«Лаборатория Касперского» прогнозирует непростой год

22.12.2016 | 10:30
Специалисты исследовательского центра GReAT «Лаборатории Касперского» выпустили прогноз на 2017 год. В нем они раскрыли основные тенденции в мире киберугроз, которые получат развитие в следующем году. Таким образом аналитики надеются дать пищу для размышлений для ИБ-специалистов, работы для которых в следующем году определенно прибавится.

В 2017 году APT-атаки станут еще опаснее: пока меры защиты остаются на прежнем уровне, киберпреступники совершенствуют свой арсенал. Хотя анализ индикаторов компрометации (например, хеши и домены) помогает выявить активное заражение, небольшая, но влиятельная часть APT-группировок уже умеют обходить эти меры безопасности. Например, в атаках APT-группировки ProjectSauron APT, вредоносное ПО специально разрабатывалось под каждую конкретную жертву. Также анализ ProjectSauron выявил использование техники «пассивный имплант» — бэкдора, живущего в памяти, шлюзе или сервере, подключенном к внешней сети. Он активируется для атаки, но до этого никак не привлекает внимание.

PowerShell, эффективный инструмент для Windows-администраторов, также любим киберпреступниками, которые оценили его пользу для скрытного внедрения зловредов, передвижения по скомпрометированной сети и шпионажа. Специалисты ожидают, что в будущем это спровоцирует развитие «эфемерных» угроз – например, зловредов, внедряемых в оперативную память.

В будущем году, считают эксперты GReAT, киберзлоумышленники вплотную займутся мобильными платформами: в некотором смысле, он начнут «портировать» действенные техники атак на мобильные устройства, так как при их бурно растущей популярности они по-прежнему плохо защищены. Зачастую инструменты исследования угроз попросту недоступны для новейших версий мобильных ОС.

Банки по-прежнему останутся под прицелом киберпреступников. Атака на SWIFT поразила отрасль своей наглостью. Теперь, предсказывают аналитики, ожидается рост атак с использованием услуг инсайдеров, имеющих доступ к системе SWIFT. Подобные атаки требуют тщательной подготовки, навыка, знания принципов работы систем и модели отмывания денег. Вполне вероятно, разовьется рынок услуг, необходимых для каждого из этих этапов, что приведет к серии крупных и хорошо организованных краж. То же касается платежных систем, они вызывают повышенное внимание киберпреступников, но пока устойчивы к атакам. В то же время, киберпреступники вряд ли отступятся от такой цели и продолжат искать способы добиться компрометации инфраструктуры платежных систем.

В будущем году программы-вымогатели продолжат терроризировать пользователей и организации. Однако популярность и действенность такого вида вымогательства, а также доступность готовых и сдаваемых в аренду шифровальщиков, привлекает в эту сферу новичков или аутсайдеров, которые могут вызвать кризис доверия на рынке. Вся модель работает только при условии, что вымогатели держат свое слово и предоставляют ключ для расшифровки файлов в обмен на выкуп, и пока это неписаное правило выполнялось – а благодаря этому экосистема процветала. Но появление на рынке новых и менее профессиональных игроков может привести к разрушению этой парадигмы. Например, зловред Ranscam требует выкуп, но вместо того, чтобы зашифровать файлы, он их просто удаляет. В конце концов, если тенденция получит развитие, жертвы вымогательства дважды подумают, нужно ли им платить выкуп, если смысла в этом нет.

Растущее беспокойство из-за незащищенности индустриальных систем и объектов критической инфраструктуры произрастает из знаменитой кибердиверсии с использованием Stuxnet, которая положила конец иранской ядерной программе. Уяснив, что промышленные объекты разрабатывались в то время, когда о подобных киберугрозах не было и речи, власти и коммерческие организации начали серьезно опасаться потенциальных кибердиверсий. Например, защита объектов критической инфраструктуры от атак стала одним из положений обновленной государственной ИБ-доктрины РФ. Хотя успешные атаки на инфраструктурные объекты и системы требуют высокого уровня навыков и поддержки (обычно со стороны государства), растущая геополитическая напряженность будет способствовать появлению подготовленных киберпреступных группировок, стремящихся к целенаправленному уничтожению или нарушению нормальной работы важнейших сервисов.

Интернет вещей стал более осязаемой реальностью, чем в прошлом году, но степень защищенности IoT-устройств так и осталась беспрецедентно низкой. В 2016 году человечество наконец ощутило, как «Интернет угроз» может серьезно повлиять на повседневную жизни людей. Несколько недель назад ботнет Mirai, в котором состояли многие тысячи IoT-устройств вроде камер видеонаблюдения и роутеров, стал причиной перебоев в работе Интернета всего Восточного побережья США, крупных европейских сетевых провайдеров, чьими клиентами являются миллионы людей и даже целой страны. Но, несмотря на серьезность проблемы, в этой связи ИБ-исследователи предрекают появление нового класса хакерских группировок – «хакеров-вигилантов», неких «благородных разбойников». В частности, опасность, исходящая из слабо защищенных IoT-устройств, может сповигнуть их на удаленное отключение уязвимого девайса – для блага пользователей и в качестве урока производителям, халатно относящимся к обеспечению безопасности продукта.

Появление подобных «Робин Гудов» среди хакеров также станет тенденцией следующего года, но это не очень хорошая новость для отрасли. Например, в 2015 году таинственный Финеас Фишер опубликовал дамп серверов HackingTeam и пособие для начинающих хакеров по взлому нечистоплотных организаций и сомнительных компаний. Хотя он, очевидно, имел самые лучшие побуждения, его действия имели обратный эффект: действующие APT-группировки бесплатно получили набор уязвимостей нулевого дня, а у HackingTeam, скорее всего, появилось еще больше клиентов. Еще один пример – публикация дампа, содержащего огромное количество эксплойтов для фаерволов известных поставщиков сетевой инфраструктуры, группировкой ShadowBrokers. Этот факт поставил вопрос о том, что сетевые устройства могут работать на кого угодно, и это станет еще одной проблемой 2017 года. Тем временем, развернувшаяся вокруг выборов в США конспирологическая риторика возвела утечки и сливы данных в ранг факторов, способных склонить чашу весов в чью-либо сторону, и поэтому деятельность хакеров-вигилантов в будущем активизируется.

Еще одним трендом наступающего года станет проведение крупных киберпреступных операций «под чужим флагом». Атрибуция APT-атак – сложнейшая задача, требующая много времени и ресурсов. Но в то же время, проблема киберслежки и целевых взломов стала излюбленной темой прессы, и могущественные хакерские группировки теперь представляют опасность не только из-за непосредственно взломов, но и из-за возможности манипулировать общественным мнением, создавая ложный след для экспертов, занимающихся атрибуцией атак. Например, киберперступные группировки Lazarus и Sofacy стали пионерами создания фальшивых ресурсов для целевого слива информации и вымогательства. ОПГ Lazarus, атаковавшая Sony Pictures Entertainment в 2014 году, пыталась выдавать себя за Guardians of Peace, а группировка Sofacy делала так, чтобы в атаках подозревали сразу нескольких хактивистов. Пока атак, полностью проводимых «под чужим флагом», в дикой природе не наблюдалось, из-за возможности резких ответных мер (например, ответная кибератака или политическая дестабилизация) их появление в 2017 году весьма вероятно. В стремлении запутать след киберпреступники будут готовы сливать собственный проприетарный инструментарий на радость скрипт-кидди и более мелким группировкам, чья деятельность позволит отвлечь внимание от кукловодов.

В будущем информационные войны будут все чаще использоваться для манипулирования общественным мнением и создания хаоса вокруг общественных процессов (вроде выборов в США). По мнению экспертов, уязвимость к информационным войнам сейчас высока, как никогда: кибератаки играют все более значимую роль в международных отношениях, и определение их источника становится головной болью для госорганов, которым, кроме минимизации последствий угрозы, нужно понять, какие дипломатические и политические шаги предпринять. При этом из-за фрагментированности данных, предоставленных от разных государств и организаций, точная атрибуция практически невозможна, что сделает основанием для принятия решения «приблизительную атрибуцию», которая может быть ошибочной из-за наличия «ложного следа» Также ответные меры могут сподвигнуть преступников на использование открытого вредоносного ПО и легитимного инструментария вроде Cobalt Strike и Metasploit, что позволяет киберпреступникам «скрыться в толпе».

В 2017 году накал дискуссии вокруг анонимности в Интернете сохранится, но это не сможет нивелировать устойчивый тренд на уничтожение последних остатков приватности. Устранение приватности в киберпространстве чрезвычайно выгодно как рекламщикам, так и шпионам. Первые продолжат широко использовать постоянные cookie-файлы, что позволит компаниям отслеживать действия конкретных пользователей, в том числе за пределами доменов, принадлежащих этим компаниям, и таким образом получать связную картину поведения этих пользователей в интернете. Всеобъемлющее проникновение рекламы в жизнь пользователей делает рекламные сети привлекательным вектором для целевых атак. Деятельность рекламных сетей слабо регламентирована; например, известны случаи наличия вредоносной рекламы даже на популярных, уважаемых ресурсах. Рекламные сети предоставляют отличные возможности профилирования потенциальных жертв путем отслеживания IP-адресов, сбора данных о браузере и системе пользователя, отслеживания предпочтений пользователя при интернет-навигации, а также путем идентификации пользователя по вводимым логинам. Атакующие таким образом получают возможность использовать контент избирательно, в соответствии с профилем пользователя, а не занимаясь ковровыми бомбардировками и этим привлекая внимание ИБ-экспертов. Высококвалифицированные кибершпионы также обратят внимание на рекламные сети как на выгодный инструмент проведения операций.

Получат развитие и изощренные методы отслеживания деятельности активистов и действий пользователей в соцсетях, «несущих угрозу стабильности». Высокопрофильные заказчики проявят значительный интерес к методам отслеживания тенденций в социальных сетях на уровне целых географических регионов. Нельзя исключить возникновение в 2017 году группировки киберпреступников, которая осмелится взломать какую-либо социальную сеть – неиссякаемый источник персональных данных пользователей и компромата на самых разных людей.

аналитика, вредоносные программы, кибероборона, хакеры
По материалам threatpost.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код