Прогноз по APT-угрозам на будущий год неутешителен

«Лаборатория Касперского» обозначила ряд тенденций, которые, по ее мнению, получат дальнейшее развитие.

В новом году, помимо развития ряда тенденций на APT-фронте, «Лаборатория Касперского» ожидает новых сюрпризов от злоумышленников. По словам экспертов, опытные киберпреступники продолжат проявлять изобретательность в отношении используемых тактик и сценариев атаки, а также будут опробовать новые, еще более мощные инструменты.

Из текущих трендов на этой арене исследователи выделили с десяток основных, которые, по их мнению, сохранят актуальность в 2018 году.

Атаки на цепочки поставок

Весь прежний опыт «Лаборатории Касперского» по отслеживанию деятельности APT-групп, коих на радаре эекспертов более сотни, показывает, что подобные команды, поставив цель, редко сдаются и упорно продолжают искать бреши в обороне намеченной жертвы. Одним из слабых звеньев защиты, даже самой продуманной, являются поставщики. «Взломав более простое и уязвимое стороннее решение, можно проскользнуть за надежные рубежи защиты исходной цели», — пишут эксперты.

В текущем году по такому сценарию действовали, например, повелители Shadowpad, ExPetr/NotPetya и вредоносных версий CCleaner. Атаки на цепочки поставок, по словам «лаборантов», трудно обнаружить и пресечь, поэтому многие из них остаются нераскрытыми. Исследователи ожидают, что в будущем году количество таких инцидентов увеличится, притом «добавление троянцев в специализированное ПО, распространенное в отдельных регионах или отраслях экономики, станет популярным способом для попутного заражения стратегических объектов с охватом конкретной аудитории пользователей».

Шпионское ПО для мобильных платформ

Для слежки за жертвами авторы APT-кампаний стали чаще использовать мобильные импланты, готовые — вроде Pegasus и Chrysaor — или собственной разработки. Такие зловреды сложны и зачастую используют уязвимости нулевого дня, а защита мобильных устройств носит ограниченный характер и редко способна вовремя обнаружить и отбить подобную атаку.

По оценке исследователей, «общее количество реально действующего вредоносного ПО на мобильных устройствах намного выше официальных показателей». В дальнейшем число подобных заражений, скорее всего, увеличится, а сложность мобильных программ-шпионов будет расти.

Веб-профилирование мишеней

 Совершенствование защиты операционных систем привело к росту цен на эксплойты нулевого дня до заоблачных высот. Инициаторы APT-атак очень бережно относятся к таким инструментам и тратят много усилий на их защиту от случайной утечки. По этой причине опытный хакер обычно проводит разведку перед боем, чтобы определить характер мишени (версий используемого ею ПО) и адаптировать эксплойт к конкретным условиям.

По данным «Лаборатории Касперского», такую разведку в обязательном порядке проводят участники APT-групп Turla, Sofacy, она же Fancy Bear и APT28, а также Newsbeef. При этом некоторые авторы целевых атак сами создают платформу для профилирования, тогда как другие используют готовые наборы инструментов — вроде BeEF. Эксперты ожидают, что в будущем году подобная практика получит еще большее распространение в APT-среде.

UEFI-зловреды

 За последние годы в арсенале продвинутых хакеров появились зловреды, запускаемые напрямую из программного интерфейса UEFI. Как пишут исследователи, в сравнении с BIOS этот стандарт обеспечивает более широкую функциональность и потому начал быстро набирать популярность среди разработчиков программного и аппаратного обеспечения.

К сожалению, основное достоинство UEFI оказалось палкой о двух концах, ибо породило новые уязвимости, позволяющие удаленно исполнить вредоносный код или скрыть стороннее присутствие на машине. «Например, благодаря поддержке сторонних исполняемых модулей можно создавать зловреды, запускаемые напрямую из UEFI до загрузки любых защитных решений и даже ОС», — поясняют эксперты в блог-записи.

Вероятность атаки на BIOS — установленный факт, соответствующие инструменты и руткиты имелись в распоряжении не только АНБ, но также известных APT-групп. Уязвимостей в UEFI пока раскрыто немного, но их обнаружение порождает PoC-эксплойты (которыми могут воспользоваться злоумышленники), а также новые инструменты для шпионажа.

Первый коммерческий руткит, выполненный в виде модулей UEFI, по данным «Лаборатории Касперского», появился в середине 2015 года. Зловред такого рода обнаружить нелегко, поэтому аналогичных разработок выявлено немного. Эксперты полагают, что со временем подобные решения будут встречаться чаще.

Деструктивные атаки

Использование вредоносных программ-стирателей (wipers) позволяет злоумышленникам превращать целевые атаки в акции саботажа. Подобные зловреды эффективно выводят из строя жесткие диски компьютеров, необратимо стирая главную загрузочную запись и данные.

С конца 2016 года эксперты наблюдают возобновившуюся активность червя Shamoon, получившего обновление и по-прежнему нацеленного на газо- и нефтехимические предприятия Саудовской Аравии. Исследуя атаки Shamoon 2.0, аналитики «Лаборатории Касперского» обнаружили новый деструктивный зловред, которому было присвоено имя StoneDrill. В середине текущего года громко заявил о себе ExPetr, который вел себя как вымогатель-шифровальщик, а на поверку тоже оказался вайпером.

С тех пор появилось еще несколько «псевдовымогателей» — достаточно вспомнить недавно обнаруженный Ordinypt. Поскольку поток подобных находок растет, эксперты ожидают, что в будущем году деструктивные атаки получат еще большее распространение.

Уязвимость коммерческих криптосистем

В текущем году АНБ возобновило попытки стандартизировать свои блочные шифры для IoT — Simon и Speck. Американская спецслужба старается убедить ISO принять это предложение с 2014 года, однако оппоненты — специалисты по криптографии — каждый раз находят новые возражения, опасаясь повторения истории с ГПСЧ Dual_EC, использование которого вышло бокомJuniper.

В октябре стало известно о наличии уязвимости в криптомодулях производства Infineon. Эта брешь грозила взломом RSA-ключей и затронула миллионы чипсетов.

«Лаборатория Касперского» ожидает, что «в 2018 году будут обнаружены и исправлены новые серьезные уязвимости в шифровании, как в самих стандартах, так и в отдельных реализациях».

Личностные данные и электронная коммерция

 Последние годы наблюдается рост количества масштабных утечек, ставящих под угрозу данные, идентифицирующие личность. Новейший пример тому — скандальный случай с Equifax, затронувший 145,5 млн американцев.

Подобные инциденты, как сказано в блог-записи «Лаборатории», подрывают «фундаментальные основы электронной коммерции», демонстрируя ненадежность широко используемых средств защиты личностных данных и транзакций. Если в ближайшее время ситуация не изменится, дальнейшее использование Интернета для оптимизации коммерческой деятельности может оказаться нецелесообразным.

Взломы роутеров и модемов

Важным элементом, обеспечивающим решение повседневных задач с помощью Интернета, являются роутеры и модемы. К сожалению, эти сетевые устройства, как пишут исследователи, нередко «работают на базе проприетарного ПО, за которым никто не следит и которое никто не обновляет».

Эксплуатация брешей в подобных устройствах помогает злоумышленникам скрытно проникать в целевые сети и закреплять свое присутствие, а также маскировать свои источники подключения к Интернету, вводя в заблуждение аналитиков, пытающихся выявить авторов APT-атак. В «Лаборатории Касперского» уверены, что прилежное изучение атак через роутеры и модемы в дальнейшем преподнесет еще немало сюрпризов.

Злоупотребление соцсетями

В текущем году в социальных сетях наблюдался активный рост количества подставных пользователей и ботов, используемых как орудие формирования определенных взглядов на политические события. «К сожалению, владельцы соцсетей, оценивающие свою успешность по ежедневному числу активных пользователей, не слишком торопятся устранять ботов, — сетуют исследователи. — Их эта проблема не интересует, даже если боты действуют в открытую или с легкостью вычисляются независимыми экспертами».

Ожидается, что такие злоупотребления будут продолжаться и впредь, вызывая негативную реакцию у пользователей и, как итог, миграцию участников социальных сообществ на другие сервисы, более ответственно относящиеся к сохранению комфорта и доверительных отношений в подобной среде.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

1

Всего голосов: 1

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля