Kaspersky Security Bulletin 2015. Прогнозы на 2016 год

Конец APT-угроз – какими мы их знаем…

Содержание 

 Скачать PDF
 Скачать EPUB
 Скачать весь отчет в PDF
 Скачать весь отчет в EPUB

  1. Kaspersky Security Bulletin 2015. Развитие угроз в 2015 году
  2. Kaspersky Security Bulletin 2015. Эволюция угроз информационной безопасности в бизнес-среде
  3. Kaspersky Security Bulletin 2015. Основная статистика за 2015 год
  4. Kaspersky Security Bulletin 2015. Прогнозы на 2016 год

Введение

Год подходит к концу, и для нас это повод, подводя его итоги, проанализировать, как развивалась индустрия и представить свой прогноз на предстоящие годы. Во время недавней общей встречи сотрудников Глобального центра исследований и анализа угроз (GReAT) и антивирусных исследователей-экспертов (такие встречи проводятся нечасто) мы воспользовались возможностью и набросали идей относительно вероятного развития событий. Мне выпала честь отобрать некоторые из наиболее интересных и вероятных прогнозов – как на ближайший год, так и на более отдаленное будущее. Перспективы нашей быстро развивающейся отрасли заставляют задуматься; ясно, что нам предстоит и впредь сталкиваться со множеством интересных вызовов. Возможно, ооперируя сухими цифрами и фактами, мы сумеем избежать нагнетания страха в духе научной фантастики и взамен предложить точные прогнозы и на короткий, и на долгий срок.

Конец APT

Прежде, чем вы начнете праздновать, следует отметить, что мы имеем в виду только те аспекты APT-угроз, которые связаны с продолжительностью и сложностью атак (APT – Advanced Persistent Threats, целевые продолжительные атаки повышенной сложности). Киберпреступники готовы с радостью отказаться от обоих аспектов ради скрытости атак. Мы ожидаем, что злоумышленники будут уделять меньшее внимание продолжительности атак, отдавая большее предпочтение резидентным, или бесфайловым, вредоносным программам. Смысл в том, чтобы уменьшить количество следов, оставляемых в зараженной системе, и, благодаря этому, избежать обнаружения. Еще одно изменение в подходе будет связано с уменьшением акцента на сложность вредоносного ПО. По нашим прогнозам, злоумышленники будут чаще отдавать предпочтение переориентации готового вредоносного ПО на новые задачи вместо того, чтобы инвестировать в буткиты, руткиты и специализированный вредоносный код, становящийся бесполезным после его обнаружения экспертами по безопасности. Значение этого не только в том, что вредоносная платформа теперь не будет терять актуальность после своего обнаружения, но еще и в том, что APT-группировке будет легче спрятаться и скрыть свои намерения за широкими возможностями применения стандартного, легально продаваемого RAT (remote administration tool – инструмента удаленного администрирования). Когда эйфория от возможностей нестандартного вредоносного ПО сойдет на нет, окупаемость инвестиций будет играть не последнюю роль в принятии решений о финансировании злоумышленников, действующих при поддержке государственных структур. Как известно, низкие первоначальные вложения – залог отличной окупаемости.

Продолжение кошмара с троянцами-вымогателями

По нашему мнению, в обозримом будущем программы-вымогатели ожидает неизменный успех и открытие новых горизонтов. У этого вида вредоносного ПО есть два преимущества для злоумышленников перед традиционными банковскими угрозами: прямая монетизация и относительно низкие затраты в расчете на жертву. Эта угроза мало беспокоит обладающие значительными ресурсами сторонние организации, такие как банки, и о ней редко поступают жалобы в правоохранительные органы. Мы ожидаем, что программы-вымогатели не только отвоюют часть рынка у банковских троянцев, но и будут осваивать новые для себя платформы. Слабые попытки реализовать программы-вымогатели на мобильных (Simplelocker) и Linux-устройствах (Ransom.Linux.Cryptor и Trojan-Ransom.FreeBSD.Cryptor) уже делались, однако, вероятно, OS X – более желанная платформа для киберпреступников. Мы ожидаем, что программы-вымогатели перейдут Рубикон и будут не только заражать компьютеры Mac, но и требовать у жертв выкуп «по ценам Mac». Затем, в более дальней перспективе, существует вероятность появления программ-вымогателей для «интернета вещей». И вот вопрос: сколько вы готовы заплатить за возвращение доступа к просмотру телепрограмм? К холодильнику? К автомобилю?

Финансовые преступления на самом высоком уровне: игра против заведения

Слияние киберпреступности и APT-угроз воодушевило финансово мотивированных преступников, позволив им элегантно перейти от атак на конечных пользователей к преследованию обслуживающих их финансовых организаций. В уходящем году мы видели множество примеров атак на кассовые терминалы и банкоматы, не говоря уже о дерзких ограблениях Carbanak, в ходе которых злоумышленникам удалось украсть сотни миллионов долларов. Мы ожидаем, что киберпреступники будут и дальше действовать в том же духе и возьмут в оборот новинки рынка – такие как альтернативные платежные системы (ApplePay и AndroidPay). При этом растущее число пользователей этих систем должно давать злоумышленникам новый способ прямой монетизации. Еще одна группа объектов, которые неизбежно вызовут интерес, – это фондовые биржи, настоящая золотая жила. В то время как лобовые атаки могут принести быстрый доход, нельзя сбрасывать со счетов возможности, связанные с более тонким вмешательством, таким как взлом используемых при высокочастотном трейдинге алгоритмов «черного ящика», чтобы обеспечить продолжительное получение выгоды при минимальном риске быть пойманными.

Атаки на производителей защитных систем

Исходя из роста числа атак на производителей систем для обеспечения безопасности, мы прогнозируем появление интересного вектора атаки, который заключается во взломе применяемых игроками отрасли стандартных инструментов реверс-инжиниринга, таких как IDA и Hiew, средств отладки, таких как OllyDbg и WinDbg, или средств виртуализации – таких как комплекс VMware и продукт VirtualBox. Приведем в качестве примера уязвимость в реализации утилиты Strings в Linux – CVE-2014-8485. Это одна из уязвимостей, обнаруженных в сложном инструментарии, применяемом экспертами по безопасности при проведении исследований. Такие уязвимости могут пытаться эксплуатировать злоумышленники, всерьез намеревающиеся атаковать самих экспертов по IT-безопасности. Еще одно направление, открытое для злоупотреблений, – это обмен бесплатным исследовательским инструментарием через репозитории кода, такие как Github. Дело в том, что пользователи зачастую берут код из репозитория и запускают его на своих системах без элементарных мер предосторожности. Возможно, стоит также с подозрением взглянуть на популярные реализации PGP, которые охотно используют представители сообщества экспертов по информационной безопасности.

Вредительство, вымогательство и предание позору

От размещения в Сети обнаженных фото знаменитостей до взлома систем компаний Sony и Ashley Madison и публикации содержимого серверов HackingTeam – все говорит о том, что случаи доксинга (DOXing – это публикация личных данных в Сети без согласия владельца), публичного опозоривания и вымогательства становятся все более и более частыми. Хактивисты, преступники и злоумышленники, опирающиеся на государственную поддержку, – все они прибегают к хорошо продуманному размещению частных фото, данных, клиентских списков и кода с целью опозорить своих жертв. В то время как некоторые из подобных атак являются частью хорошо спланированных кампаний, другие – результат приспособленчества, использование низкого уровня кибербезопасности для демонстрации своей «хакерской силы». К сожалению, распространенность подобных явлений продолжит расти по экспоненте.

Кому доверять?

Возможно, самый серьезный дефицит в наш век интернета – это дефицит доверия. Злоупотребление доверенными ресурсами будет способствовать дальнейшему усилению этого дефицита. Злоумышленники снова и снова будут использовать для своих вредоносных целей библиотеки с открытым исходным кодом и ресурсы, внесенные в белые списки. По нашим прогнозам, злоупотребления затронут еще один вид доверенных объектов – внутренние ресурсы компаний. В поисках возможностей закрепиться в зараженной сети и продвинуться вглубь нее коварные киберпреступники могут обратить свой взор на ресурсы, доступные только через корпоративный интранет – например, организовывать атаки типа watering hole на корпоративный Sharepoint-портал, файловый сервер или портал ADP. Не исключено даже, что мы столкнемся с крайней формой и без того вопиющего злоупотребления доверенными сертификатами, если киберпреступники организуют от начала до конца сфабрикованный центр сертификации, который будет выписывать цифровые сертификаты на их вредоносные программы.

APT-группировки: что нас ждет в будущем

Наши враги не могли не обратить внимание на выгодность кибершпионажа. Как мы и ожидали, на сцену начали выходить наемники. Эта тенденция будет только усиливаться: спрос на возможности для проведения кибератак порождает предложение. И компании, и известные APT-группировки ищут способы переложить задачи, не имеющие критической важности, на сторонних исполнителей и не подвергать риску свой инструментарий и инфраструктуру. Здесь был бы уместен термин «APT как сервис» (APT-as-a-Service), но, вероятно, еще интереснее то, что развитие целевых атак, по нашим прогнозам, приведет их к уровню, который можно условно назвать «Доступ как сервис» (Access-as-a-Service). Речь идет о продаже доступа к системам жертв высокого уровня, на которых уже были успешно проведены атаки наемников.

Заглядывая дальше в будущее кибершпионажа, мы видим возможный выход из тени членов наиболее серьезных APT-группировок (если угодно, «элиты APT-мира»). Возможны два разных сценария такого выхода из тени: переход представителей этих группировок в частный сектор экономики в связи с распространением практики «ответных ударов» (hacking back) со стороны жертв хакерских атак или передача ими информации сообществу экспертов по информационной безопасности – например путем участия в конференциях с целью представить собственную версию ситуации. Тем временем, можно ожидать появления еще нескольких новых языков в вавилонском столпотворении APT.

Будущее интернета

В последние годы появились признаки напряжения и разрывов в инфраструктуре самого интернета. Появление огромных ботнетов из маршрутизаторов, перехват BGP-сессий и BGP dampening, различные атаки на DNS-серверы и использование серверов для проведения DDoS-атак – все это говорит о безнаказанности и отсутствии в Сети регулирования и контроля в глобальном масштабе. Если говорить о долгосрочных прогнозах, можно представить себе, во что превратится интернет, если будет и дальше терять свою роль связующего звена, делающего мир единой глобальной «деревней». Мы можем прийти к раздробленному («балканизированному») интернету, разделенному государственными границами. В этом случае доступность ресурсов может быть ограничена атаками на связующие звенья, обеспечивающие соединения между различными сегментами интернета, или, возможно, геополитической напряженностью, препятствующей использованию физических каналов, соединяющих крупные группы интернет-ресурсов. Можно даже предположить, что мы столкнемся с появлением черного рынка соединений. Кроме того, можно ожидать, что по мере того как технологии, формирующие уязвимые точки интернета, будут становиться общедоступными и все более широко применяться, разработчики, связанные с теневыми рынками, биржами и форумами, будут создавать более современные технологии, которые позволят подпольным ресурсам оставаться в глубокой тени.

Будущее транспорта

В наши дни значительные инвестиции и наиболее передовые исследовательские ресурсы направляются на разработку автономных транспортных средств как для личного, так и для коммерческого применения. Такой транспорт потребует создания распределенных систем для управления маршрутами и крупными потоками подобных транспортных средств. Возможно, атаки будут направлены не на сами распределенные системы, а на перехват и подмену трафика, передаваемого по протоколам, лежащим в основе этих систем (концептуальную схему эксплуатации уязвимостей в широко используемой системе спутниковой связи Global Star в этом году на конференции BlackHat представил эксперт из компании Synack). Можно предположить, что целью подобных атак может стать кража ценного имущества или организация аварий движущихся транспортных средств с человеческими жертвами.

Приближение криптоапокалипсиса

И наконец, невозможно переоценить важность криптографических стандартов для поддержания функциональной роли интернета как непревзойденного средства взаимодействия и обмена информацией. В основе применяемых сегодня криптографических стандартов лежит представление о том, что вычислительные мощности, необходимые для взлома данных, зашифрованных на основе этих стандартов, превышают возможности всех людей вместе взятых. Но что произойдет, если наши вычислительные возможности перейдут на качественно новый уровень, как обещают предстоящие прорывы в области квантовых вычислений? Несмотря на то что поначалу квантовые вычисления не будут доступны обычным киберпреступникам, можно говорить об исчерпании ресурсов надежности текущими стандартами шифрования и необходимости создания новой, «постквантовой» криптографии. Учитывая, что даже современные высококачественные криптографические системы зачастую не применяются или реализуются некорректно, нельзя ожидать гладкого перехода к прогрессивным стандартам, который позволил бы избежать масштабных проблем, связанных с неадекватностью криптозащиты в новых условиях.

 

 

Публикации на схожие темы

Всего комментариев: 2
  1. Фъ

    Криптография: исчерпаНИИ надежности текущих стандартов и необходимость «постквантовой» криптографии

    — может, имелось в виду «ИсчерпаНИЕ»?))

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *