В фокусе
Читать...
ГлавнаяРубрикиОбщий взглядПрогноз: топ-9 глобальных трендов кибербезопасности 2019 года
26.12.2018

Прогноз: топ-9 глобальных трендов кибербезопасности 2019 года

Какие идеи могут прийти в голову киберпреступникам в следующем году? Сложность цифровой среды повышает вероятность специализированных атак в различных областях. Некоторые предположения на основе текущей ситуации сделали эксперты "Лаборатории Касперского".

Кибератаки как инструмент возмездия

В области дипломатии и геополитики один из главных вопросов – как действовать в случае активной кибератаки. Ответ неочевиден и сильно зависит, кроме прочего, от уровня и масштаба конкретной атаки. При этом, после некоторых недавних атак, в частности на Национальный комитет Демократической партии США, отношение к ним стало более серьезным.

Расследования некоторых нашумевших атак, имевших место в последнее время, например на Sony Entertainment Network и Национальный комитет Демократической партии США, привели к появлению списков подозреваемых, против которых были выдвинуты обвинения. При этом обвиняемые в проведении кибератак предстали перед судом и стали известны широкой публике. Это может использоваться для формирования общественного мнения, которое в дальнейшем будет иметь более серьезные дипломатические последствия.

Примером, в частности, может служить Россия, которая оказалась в непростой ситуации в результате своего предполагаемого вмешательства в демократические процессы. Ее пример может заставить определенных лиц изменить свое отношение к возможности проведения подобных операций в будущем.

Однако самым большим достижением злоумышленников стало появление в обществе опасений, что подобное может произойти или уже произошло. Теперь можно эксплуатировать этот страх, неопределенность и сомнения более изощренными способами, что наблюдается в некоторых крупных кампаниях, включая Shadowbrokers. Мы ожидаем, что в ближайшем будущем таких вредоносных кампаний станет больше.

Имевшие место вредоносные кампании, по всей вероятности, служили лишь пробными вылазками, и в дальнейшем эта сфера будет эксплуатироваться множеством различных способов. Характерным примером может служить псевдовредоносный инцидент с Olympic Destroyer, конечная цель и последствия которого до сих пор неясны. 

Целевой фишинг

Целевой фишинг – самый успешный вектор заражения, и мы полагаем, что в ближайшем будущем он станет еще более важным. Секрет его успеха заключается в способности вызвать у жертвы любопытство, и недавние массовые утечки данных из различных социальных медиа платформ могут помочь злоумышленникам усовершенствовать этот подход.

Данные, полученные в результате атак на такие соцмедиа-гиганты, как Facebook, Instagram, LinkedIn и Twitter, сейчас широко доступны на рынке. В некоторых случаях по-прежнему неясно, за какой именно информацией охотились атакующие, но можно предположить, что их интересовали личные сообщения или даже учетные данные. Для киберпреступников, применяющих методы социальной инженерии, это золотая жила. Например, злоумышленник может использовать краденные учетные данные вашего друга, чтобы поделиться в социальной сети чем-то, что вы ранее обсуждали с ним в личной переписке, и таким образом значительно повысить свои шансы на проведение успешной атаки.

Такой подход можно совместить с традиционными разведметодами, когда злоумышленники дополнительно проверяют правильность выбора жертвы, чтобы свести к минимуму распространение вредоносного ПО и вероятность его обнаружения. В случае распространения через почтовые вложения стандартной практикой является проверка на взаимодействие с реальным человеком до запуска какой бы то ни было вредоносной активности с целью обхода автоматических систем обнаружения.

Кроме того, имеется ряд инициатив по использованию машинного обучения для повышения эффективности фишинга. Пока непонятно, каковы будут результаты при реальном сценарии, но очевидно, что под действием всех перечисленных факторов целевой фишинг в ближайшие месяцы останется весьма эффективным вектором заражения, особенно через социальные медиа. 

Конец эры крупных APT-кампаний

Эксперты исходят из того наблюдения, что индустрия кибербезопасности регулярно обнаруживает сложные высокотехнологичные кампании, за которыми стоит поддержка различных государств и которые готовились на протяжении нескольких лет. Логичной реакцией со стороны злоумышленников стало бы освоение новых, более сложных техник, которые будет гораздо труднее обнаружить и связать с конкретными кибергруппировками.

Достичь этого можно разными способами. Единственное необходимое условие – понимание методов, используемых отраслевыми экспертами при атрибуции атак и выявлении сходства между различными атаками и используемыми в них артефактами. Особого секрета эти сведения не представляют. При наличии достаточных ресурсов простым решением для атакующей стороны было бы действие сразу в нескольких направлениях, которые будет очень трудно привязать к одному агенту или кампании. Располагающие ресурсами злоумышленники могли бы запускать новые инновационные операции, не останавливая при этом старые. Конечно, существует вероятность раскрытия старых операций, но обнаружение новых становится куда более сложной задачей.

Вместо того, чтобы запускать более сложные вредоносные кампании, в некоторых случаях для конкретных кибергруппировок более эффективной тактикой может быть прямое воздействие на инфраструктуру и компании, где есть потенциальные жертвы (например, на интернет-провайдеров). Иногда этого можно достичь за счет регулирования, не прибегая к использованию вредоносного ПО.

