Прогнозы по продвинутым угрозам на 2021 год

Предсказывать будущее нелегко. У нас нет хрустального шара, который покажет все, что ждет в наступающем году. Но мы с опорой на знания и опыт можем предположить, как будут развиваться тенденции 2020 года и какие направления злоумышленники выберут для атак в ближайшем будущем.

Для начала вспомним наши прогнозы на 2020 год.
 

• Операции под ложным флагом: следующий уровень
  В этом году мы не наблюдали таких ярких случаев маскировки зловреда под вредоносное ПО другой киберпреступной группы, как это было с Olympic Destroyer. Однако многие APT-группы взяли на вооружение этот метод, чтобы с помощью ложных флагов сбить аналитиков с пути. В 2020 году так поступали MontysThree и DeathStalker. Например, DeathStalker внедрила в свою инфраструктуру метаданные сертификатов известной группы Sofacy и, вместо того чтобы скрывать свои действия, попыталась помешать их атрибуции.
• От троянцев-вымогателей к целевым троянцам-вымогателям
  В прошлом году мы отметили сдвиг в сторону целевых шифровальщиков и предположили, что злоумышленники будут прибегать ко все более агрессивным методам вымогательства. В этом году мы едва ли не каждую неделю узнавали об очередной попытке получить выкуп у крупных организаций, в том числе у нескольких медицинских учреждений в США. Более того, появились «брокеры», предлагающие договориться с вымогателями об уменьшении суммы выкупа. Некоторые преступники применяют более жесткие рычаги давления на жертв: воруют данные перед тем, как их зашифровать, и угрожают их публикацией в случае отказа платить выкуп. В недавнем инциденте, затронувшем крупную психотерапевтическую клинику, злоумышленники выложили в Сеть конфиденциальные данные пациентов.
• Новые векторы атак в онлайн-банкинге и онлайн-платежах
  В этом году мы не наблюдали крупных атак на платежные системы. Тем не менее финансовые организации остаются мишенями таких узконаправленных киберпреступных групп, как FIN7, CobaltGroup, Silence и Magecart, а также APT-групп, таких как Lazarus.
• Больше атак на инфраструктуру и мишени, не являющиеся ПК
  Атакам APT-групп подвергаются не только устройства на базе Windows. Это доказывают расширение фреймворка MATA группы Lazarus, создание группой Turla бэкдора Penquin_x64 и майские атаки на вычислительные центры с суперкомпьютерами в Европе. Мы также наблюдали мультиплатформенные и мультиархитектурные инструменты, такие как Termite и Earthworm, в операции TunnelSnake. Они могут создавать туннели для передачи данных и использования удаленной оболочки на атакованных устройствах с архитектурами x86, x64, MIPS(ES), SH-4, PowerPC, SPARC и M68k. Наконец, мы обнаружили фреймворк, который назвали MosaicRegressor. Он содержит скомпрометированный образ прошивки UEFI, предназначенный для установки вредоносного ПО на зараженные компьютеры.
• Атаки в регионах, расположенных вдоль торговых маршрутов между Европой и Азией
  В 2020 году мы выявили атаки нескольких APT-групп на цели в странах, которые раньше привлекали к себе меньше внимания киберпреступников. Так, китайскоязычные группы использовали различное вредоносное ПО против правительственных организаций Кувейта, Эфиопии, Алжира, Мьянмы и стран Ближнего Востока. Мы также обнаружили, что группа StrongPity начала использовать усовершенствованную версию своего основного импланта StrongPity4. В 2020 году мы нашли жертв StrongPity4 за пределами Турции, на Ближнем Востоке.
• Рост сложности методов проведения атак
  Помимо скомпрометированной прошивки UEFI, мы наблюдали использование легитимных облачных служб (YouTube, Google Docs, Dropbox, Firebase) в инфраструктуре атак (для геозонирования, размещения вредоносного ПО и связи с командным сервером).
• Смещение фокуса на мобильные атаки
  Эта тенденция хорошо прослеживается в наших отчетах, опубликованных в этом году. Из года в год мы видим, что все новые APT-группы создают инструменты для атак на мобильные устройства. В этом году к ним присоединились OceanLotus (автор TwoSail Junk), Transparent Tribe, OrigamiElephant и многие другие.
• Злоупотребление персональными данными: от deep fake до утечек данных ДНК
  Все чаще украденные или попавшие в Сеть персональные данные используются в атаках, предполагающих личное взаимодействие злоумышленников с жертвами. Преступники уже не так боятся активного продолжительного общения со своими жертвами и проводят целевые фишинговые операции, чтобы скомпрометировать системы. Мы наблюдали это, например, в атаке Lazarus с использованием ThreatNeedle и в попытках DeathStalker заставить жертв разрешить макросы во вредоносных документах. Мошенники использовали искусственный интеллект, чтобы подделать голос руководителя компании и обманом вынудить менеджера перевести более 240 000 фунтов стерлингов на их банковский счет. А правительственные и правоохранительные организации используют программы распознавания лиц для слежки.

Теперь обратим взгляд в будущее и рассмотрим некоторые тенденции, которые, как нам кажется, будут преобладать в следующем году.

APT-группы будут покупать у других киберпреступников ресурсы для первичного проникновения в сеть

В прошлом году мы наблюдали множество целевых атак вымогателей с использованием обычных вредоносных программ, таких как Trickbot, для закрепления в сети жертвы. При этом мы выявили связь между такими атаками и отлаженными подпольными сетями вроде Genesis, где торгуют украденными учетными данными. Мы полагаем, что APT-группы также начнут использовать этот метод для компрометации своих целей.  Поэтому организации должны тщательно отслеживать обычное вредоносное ПО и принимать базовые меры реагирования на каждом скомпрометированном компьютере, чтобы помешать злоумышленникам использовать таких зловредов для размещения в инфраструктуре более сложных киберугроз.

Больше стран будут публично предъявлять обвинения в рамках своей стратегии кибербезопасности

Несколько лет назад мы предсказывали, что правительства будут прибегать к публичному порицанию APT-групп. За последние 12 месяцев было несколько таких случаев. Мы ожидаем, что стратегия «постоянного противостояния», которой придерживается Киберкомандование США, начнет приносить свои плоды в следующем году, а другие государства последуют этому примеру, в том числе в ответ на обвинения со стороны Штатов. Стратегия «постоянного противостояния» подразумевает публикацию общедоступных отчетов об инструментах и действиях киберпреступников. Киберкомандование США утверждает, что боевые действия в киберпространстве носят совершенно иной характер и требуют непрерывного преследования злоумышленников, чтобы помешать им проводить атаки. Одним из методов такого преследования является обнародование индикаторов, которые аналитики угроз могут использовать для запуска новых расследований. В некотором смысле это раскрытие разведданных, чтобы направить в нужное русло частные исследования угроз.

Рассекреченные инструменты становится труднее использовать, и кампании, которые в противном случае не удалось бы раскрыть, могут потерпеть крах. Из-за высокой вероятности потери или обнародования инструментов киберпреступникам при планировании атак приходится закладывать в расчет рисков и прибылей дополнительные затраты.

Раскрытие информации о кибероружии — не новость. Достаточно вспомнить об утечке данных, организованной группой Shadow Brokers. Тем не менее это впервые происходит через официальные каналы правительственных организаций. Количественно оценить результаты такой стратегии невозможно, особенно без доступа к дипломатическим каналам, в которых она обсуждается. Но мы полагаем, что в 2021 году больше стран начнут ее придерживаться. Сначала государства, традиционно ориентированные на США, будут повторять за Штатами, а затем их примеру последуют объекты раскрытия данных — в качестве ответной меры.

Компании Кремниевой долины будут бороться с брокерами эксплойтов нулевого дня

До недавних пор крупные компании, такие как Microsoft, Google, Facebook и другие, не обращали особого внимания на брокеров, продающих эксплойты нулевого дня для известных коммерческих продуктов. Однако в прошлом году произошло несколько крупных скандалов из-за компрометации учетных записей пользователей WhatsApp, в том числе Джеффа Безоса и Джамаля Хашогги, через уязвимости мессенджера. В октябре 2019 года компания WhatsApp подала иск против израильской компании NSO Group. WhatsApp заявила, что технология, продаваемая NSO, позволяет эксплуатировать уязвимость приложения и была использована для атаки на мобильные телефоны более 1400 пользователей в 20 странах, в числе которых правозащитники, журналисты и другие общественные деятели. Судья в США вынесла постановление о рассмотрении иска. Это разбирательство может иметь далеко идущие последствия. Например, другие организации могут последовать примеру WhatsApp и начать судебное преследование компаний, торгующих эксплойтами нулевого дня. Мы ожидаем, что из-за растущего давления со стороны общественности и рисков для репутации многие так и поступят. Компании будут судиться, чтобы продемонстрировать клиентам, что они защищают их интересы.

Станет больше целевых атак на сетевые устройства

По нашим прогнозам, общее повышение организационной безопасности приведет к тому, что злоумышленники сосредоточатся на эксплуатации уязвимостей сетевых устройств, например VPN-шлюзов. Фактически мы уже наблюдаем эту тенденцию: см. подробности здесь, здесь и здесь. Это процесс неразрывно связан со всеобщим переходом на работу из дома — из-за него все больше компаний используют VPN для удаленного доступа к корпоративным ресурсам. Распространение удаленной работы и использование VPN открывают еще один вектор атаки — сбор учетных данных пользователей с помощью методов социальной инженерии, например вишинга, чтобы использовать их для доступа к корпоративным сетям VPN. В некоторых случаях злоумышленник может собрать всю необходимую информацию даже без внедрения вредоносного ПО в среду атакуемой организации.

Появление уязвимостей в технологии 5G

Технология 5G привлекла к себе много внимания в этом году. Например, США оказывали давление на дружественные им государства, вынуждая отказаться от приобретения продукции Huawei. Во многих странах в народе ходят страшные слухи о том, что 5G вредит здоровью и так далее. Из-за повышенного внимания к безопасности 5G исследователи в государственных и частных организациях тщательно изучают продукты Huawei и других компаний, стараясь отыскать в них проблемы с реализацией, недостатки шифрования и даже бэкдоры. Если их поиски увенчаются успехом, это событие получит масштабное освещение в СМИ. Чем популярнее будет технология и чем больше устройств будут подключаться к 5G, тем активнее злоумышленники станут искать уязвимости, которые можно использовать.

Угрозы с требованием выкупа

На протяжении нескольких лет мы наблюдали, как группы, использующие программы-вымогатели, меняют и отлаживают свои тактики. Особенно заметен переход от случайных, несистематических атак с широким кругом потенциальных жертв к целевым атакам, в которых киберпреступники шифруют данные одной организации и требуют от нее крупный выкуп. Жертвы тщательно отбираются по ряду критериев, таких как платежеспособность, зависимость от шифруемых данных и масштабы последствий атаки. Целью вымогателей может стать предприятие из любой отрасли, несмотря на то что операторы шифровальщиков обещали не трогать больницы. Методы доставки вредоносного ПО варьируются в зависимости от целевой организации, как это было при атаках на медицинские центры и больницы в течение этого года.

Мы также наблюдали случаи, когда вымогатели, стараясь сильнее надавить на жертв, угрожали опубликовать украденные данные, если компания не выплатит выкуп. Эта тенденция, по всей вероятности, продолжится, так как киберпреступники стараются добиться максимальной окупаемости своих инвестиций в атаки.

Проблема программ-вымогателей обрела такие крупные масштабы, что Управление по контролю иностранных активов США (OFAC) опубликовало инструкции для жертв атак и заявило, что выплата выкупа может приравниваться к нарушению международных санкций. Мы рассматриваем это заявление как начало более широкого наступления правительства США на киберпреступность.

В этом году Maze и Sodinokibi впервые опробовали модель аффилирования, подразумевающую сотрудничество между несколькими группами. Тем не менее экосистема программ-вымогателей остается очень разнородной. Возможно, в будущем основные игроки в этой области объединятся, начнут проводить более целенаправленные атаки и обретут черты APT-групп. Хотя менее крупные участники еще некоторое время будут придерживаться традиционных методов: использовать ботнеты и программы-вымогатели других разработчиков.

Более разрушительные атаки

Наша жизнь все больше зависит от технологий и интернет-подключения. В результате поверхность атаки расширяется. Это может привести к тому, что в будущем угрозы станут более разрушительными. Так, вред может нанести хорошо организованная целевая атака на критически важную инфраструктуру. Но это не все: мы можем стать случайными жертвами массовых атак на организации, услугами которых мы пользуемся в повседневной жизни, — это образовательные учреждения, супермаркеты, почта и общественный транспорт.

Злоумышленники продолжат наживаться на пандемии COVID-19

COVID-19 перевернул мир, повлияв практически на все аспекты нашей жизни. Злоумышленники разного калибра и направленности, включая APT-группы, ухватились за возможность эксплуатировать эту тему. Как мы отмечали раньше, их тактики и техники не изменились, но повышенный интерес к пандемии позволил активно применять социальную инженерию. Пандемия будет влиять на нашу жизнь еще некоторое время, и злоумышленники продолжат использовать ее для проникновения в целевые системы. За последние полгода было опубликовано несколько отчетов об атаках APT-групп на исследовательские центры, занимающиеся проблемой COVID-19. Национальный центр кибербезопасности США (NCSC) сообщил о том, что группа APT29 (также известная как The Dukes и Cozy Bear) атаковала разработчиков вакцины от COVID-19. Пока продолжается пандемия, такие организации будут представлять стратегический интерес для киберпреступников.