В последние 12 месяцев профиль APT-угроз продолжал меняться, а их серьезность — расти. Несмотря на эту изменчивость, мы смогли проанализировать последние тренды и попытаемся предсказать, что ждет нас в следующем году.
Наши прогнозы, основанные на опыте и аналитических данных наших экспертов, помогут потенциальным жертвам APT-группировок защитить себя.
Но для начала вспомним, чего мы ожидали от 2021 года.
APT-группы будут покупать у других киберпреступников ресурсы для первичного проникновения в сеть
В прошлом году мы предсказывали, что APT-группы будут все больше взаимодействовать с другими киберпреступными объединениями, в частности покупать на теневом рынке данные для доступа к ресурсам компаний. Похоже, это предсказание сбылось всего несколько дней назад. Команда Blackberry по исследованиям в области ИБ выпустила отчет о группе под условным названием Zebra2104, которая продает данные для первоначального доступа. Согласно этому исследованию, Zebra2104 поставляла операторам вредоносного ПО ресурсы для проникновения в корпоративные сети некоторых жертв. Интересно, что APT-группа StrongPity, которая специализируется на сборе разведданных, кажется, тоже пользовалась их услугами. Сбор данных обычно осуществляется на подготовительных этапах атаки, которые значительно сложнее отследить, и вполне вероятно, что мы знаем далеко не все о подобной связи APT-группировок с киберпреступными сообществами.
Больше стран будут публично предъявлять обвинения в рамках своей стратегии кибербезопасности
В 2020 году мы предсказывали, что правительства будут прибегать к публичному порицанию APT-групп, чтобы привлекать внимание к их деятельности. За прошедший год эта стратегия получила дальнейшее развитие. Мы также говорили, что страны начнут регулировать вопросы предотвращения APT-атак и наказания виновных на законодательном уровне, и оказались абсолютно правы.
15 апреля правительство США официально возложило на Россию ответственность за атаку на цепочку поставок американской компании SolarWinds. Это заявление сопровождалось введением санкций против нескольких компаний, которые, по мнению Министерства финансов США, были причастны к инциденту.
1 июля АНБ, ФБР, агентство по кибербезопасности и защите инфраструктуры США (CISA) и Национальный центр кибербезопасности Великобритании (NCSC) опубликовали совместное предупреждение о том, что группа Sofacy, также известная как APT28 и Fancy Bear, предприняла сотни попыток брутфорс-атак по всему миру. Атаки были направлены на правительственные и военные ведомства, подрядчиков министерства обороны, политические партии и консультационные службы, логистические и энергетические компании, университеты, юридические фирмы и СМИ.
19 июля США заявили о намерении покончить с «безответственным и дестабилизирующим поведением в киберпространстве» при поддержке НАТО, ЕС и Великобритании.Белый дом обратил особое внимание на недавние атаки с использованием уязвимостей нулевого дня в Microsoft Exchange. Министерство юстиции США обвинило четырех предполагаемых участников APT40 в незаконной сетевой активности.
Представители Армии обороны Израиля сообщили, что злоумышленники обманом склоняли израильских солдат к установке шпионских программ, используя для знакомства с мужчинами фейковые аккаунты в соцсетях — шесть страниц на Facebook, в Instagram и Telegram. Завязав отношения, преступники убеждали жертву установить мобильное приложение якобы для приватного общения.
24 сентября ЕС опубликовал уведомление о том, что с марта 2017 года проводилась дезинформационная кампания под названием Ghostwriter с целью дискредитировать НАТО. В рамках этой кампании злоумышленники публиковали поддельные документы, фейковые новости и другую дезинформацию на взломанных новостных веб-сайтах и страницах представителей власти в соцсетях, чтобы повлиять на результаты выборов, подорвать местные политические экосистемы и вызвать недоверие к НАТО. Хотя EC угрожал предполагаемым нарушителям санкциями, в конечном итоге их было решено не вводить.
В целом мы ясно видели, как борьба с киберпреступностью переходит из дипломатических каналов на законодательный уровень, что позволяет привлечь виновных к ответственности.
Компании Кремниевой долины будут бороться с брокерами эксплойтов нулевого дня
Год назад, вскоре после публикации наших прогнозов, Microsoft, Google, Cisco и Dell присоединились к Facebook в юридической борьбе с компанией NSO. Судебные разбирательства еще не закончились, и, насколько мы знаем, исков против других поставщиков эксплойтов нулевого дня и ПО для вторжения в компьютерные системы не подавалось.
Таким образом, наш прогноз сразу сбылся, и не исключено, что компании Кремниевой долины ждут окончания первого этапа разбирательств, чтобы принять решение о судебном преследовании других брокеров. Отметим, что 3 ноября Министерство торговли США четко выразило свою позицию в отношении рынка эксплойтов нулевого дня, добавив несколько компаний (NSO, Positive Technologies, COSEINC, Candiru) в Список организаций, деятельность которых противоречит интересам национальной безопасности США, поскольку они «поставляют инструменты для совершения киберпреступлений». Пока неясно, какой эффект это окажет на текущие судебные разбирательства.
Станет больше целевых атак на сетевые устройства
Публикуя этот прогноз, мы прежде всего думали о том, что будут продолжаться атаки на VPN-устройства. Однако, как мы уже отметили выше, на практике выяснилось, что самые серьезные уязвимости эксплуатировались в ходе атак на другие программы (такие как Microsoft Exchange). Тем не менее некоторые злоумышленники, например группа APT10, действительно использовали эти уязвимости для перехвата VPN-соединений.
Этот прогноз сбылся и другим неожиданным образом. В 2021 году группировка APT31 провела очень интересную кампанию. Она использовала сеть зараженных роутеров SOHO (а именно моделей Pakedge RK1, RE1 и RE2) для анонимизации и развертывания командных серверов.
Появление уязвимостей в технологиях 5G
В 2020 году вокруг технологий связи 5G разгорелось много споров. Мы предполагали, что в 2021 году эта тема станет еще более горячей в связи с обнаружением уязвимостей в устройствах, поддерживающих 5G, или даже в самих протоколах связи. В результате обсуждение темы в основном касалось юридических вопросов, но тем не менее проводились интересные исследования, которые действительно выявили в этих технологиях уязвимости, позволяющие злоумышленникам похищать данные для входа в сеть или информацию о местоположении.
Угрозы с требованием выкупа
Продвинутые тактики использования программ-вымогателей, успешно используемые с 2019 года, стали стандартным оружием в арсенале киберпреступников. Однако, судя по многочисленным арестам и совместным заявлениям правоохранительных структур и государственных агентств, борьба с этой угрозой становится все более организованной. В октябре правительство США провело операцию по нейтрализации серверов группировки REvil в рамках борьбы с киберпреступностью.
Возрастающее давление со стороны властей, создающее угрозу существованию киберпреступных групп, отражается в текущих тенденциях экосистемы шифровальщиков. Шантаж с использованием украденных данных по-прежнему применяется как проверенная тактика, однако сейчас злоумышленников больше волнуют другие задачи.
Более разрушительные атаки
Этот прогноз оказался точным. Самым известным киберинцидентом 2021 года стала атака с использованием шифровальщиков на американскую компанию Colonial Pipeline. Злоумышленники вывели из строя оборудование для управления трубопроводной системой, что привело к острой нехватке топлива в США. Чтобы защитить критически важную инфраструктуру, компания была вынуждена заплатить 4,4 миллиона долларов в качестве выкупа, из которых 2,3 миллиона затем удалось вернуть при содействии Министерства юстиции США.
В июле 2021 года новый стиратель данных Meteor парализовал железнодорожную инфраструктуру Ирана. В довершение взломанные табло предлагали пострадавшим пассажирам обращаться в местные органы власти по телефону, что, скорее всего, привело к нарушению работы этих государственных служб. Позже, в октябре, все заправочные станции в стране подверглись аналогичным атакам.
Злоумышленники продолжат наживаться на пандемии
В 2020 году многие APT-группы проводили атаки на научные организации и исследовательские центры, принимавшие участие в разработке вакцин от COVID-19. Так, DarkHotel и APT29 (также известная как CozyDuke и CozyBear) использовали для этого вредоносное ПО WellMess (по данным Национального центра кибербезопасности Великобритании).В этом году мы наблюдали связанные с COVID-19 приманки в целевых атаках таких APT-группировок, как ScarCruft, LuminousMoth, EdwardsPheasant, BountyGlad, Kimsuky и ReconHellcat. Мы также выявили необычную активность, которую позже смогли связать с группой, известной под названием SideCopy. Она атаковала дипломатические службы и госучреждения в Азии и на Ближнем Востоке, используя тематику COVID-19 наряду со скомпрометированными сайтами, на которых размещались вредоносные HTA- и JS-файлы. Многие аспекты этой кампании, в том числе цепочка выполнения, использованное вредоносное ПО, инфраструктура, пути к PDB-файлам и др., напоминают стиль других группировок, действующих в этом регионе, — SideWinder, OrigamiElephant, Gorgon и Transparent Tribe. Но, к сожалению, никакие из этих признаков не позволяют с достаточной степенью уверенности связать эту кампанию с какой-то конкретной группой.
А теперь поговорим о том, что нас ждет. Вот несколько наших прогнозов на 2022 год.
Поддержка новых APT-групп частными компаниями
Как мы уже написали выше, в этом году программы для слежки, разработанные частными компаниями, попали под пристальное внимание. Учитывая потенциальную прибыльность этого бизнеса и последствия использования шпионского ПО для жертв, мы считаем, что спрос на приложения этого типа будет расти, по крайней мере до тех пор, пока правительства разных стран не возьмутся за урегулирование этого вопроса — а они уже обратили внимание на эту проблему. В октябре 2021 года Бюро промышленности и безопасности Министерства торговли США утвердило временные нормы, которые определяют условия обязательного получения лицензии на экспорт коммерческого ПО для наблюдения. Их цель — не допустить поставки этого типа программ в страны, в отношении которых применяются меры контроля над вооружениями, при этом не ограничивая их использования для проведения исследований в области безопасности и заключения законных сделок.
Тем временем поставщики вредоносного ПО и средств «наступательной безопасности» будут поддерживать как уже известных, так и новых игроков.
Злоумышленники будут чаще атаковать мобильные устройства
Вот уже более десяти лет в СМИ то и дело мелькают новости об атаках на мобильные устройства. Между атаками и растущей популярностью основных операционных систем наблюдается тесная взаимосвязь. iOS и Android (а также совместимые ОС на базе Android/Linux) — самые распространенные на данный момент операционные системы для мобильных устройств. Идеологии построения этих двух платформ сильно отличаются: iOS работает только с проверенными приложениями, доступными в App Store, а Android всегда была более открытой системой, которая допускает установку на пользовательские устройства сторонних приложений. В результате типы атак на эти две платформы и соответствующего вредоносного ПО также сильно отличаются. Для атак на устройства на базе Android, в том числе целевых, используются зловреды из арсенала киберпреступников, а устройства с iOS в основном привлекают внимание групп, специализирующихся на кибершпионаже и получающих государственную финансовую поддержку. В 2021 году проект Pegasus пролил свет на ранее неизвестные атаки нулевого дня на устройства iOS, не требующие взаимодействия с пользователем, и количество обнаруженных в iOS уязвимостей нулевого дня превзошло годовую статистику предыдущих лет.
Мобильные устройства — идеальная цель для атакующих. Пользователи практически никогда не расстаются со своими смартфонами и хранят на них личную информацию, а заражение этих гаджетов очень сложно предотвратить и обнаружить. В отличие от компьютеров с Windows или Mac, где есть различные решения безопасности, которые пользователи устанавливают по своему выбору, защитные программы для iOS редки и малоэффективны.Это невероятная возможность для проведения APT-атак, которую не упустит ни одна группировка, получающая финансовую поддержку государства. В 2022 году будут обнаруживаться и блокироваться все более сложные атаки на мобильные устройства, при этом их виновники будут по-прежнему отрицать свою причастность.
Больше атак на цепочки поставок
В этом году мы наблюдали несколько крупных атак на цепочки поставок. Выше мы уже писали о том, что этот сценарий набирает популярность среди APT-групп. Но мы также видели, как киберпреступники используют уязвимости в системах безопасности компаний-поставщиков, чтобы добраться до их клиентов. Именно такими были майская атака на систему нефтепроводов в США, атака на международную мясопроизводящую компанию в июне и целевые атаки на поставщиков управляемых услуг и их клиентов в июле. Эти атаки свидетельствуют о злоупотреблении доверием в одном из звеньев цепочки поставок. Для злоумышленников это выгодный плацдарм, который позволяет поразить несколько целей одним ударом. Именно поэтому атаки на цепочки поставок будут набирать популярность в 2022 году и после его окончания.
Продолжится использование уязвимостей инструментов для удаленной работы
Несмотря на то что в некоторых странах снимают ограничения, введенные во время пандемии, многие сотрудники продолжают работать из дома и, скорее всего, в ближайшем будущем в офис не вернутся. Повсеместный режим удаленной работы продолжит предоставлять широкие возможности для компрометации корпоративных сетей. Злоумышленники используют методы социальной инженерии для получения учетных данных пользователей и проводят брутфорс-атаки на корпоративные службы в надежде найти серверы со слабой защитой. А поскольку многие сотрудники используют для работы собственные компьютеры вместо корпоративных устройств с надежными решениями безопасности, атакующие будут искать новые векторы атаки на домашние ПК, хозяева которых пренебрегают защитой и установкой исправлений. Такие устройства служат удобными точками проникновения в корпоративную сеть.
Увеличится число APT-атак в регионе META, особенно в Африке
Основной причиной для этого будет служить усиливающееся геополитическое давление со стороны других стран, которое приведет к росту количества шпионских атак. Существует много факторов, которые мотивируют кибергруппировки на кражу конфиденциальных данных для обеспечения национальной безопасности, — это и экономика, и технологии, и международные отношения. Но ключевым фактором всегда была геополитика. Несмотря на пандемию, которая охватила мир, геополитическое давление на Турцию и страны Ближнего Востока не ослабевает с января 2020 года и, вероятнее всего, продолжит расти.
В Африке стремительными темпами растет уровень урбанизации, привлекая миллионы долларов инвестиций. Вместе с тем многие страны на Африканском континенте занимают стратегически выгодную позицию для морской торговли. Это обстоятельство, наряду с непрерывным развитием оборонительного потенциала в регионе, приводит нас к выводу, что в 2022 году в странах Ближнего Востока, в Турции и особенно в Африке будут наблюдаться крупные APT-атаки.
Стремительно вырастет число атак на облачные сервисы и поставщиков услуг
Возможности масштабирования и удобство использования облачных технологий привлекают все больше компаний. С распространением методологии DevOps многие организации перешли на архитектуру микрослужб и использование сторонней инфраструктуры — и для взлома такой инфраструктуры обычно нужен только пароль или API-ключ.
У разработчиков часто отсутствует полное понимание проблем безопасности, связанных с этой тенденцией, — жертвам не хватает информации, а злоумышленники пока не очень активно исследуют это направление. Мы предполагаем, что злоумышленники сориентируются быстрее.
В более широком смысле данный прогноз касается атак на внешние сервисы, предназначенные, например, для редактирования документов в онлайн-режиме, хранения файлов, хостинга электронной почты и т. д. Огромные объемы данных, которые хранят поставщики облачных сервисов, — очень привлекательная цель для группировок, действующих при поддержке государства, и мы думаем, что облачные хранилища станут основной мишенью сложных атак.
Низкоуровневые атаки с использованием буткитов снова наберут популярность
Злоумышленники редко используют низкоуровневые импланты, потому что они могут приводить к системным сбоям, а создать их довольно сложно. Тем не менее, по данным исследований, опубликованных «Лабораторией Касперского» в 2021 году, активная работа над буткитами продолжается: возможно, преимущества скрытой атаки перевешивают риски, а может быть, разработка низкоуровневых инструментов стала более доступной. Мы считаем, что в 2022 году появится больше усовершенствованных имплантов этого типа. При этом, поскольку пользователи все чаще отдают предпочтение загрузке с использованием протокола Secure Boot, злоумышленникам придется искать эксплойты, которые позволят обойти этот механизм защиты, для дальнейшего развертывания своих инструментов.
Государства расскажут о допустимых кибератаках
В последние десять лет киберпространство становилось все более политизированным, особенно в вопросах, связанных с кибероружием. В прошлом году мы писали, что западные государства начнут предъявлять публичные обвинения кибергруппировкам, привлекая их к ответственности.
Проблема в том, что государства, которые разоблачают киберпреступников, на самом деле сами являются организаторами кибератак. Чтобы завоевать доверие, им придется объяснить, какие атаки считаются приемлемыми, а какие — нет. Мы думаем, что в 2022 году некоторые страны опубликуют классификацию кибератак с подробной информацией о запрещенных векторах (например, атака на цепочку поставок) и характере атак (например, разрушительные атаки, атаки на гражданскую инфраструктуру и т. д.).
Прогнозы по продвинутым угрозам на 2022 год