Некоторые операции отдаются на откуп различным группировкам и компаниям, которые используют разные инструменты и техники, что чрезвычайно усложняет атрибуцию. Следует помнить, что в случае операций, за которыми стоит поддержка государств, такое "разделение труда" может повлиять на будущее кампаний. В этом сценарии технические возможности и инструменты являются собственностью частных компаний и продаются любым покупателям, которые зачастую не вдаются в технические детали и не задумываются над возможными последствиями применения.

Все это означает, что вероятность обнаружения новых высокотехнологичных вредоносных кампаний мала: располагающие ресурсами злоумышленники скорее предпочтут использовать новые подходы.

Сетевое оборудование и интернет вещей

Представляется логичным, что в какой-то момент любой вредоносный агент будет использовать возможности и инструменты, предназначенные для воздействия на сетевое оборудование. Кампании, подобные VPNFilter, служат ярким примером того, как злоумышленники развертывают вредоносное ПО, чтобы создать универсальный ботнет. В данном случае обнаружение атаки заняло некоторое время, даже несмотря на широкое распространение вредоносной программы. Это вызывает дополнительные опасения в отношении раскрытия более узконаправленных атак.

В отношении злоумышленников, располагающих ресурсами, эту идею можно развить еще дальше. Почему бы им не атаковать базовые элементы инфраструктуры вместо отдельно взятой организации? Этот уровень еще не достигнут, но имевшие место вредоносные кампании (такие как Regin) показывают, насколько привлекателен такой уровень контроля для любого киберпреступника.

Уязвимости в сетевом оборудовании позволяют атакующим использовать различные подходы. Они могут осуществить массовое заражение по типу ботнетов и в дальнейшем использовать такие сети в своих целях либо проводить менее заметные атаки на отдельных жертв. В рамках второго подхода можно рассмотреть атаки без применения вредоносного ПО, в которых VPN-тоннель, открытый для зеркалирования или перенаправления трафика, может предоставить атакующим всю необходимую информацию.

Все эти элементы сетевой инфраструктуры могут быть также частью интернета вещей, где развитие ботнетов идет огромными темпами. В умелых руках такие ботнеты могут стать невероятно мощным и опасным инструментом, например для вывода из строя критической инфраструктуры. Этот факт может использоваться злоумышленниками, располагающими соответствующими ресурсами, возможно, через подставную группировку или в рамках террористической атаки.

Еще один пример того, как могут применяться универсальные ботнеты, помимо проведения деструктивных атак, – скачкообразная перестройка частоты в узком диапазоне при ведении вредоносных коммуникаций, что позволяет избежать использования традиционных каналов эксфильтрации данных, чтобы обойти средства мониторинга. 

Появление новичков

Входной барьер для хакеров никогда не был настолько низок: в открытом доступе находятся сотни весьма эффективных инструментов, утекших переработанных эксплойтов и программных пакетов всех видов и мастей. Кроме всего прочего, использование этих средств делает атрибуцию атак практически невозможной, а сами инструменты при необходимости легко кастомизируются.

В мире есть два региона – Юго-Восточная Азия и Ближний Восток, где число таких групп активно растет. Они традиционно используют приемы социальной инженерии в отношении локальных жертв, эксплуатируют их слабую защиту и общий недостаток культуры кибербезопасности. По мере того как потенциальные жертвы усиливают защитные меры, злоумышленники также наращивают свой вредоносный арсенал и повышают технологический уровень вредоносных инструментов, что позволяет им распространять свои операции на другие регионы. В рамках данного сценария с применением скриптовых инструментов встречаются молодые перспективные компании, предлагающие региональные сервисы, которые планомерно повышают качество своих операций, несмотря на неудачи в области защиты критических данных (OPSEC).

Интересный аспект, заслуживающий рассмотрения под более техническим углом, – это второе дыхание, которое могут обрести в ближайшее время JavaScript-инструменты постэксплуатации, учитывая сложность ограничения их функциональности администратором (по сравнению с PowerShell), недостаточность системных журналов и возможность выполнения на более старых операционных системах.

Аппаратные уязвимости

2018 г. прошел под флагом критических аппаратных уязвимостей Meltdown, Specter, AMD и связанных с ними, включая еще не обнаруженные. Сама возможность появления таких угроз, которые практически недоступны для современных защитных механизмов, по-настоящему пугает.

Аналогичная ситуация наблюдается с вредоносным ПО для виртуальных сред, гипервизоров и единого расширяемого интерфейса прошивки (UEFI). Для всех трех уже были выпущены пилотные версии, а HackingTeam даже продемонстрировали руткит для UEFI, доступный по крайней мере с 2014 г., но опять же действующих в "дикой природе" образцов пока нет. 

Деструктивный Olympic destroyer

В прошлом году Olympic destroyer стал одним из самых известных случаев потенциально деструктивного вредоносного ПО, но многие киберпреступники регулярно включают такие инструменты в свои вредоносные кампании. Деструктивные атаки дают злоумышленникам ряд преимуществ и используются, в частности, для осуществления отвлекающих маневров, подчистки журналов и улик после завершения атаки либо просто в виде неприятного сюрприза для жертвы.

