировки файлов злоумышленники начнут угрожать их публикацией.

Наряду с целевыми вымогателями киберпреступники неизбежно постараются диверсифицировать атаки таким образом, чтобы их цели включали не только компьютеры и серверы. В частности, мишенями программ-вымогателей могут стать «умные» телевизоры, часы, машины, дома, города и так далее. Все больше устройств получают доступ в интернет, и потому киберпреступники попытаются монетизировать доступ к таким устройствам. К сожалению, на данный момент программы-вымогатели — это самый эффективный инструмент для извлечения прибыли у жертв.

Новые векторы атак в онлайн-банкинге и онлайн-платежах

Новый вектор атаки может появиться со вступлением в силу правил регулирования банковской деятельности в Европейском Союзе. Директива о платежных услугах (PSD2) налагает регулятивные требования на компании, предоставляющие платежные сервисы. Под действие новых норм подпадают и финтех-компании, которые традиционно не принято относить к банковскому сообществу.

Безопасность онлайн- и мобильных платежей – это ключевой аспект законодательства. С другой стороны, банки столкнутся с требованием открыть инфраструктуру и данные для сторонних субъектов, желающих предоставлять услуги их клиентам, – в этих условиях существует вероятность, что злоумышленники попытаются эксплуатировать эти механизмы при помощи новых мошеннических схем.

Больше атак на инфраструктуру и мишени, не являющиеся ПК

Злоумышленники в последнее время расширяют инструментарий, распространяя свои атаки на не-Windows системы и даже на устройства, не являющиеся персональными компьютерами.

Например, зловреды VPNFilter и Slingshot заражали сетевое оборудование. Для злоумышленников такие устройства интересны в качестве мишеней из-за свободы действий, которую они получают при их заражении. Можно, например, провести массивную компрометацию в духе ботнетов и далее использовать сеть для достижения других целей; либо проводить скрытые атаки.

В прогнозах по развитию угроз на 2019 год мы рассмотрели возможность атак без применения вредоносного ПО, в которых VPN-тоннель, открытый для зеркалирования или перенаправления трафика, предоставляет атакующим всю необходимую информацию.

В июне стало известно, что киберпреступники проникли в сети по крайней мере десяти сотовых компаний по всему миру, причем вскрылось это только по прошествии нескольких лет. В некоторых случаях они, судя по всему, смогли развернуть собственные VPN-сервисы на инфраструктуре телекоммуникационных компаний.

Взаимное проникновение реального и кибермира, вызванное огромным количеством IoT-устройств, создает все больше возможностей для злоумышленников и очевидно, что они осознают этот потенциал.

В этом году выяснилось, что неизвестные злоумышленники при помощи мини-компьютера Raspberry Pi украли 500МБ данных из Лаборатории ракетных двигателей НАСА.

В декабре прошлого года работа лондонского аэропорта Гэтвик остановилась после того, как над взлетно-посадочной полосой был замечен по крайней мере один дрон. Неизвестно, кто запустил аппарат – простой любитель квадрокоптеров или злоумышленник; при этом налицо тот факт, что работу критически важного объекта инфраструктуры парализовал дрон. Число таких атак в будущем, несомненно, вырастет.

Последние годы мы наблюдали целый ряд атак на объекты критически важной инфраструктуры; как правило, они были связаны с определенными геополитическими целями. Заражения промышленных объектов пока что происходят по большей части из-за «традиционных» вредоносных программ, но сам факт заражений показывает, насколько уязвимы такие предприятия.

Маловероятно, что целевые атаки на объекты критически важной инфраструктуры когда-нибудь станут основным полем деятельности киберпреступников. При этом мы ожидаем, что число таких атак в будущем вырастет. Геополитические конфликты разворачиваются на фоне нарастающего взаимопроникновения физического и кибермиров, и, как мы уже отмечали раньше, такие кампании предоставляют правительствам способ возмездия на стыке дипломатии и военных действий.

Атаки в регионах, расположенных вдоль торговых маршрутов между Европой и Азией

Как сказал прусский военачальник Карл фон Клаузевиц, война есть продолжение политики иными средствами. Это высказывание можно распространить и на киберконфликты: вредоносные кампании лишь отражают трения и конфликты, существующие в реальном мире.

Мы многократно наблюдали это на практике. Вспомним, например, обвинения в адрес России по поводу вмешательства в выборы президента США и страхи, что в ходе голосования 2020 года оно повторится. Мы уже наблюдали публичную огласку и порицание предполагаемых китайских хакеров, которым предъявлены обвинения в США. Другой пример – широкое использование мобильных имплантов для слежения за «представляющими интерес» людьми.

В будущем это может вызвать всплеск шпионажа из-за стремления государств защитить свои интересы внутри страны и за ее пределами. В частности, слежку за действиями «неблагонадежных» граждан или политических движений дома, а также за потенциальными оппонентами на мировой арене. Также наверняка будет спрос на технологический шпионаж в обстоятельствах потенциального или реального экономического кризиса и обусловленной им нестабильности. Все это может привести к кибератакам на регионы, расположенные вдоль торговых маршрутов между Европой и Азией – в Турции, Восточной и Южной Европе, а также Восточной Африке.

Вполне вероятно, что в будущем мы увидим изменения в законодательстве по мере того, как правительства стран будут четче обозначать, что можно, а что нельзя. С одной стороны, власти могут использовать это как способ дистанцироваться и избежать возможных политических осложнений в случае обвинений в шпионаже. С другой — это может привести к более агрессивному использованию технологий: некоторые ведомства, судя по всему, не прочь открыть путь для различных видов «правомерного перехвата», чтобы обеспечить сбор улик с компьютеров. Со стороны кибергруппировок может последовать ответ в виде более широкого использования шифрования и даркнета для обеспечения скрытности.

Рост сложности методов проведения атак

Сложно точно оценить реальную квалификацию высококлассных злоумышленников и то, какими ресурсами они располагают, хотя с годами мы о них узнаем все больше. Например, несколько лет назад мы наблюдали, казалось, бесконечное поступление уязвимостей нулевого дня, за которые злоумышленники были готовы заплатить деньги. В этом году мы зафиксировали несколько таких случаев; самый интересный из них включал 14 эксплойтов к iOS за последние два года, о чём в августе сообщили специалисты Google.

Новые методы изоляции, реализованные в Microsoft Word и других программах, которые традиционно становятся мишенью целевого фишинга, могут повлиять на способы доставки вредоносного ПО. Это в особенности касается непродвинутых злоумышленников.

По нашему мнению, есть вероятность, что некоторые дополнительные способы перехвата информации (такие, как в случае описанных несколько лет назад атак Quantum Insert) уже используются. Мы надеемся, что сможем обнаружить некоторые из них.

Также представляется вероятным, что злоумышленники будут выводить данные с зараженных устройств нестандартными методами, например, через сигнальные данные или через Wi-Fi/4G-соединения, особенно при использовании физических имплантов (о возможности которых, как нам кажется, часто забывают).

Кроме того, мы полагаем, что злоумышленники будут чаще использовать протокол DNS over HTTPS (DoH), чтобы скрыть свою деятельность. И наконец, существует вероятность, что в ближайшие месяцы нам станет легче обнаруживать UEFI-зловреды и заражения из-за прогресса в их детектировании.

Атаки на цепочки поставок по-прежнему будут сложно детектировать. По всей вероятности, злоумышленники продолжат развитие этого метода доставки вредоносного ПО, используя для него, например, программные контейнеры, манипулируя при этом пакетами и библиотеками.

Смещение фокуса на мобильные атаки

В последние десять лет случился важный сдвиг: виртуальная жизнь пользователей переместилась из персональных компьютеров в мобильные устройства. Некоторые злоумышленники это быстро заметили и начали обращать свои усилия на разработку методов проведения атак на новые цели. Мы давно предсказывали значительный рост числа атак на мобильные устройства, хотя такие прогнозы не всегда по факту подтверждаются полевыми наблюдениями. С другой стороны, если явление невозможно отследить, это еще не означает, что его нет.

Мы уже обсуждали случай, когда злоумышленник, эксплуатируя не менее 14 уязвимостей нулевого дня в iOS, атаковал определенные цели в Азии. Также недавно мы стали свидетелями того, как Facebook привлек к суду израильскую компанию NSO за предполагаемое ненадлежащее использование серверов соцсети (на которых размещалось вредоносное ПО для перехвата пользовательских данных). Также интересно, что, судя по прайс-листу компании Zerodium, устойчивые эксплойты под Android стали дороже таковых под iOS.

Все это доказывает, что злоумышленники вкладывают большие деньги в разработку новых технологий. Они четко понимают, что сейчас практически у каждого в кармане есть телефон, а информация на этих устройствах представляет ценность. С каждым годом мы видим, как злоумышленники продвигаются в этом направлении. Также мы видим, что для исследователям зачастую сложно получить технические детали атаки, проводимой на таких платформах из-за закрытости последних.

Нет оснований думать, что эта ситуация в ближайшем будущем изменится. Однако в исследовательском сообществе возрастает внимание к данной теме, и мы надеемся, что число обнаруженных и проанализированных атак возрастет.

Злоупотребление персональными данными: от deep fake до утечек данных ДНК

Мы уже обсуждали, как в результате утечек данных злоумышленники совершенствуют методы социальной инженерии и проводят более убедительные атаки на пользователей. Не у каждого преступника есть полный профиль потенциальных жертв, из-за чего ценность утечек данных возрастает. Это верно и для нецелевых атак — например, для вышеупомянутых вымогателей.

Мало того, что объемы хранящихся данных постоянно растут — возникает опасность утечек особо чувствительных данных, в частности, биометрических. Также широко обсуждаемые случаи создания подделок с помощью нейросетей — deep fake — повышают вероятность таких инцидентов, особенно в сочетании с менее очевидными аудио- и видеовекторами. Не стоит забывать о возможности автоматизации таких методов, а также о том, что возможно применение ИИ для профилирования жертв и создания таких информационных подделок. Да, все это звучит футуристично, но эти способы очень похожи на то, как используют социальные сети в ходе предвыборной агитации. Эта технология уже используется; рано или поздно злоумышленники начнут ее эксплуатировать.

Невозможно предугадать все, что случится в будущем. Среды, в которых разворачиваются атаки, настолько обширны и сложны, что последующее развитие угроз наверняка будет сложнее самых достоверных прогнозов. Кроме того, ни у одной группы экспертов нет полного представления о действиях APT-группировок. В будущем мы постараемся предугадывать действия таких преступников и понимать используемые ими методы, анализируя вредоносные кампании и их возможные последствия.

Прогнозы по продвинутым угрозам на 2020 год

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике