Специалисты исследовательского центра GReAT «Лаборатории Касперского» выпустили прогноз на 2017 год. В нем они раскрыли основные тенденции в мире киберугроз, которые, по их мнению, получат развитие в следующем году. Таким образом аналитики надеются дать пищу для размышлений ИБ-специалистам, работы для которых в следующем году определенно прибавится.

В 2017 году APT-атаки станут еще опаснее: пока меры защиты остаются на прежнем уровне, киберпреступники совершенствуют свой арсенал. Хотя анализ индикаторов компрометации (например, хеши и домены) помогает выявить активное заражение, небольшая, но влиятельная часть APT-группировок уже умеет обходить эти меры безопасности. Например, используемое в атаках APT-группы ProjectSauron APT вредоносное ПО специально разрабатывалось под каждую конкретную жертву. Также анализ деятельности ProjectSauron выявил использование техники «пассивный имплант» — бэкдора, живущего в памяти, шлюзе или на сервере, подключенном к внешней сети. Он активируется для атаки, но до этого никак не привлекает внимание.

PowerShell, эффективный инструмент для Windows-администраторов, также любим киберпреступниками, которые оценили его пользу для скрытного внедрения зловредов, передвижения по скомпрометированной сети и шпионажа. Специалисты ожидают, что в будущем это спровоцирует развитие «эфемерных» угроз — например, зловредов, внедряемых в оперативную память.

В будущем году, считают эксперты GReAT, киберзлоумышленники вплотную займутся мобильными платформами: в некотором смысле они начнут «портировать» действенные техники атак на мобильные устройства, так как при их бурно растущей популярности они по-прежнему плохо защищены. Зачастую инструменты исследования угроз попросту недоступны для новейших версий мобильных ОС.

Банки по-прежнему останутся под прицелом киберпреступников. Атака на SWIFT поразила отрасль своей наглостью. Теперь, предсказывают аналитики, ожидается рост атак с использованием услуг инсайдеров, имеющих доступ к системе SWIFT. Подобные атаки требуют тщательной подготовки, навыков, знания принципов работы систем и модели отмывания денег. Вполне вероятно, разовьется рынок услуг, необходимых для каждого из этих этапов, что приведет к серии крупных и хорошо организованных краж. То же касается платежных систем, они вызывают повышенное внимание киберпреступников, но пока устойчивы к атакам. В то же время киберпреступники вряд ли отступятся от такой цели и продолжат искать способы добиться компрометации инфраструктуры платежных систем.

В будущем году программы-вымогатели продолжат терроризировать пользователей и организации. Однако популярность и действенность такого вида вымогательства, а также доступность готовых и сдаваемых в аренду шифровальщиков привлекает в эту сферу новичков или аутсайдеров, которые могут вызвать кризис доверия на рынке. Вся модель работает только при условии, что вымогатели держат свое слово и предоставляют ключ для расшифровки файлов в обмен на выкуп, и пока это неписаное правило выполнялось, а благодаря этому экосистема процветала. Но появление на рынке новых и менее профессиональных игроков может привести к разрушению этой парадигмы. Например, зловред Ranscam требует выкуп, но вместо того, чтобы зашифровать файлы, он их просто удаляет. В конце концов, если тенденция получит развитие, жертвы вымогательства дважды подумают, нужно ли им платить выкуп, если смысла в этом нет.

Беспокойство из-за незащищенности индустриальных систем и объектов критической инфраструктуры произрастает из знаменитой кибердиверсии с использованием Stuxnet, которая положила конец иранской ядерной программе. Уяснив, что промышленные объекты разрабатывались в то время, когда о подобных киберугрозах не было и речи, власти и коммерческие организации начали серьезно опасаться потенциальных кибердиверсий. Например, защита объектов критической инфраструктуры от атак стала одним из положений обновленной государственной ИБ-доктрины РФ. Хотя успешные атаки на инфраструктурные объекты и системы требуют высокого уровня навыков и поддержки (обычно со стороны государства), растущая геополитическая напряженность будет способствовать появлению подготовленных киберпреступных группировок, стремящихся к целенаправленному уничтожению или нарушению нормальной работы важнейших сервисов.

Интернет вещей стал более осязаемой реальностью, чем в прошлом году, но степень защищенности IoT-устройств так и осталась беспрецедентно низкой. В 2016 году человечество наконец ощутило, как «Интернет угроз» может серьезно повлиять на повседневную жизнь людей. Несколько недель назад ботнет Mirai, в котором состояли многие тысячи IoT-устройств вроде камер видеонаблюдения и роутеров, стал причиной перебоев в работе Интернета всего Восточного побережья США, крупных европейских сетевых провайдеров, чьими клиентами являются миллионы людей, и даже целой страны. Но, несмотря на серьезность проблемы, в этой связи ИБ-исследователи предрекают появление нового класса хакерских группировок — «хакеров-вигилантов», неких «благородных разбойников». В частности, опасность, исходящая от слабо защищенных IoT-устройств, может сподвигнуть их на удаленное отключение уязвимого девайса — для блага пользователей и в качестве урока производителям, халатно относящимся к обеспечению безопасности продукта.

Появление подобных Робин Гудов среди хакеров также станет тенденцией следующего года, но это не очень хорошая новость для отрасли. Например, в 2015 году таинственный Финеас Фишер опубликовал дамп серверов HackingTeam и пособие для начинающих хакеров по взлому нечистоплотных организаций и сомнительных компаний. Хотя он, очевидно, имел самые лучшие побуждения, его действия имели обратный эффект: действующие APT-группы бесплатно получили набор уязвимостей нулевого дня, а у HackingTeam, скорее всего, появилось еще больше клиентов.

Еще один пример — публикация дампа, содержащего огромное количество эксплойтов для файерволов известных поставщиков сетевой инфраструктуры, группировкой ShadowBrokers. Этот факт поставил вопрос о том, что сетевые устройства могут работать на кого угодно, и это станет еще одной проблемой 2017 года. Тем временем развернувшаяся вокруг выборов в США конспирологическая риторика возвела утечки и сливы данных в ранг факторов, способных склонить чашу весов в чью-либо сторону, и поэтому деятельность хакеров-вигилантов в будущем активизируется.

Еще одним трендом наступающего года станет проведение крупных киберпреступных операций «под чужим флагом». Атрибуция APT-атак — сложнейшая задача, требующая много времени и ресурсов. Но в то же время проблема киберслежки и целевых взломов стала излюбленной темой прессы, и могущественные хакерские группировки теперь представляют опасность не только из-за непосредственно взломов, но и из-за возможности манипулировать общественным мнением, создавая ложный след для экспертов, занимающихся атрибуцией атак.

Например, киберпреступные группировки Lazarus и Sofacy стали пионерами создания фальшивых ресурсов для целевого слива информации и вымогательства. ОПГ Lazarus, атаковавшая Sony Pictures Entertainment в 2014 году, пыталась выдавать себя за Guardians of Peace, а группировка Sofacy делала так, чтобы в атаках подозревали сразу нескольких хактивистов. Пока атак, полностью проводимых «под чужим флагом», в дикой природе не наблюдалось, из-за возможности резких ответных мер (например, ответная кибератака или политическая дестабилизация) их появление в 2017 году весьма вероятно. В стремлении запутать след киберпреступники будут готовы сливать собственный проприетарный инструментарий — на радость скрипт-кидди и более мелким группировкам, чья деятельность позволит отвлечь внимание от кукловодов.

В будущем информационные войны будут все чаще использоваться для манипулирования общественным мнением и создания хаоса вокруг общественных процессов (вроде выборов в США). По мнению экспертов, уязвимость к информационным войнам сейчас высока как никогда: кибератаки играют все более значимую роль в международных отношениях, и определение их источника становится головной болью для госорганов, которым кроме минимизации последствий угрозы нужно понять, какие дипломатические и политические шаги предпринять. При этом из-за фрагментированности данных, предоставленных от разных государств и организаций, точная атрибуция практически невозможна, что сделает основанием для принятия решения «приблизительную атрибуцию», которая может быть ошибочной из-за наличия «ложного следа». Также ответные меры могут сподвигнуть злоумышленников на использование открытого вредоносного ПО и легитимного инструментария вроде Cobalt Strike и Metasploit, что позволяет киберпреступникам «скрыться в толпе».

В 2017 году накал дискуссии вокруг анонимности в Интернете сохранится, но это не сможет нивелировать устойчивый тренд на уничтожение последних остатков приватности. Устранение приватности в киберпространстве чрезвычайно выгодно как рекламщикам, так и шпионам. Первые продолжат широко использовать постоянные cookie-файлы, что позволит компаниям отслеживать действия конкретных пользователей, в том числе за пределами доменов, принадлежащих этим компаниям, и таким образом получать связную картину поведения этих пользователей в Интернете.

Всеобъемлющее проникновение рекламы в жизнь пользователей делает рекламные сети привлекательным вектором для целевых атак. Деятельность рекламных сетей слабо регламентирована; например, нередки случаи наличия вредоносной рекламы даже на популярных, уважаемых ресурсах. Рекламные сети предоставляют отличные возможности профилирования потенциальных жертв путем отслеживания IP-адресов, сбора данных о браузере и системе пользователя, отслеживания предпочтений пользователя при интернет-навигации, а также путем идентификации пользователя по вводимым логинам. Атакующие таким образом получают возможность использовать контент избирательно, в соответствии с профилем пользователя, а не заниматься ковровыми бомбардировками, привлекающими внимание ИБ-экспертов. Высококвалифицированные кибершпионы также обратят внимание на рекламные сети как на выгодный инструмент проведения операций.

Получат развитие и изощренные методы отслеживания деятельности активистов и действий пользователей в соцсетях, «несущих угрозу стабильности». Высокопрофильные заказчики проявят значительный интерес к методам отслеживания тенденций в социальных сетях на уровне целых географических регионов. Нельзя исключить возникновение в 2017 году группировки киберпреступников, которая осмелится взломать какую-либо социальную сеть — неиссякаемый источник персональных данных пользователей и компромата на самых разных людей.

Категории: Аналитика, Вредоносные программы, Главное, Кибероборона, Хакеры