Некоторые из этих деструктивных атак имеют геостратегические цели, связанные с текущими конфликтами, в частности на Украине, а также с политическими интересами, как в случае атак на нефтяные компании в Саудовской Аравии. В других случаях атаки могут быть результатом хактивизма либо проводиться группами-посредниками, действующими по заказу более влиятельных агентов, которые предпочитают оставаться в тени.

В любом случае у всех подобных атак есть общая черта – это слишком привлекательный инструмент, чтобы им пренебречь. Например, государства могут использовать кибератаки в качестве инструмента возмездия, занимающего промежуточное положение между дипломатическим ответом и военными действиями. Некоторые государства уже экспериментируют с этим оружием. Такие атаки чаще всего планируются заранее, их подготовка на раннем этапе включает сбор разведданных и вторжение. Трудно сказать, сколько потенциальных жертв сейчас находятся в ситуации, когда атака уже подготовлена и нужна лишь команда, чтобы ее начать. Также сложно предположить, какие еще инструменты для проведения деструктивных атак имеются в арсенале киберпреступников.

Особенно уязвимы для подобных атак промышленные системы управления (ICS) и критическая инфраструктура. Хотя индустрия кибербезопасности и госструктуры в последние несколько лет приложили немало усилий для улучшения ситуации, пока что она далека от идеальной. Мы полагаем, что атаки такого рода никогда не будут распространены повсеместно, но в будущем году ожидаем увидеть несколько таких атак, особенно в качестве акта политического возмездия.

Продвинутая цепочка поставок

Этот вектор атак успешно эксплуатируется в течение последних двух лет, что не может не вызывать беспокойство: многие задумались о количестве и безопасности своих поставщиков. К сожалению, на атаки подобного рода нет простого ответа.

Хотя этот вектор идеален, чтобы взять на мушку целую отрасль или даже целую страну (как в случае шифровальщика NotPetya), он значительно менее эффективен при проведении целевых атак, когда риск обнаружения выше. Были случаи неизбирательных атак, например инъекцию вредоносного кода в популярные библиотеки на публичных репозиториях. Такой подход может применяться для проведения атаки в тщательно выбранный момент времени, когда эти библиотеки используются в конкретном проекте, с последующим удалением из репозитория вредоносного кода.

Может ли этот вид атак использоваться более направленным способом? В случае программного обеспечения это сложно, поскольку оно оставляет следы повсюду, а вредоносный код, вероятно, попадет на компьютеры нескольких пользователей. Подход выглядит более реалистичным, если провайдер работает исключительно для конкретного клиента.

А как насчет аппаратных имплантов, представляют ли они реальную возможность? Недавняя полемика по этому поводу не позволяет дать однозначный ответ. С одной стороны, в данных Сноудена приводился яркий пример того, как аппаратное обеспечение может подвергаться манипуляциям на пути к клиенту. С другой стороны, похоже, что такие манипуляции под силу только самым мощным группам, и даже для них имеется ряд ограничений.

Однако в тех случаях, когда известно, для какого клиента предназначен конкретный заказ, злоумышленник может произвести манипуляции с аппаратным обеспечением в исходной точке, а не на пути к заказчику. Сложно представить, как можно обойти все этапы технического контроля на производстве и как подобное вмешательство может быть реализовано. Мы не исключаем такой вариант, но он, вероятно, предполагает содействие со стороны производителя. В целом атаки на цепочку поставок являются эффективным вектором заражения, и в будущем они не потеряют свою актуальность.

Мобильные устройства

Ничего принципиально нового не ожидается, но всегда интересно думать о двух скоростях этой медленной волны заражений. Понятно, что все киберпреступники включают мобильные компоненты в свои вредоносные кампании: заражать только компьютеры Windows не имеет смысла. Можно найти много примеров вредоносного ПО для Android, но также встречаются случаи атак на iOS.

Хотя успешное заражение iPhone требует эксплуатации сразу несколько уязвимостей нулевого дня, всегда стоит помнить, что у располагающих ресурсами злоумышленников есть возможность заплатить за такую технологию и использовать ее для проведения критических атак. Некоторые частные компании утверждают, что они могут взломать любой iPhone, к которому у них есть физический доступ. Другие, менее богатые группы могут применять весьма хитроумные методы обхода защиты на этих устройствах, например, используя фальшивые MDM-серверы и заставляя жертв с помощью методов социальной инженерии подключать к ним свои устройства, что позволяет злоумышленникам устанавливать на iPhone вредоносные приложения.

В начале года произошла утечка загрузочного кода iOS. Интересно, смогут ли киберпреступники использовать ее для своих целей и найти новые способы эксплуатации кода.

В любом случае мы не предвидим никаких крупных эпидемий, связанных с мобильным вредоносным ПО, но ожидаем продолжения активности продвинутых злоумышленников по поиску новых способов получения доступа к устройствам потенциальных жертв.

Источник.

Версия для печати1652 просмотра.
Оцените статью по: