Представлен прогноз по ландшафту сложных угроз на 2024 год

В прошлом году мы столкнулись с новой, необычайно скрытной кампанией кибершпионажа, целью которой были устройства iOS, в том числе принадлежавшие нашим коллегам. Мы назвали ее «Операция Триангуляция». В ходе расследования мы выявили пять уязвимостей в системе iOS, в том числе четыре уязвимости нулевого дня. Они присутствовали и в других ОС и устройствах Apple: не только в смартфонах и планшетах, но и в ноутбуках, носимых гаджетах и устройствах умного дома, в том числе Apple TV и Apple Watch. Полагаем, что в следующем году количество продвинутых атак на гаджеты пользователей и устройства умного дома возрастет. Мишенью не обязательно будут устройства iOS: другие гаджеты и операционные системы могут тоже оказаться под угрозой.

Злоумышленники будут увеличивать масштабы шпионских кампаний, используя уязвимости смарт-камер, систем подключенных автомобилей и так далее. Многие из этих гаджетов, как новые, так и старые, привлекают злоумышленников своей легкой доступностью — в них полно уязвимостей, ошибок конфигурации и устаревших программ, что делает их идеальной целью для взлома.

Еще одна характерная особенность этой тенденции — «тихая» доставка эксплойта. В «Операции Триангуляция» эксплойты незаметно доставлялись на устройства через сообщения iMessage и активировались без участия пользователя. Не исключено, что в следующем году злоумышленники найдут новые способы доставки эксплойтов, например:

Чтобы не стать жертвой сложных и целевых атак, важно защищать как корпоративные, так и личные устройства. Помимо традиционных антивирусных программ, пригодятся XDR-решения и SIEM-платформы, которые обеспечивают централизованный сбор данных, ускоряют анализ и соотносят события безопасности из разных источников, способствуя оперативному реагированию на сложные инциденты.

Ни для кого не секрет, что уязвимости есть в любых популярных программах и устройствах, предназначенных как для личного, так и для корпоративного использования. Мы регулярно обнаруживаем новые опасные и критические уязвимости. По данным Statista, в 2022 году было обнаружено рекордное число новых уязвимостей — более 25 тысяч. Компаниям зачастую не хватает ресурсов для работы с уязвимостями и их своевременного исправления. Все это может привести к незаметному созданию новых, масштабных ботнетов, способных проводить целевые атаки.

Для создания ботнета нужно установить вредоносное ПО на множество устройств втайне от их хозяев. Эта тактика может заинтересовать APT-группы по нескольким причинам. Прежде всего, она позволяет злоумышленникам скрыть целенаправленный характер атаки: из-за большого количества атакованных устройств защитникам будет сложно определить автора и мотивы атаки. К тому же ботнеты, созданные на базе устройств, принадлежащих рядовым пользователям или легитимным организациям, служат прекрасной маскировкой для истинной инфраструктуры хакеров. Они могут выполнять роль прокси-серверов или промежуточных командных серверов, а если атака полагается на ошибки в конфигурации сети, они могут стать точкой входа в инфраструктуру организации.

Сами по себе ботнеты — явление не новое. Например, несколько лет назад ботнет, состоящий более чем из 65 000 домашних маршрутизаторов, использовался для перенаправления вредоносного трафика других ботнетов и APT-групп. В другом случае APT-группы атаковали удаленных сотрудников, заражая их маршрутизаторы, предназначенные для малого и домашнего офиса, троянцами (RAT) и создавали из них своеобразный ботнет. Поскольку в последнее время было обнаружено огромное число уязвимостей, мы считаем, что в следующем году пользователи столкнутся с новыми вариациями таких атак.

Помимо APT-групп, этот метод могут взять на вооружение и киберпреступники. Такие атаки открывают злоумышленникам широкие возможности проникновения в целевую инфраструктуру и закрепления в ней, а их скрытый характер позволяет им оставаться незамеченными.

С внедрением современных инструментов безопасности в последние релизы Windows, таких как KMCS (подпись кода в режиме ядра), PatchGuard, HVCI (целостность кода, защищенная гипервизором) и архитектура Secure Kernel, корпорация Microsoft планировала сократить количество руткитов и аналогичных низкоуровневых атак. Такие атаки были распространены ранее, во времена относительной популярности руткитов. Однако и сейчас, несмотря на новейшие механизмы защиты, APT-группировкам и другим злоумышленникам удаётся успешно исполнять свой код в режиме ядра на компьютерах жертв. В этом году произошло несколько атак с использованием уязвимости WHCP (программы совместимости оборудования Windows), которые привели к компрометации модели доверенного ядра Windows. В июне 2021 года появились сообщения о рутките Netfilter, после чего корпорация Microsoft опубликовала предупреждение о том, что использовался он для подмены данных о местоположении на китайских игровых платформах. В октябре того же года компания Bitdefender сообщила о рутките FiveSys, который атаковал геймеров во время онлайн-игр. Основной целью злоумышленников являлась кража идентификационных и платежных данных игроков. Позже компания Mandiant обнаружила зловред Poortry, который засветился в нескольких кибератаках, в том числе с использованием шифровальщиков. В июне 2023 года мы опубликовали закрытый отчет о новых подписанных экземплярах FiveSys.

Мы предполагаем, что в следующем году будут развиваться три ключевые тенденции:

В прошлом году в мире было более 50 активных международных конфликтов. При этом, по оценкам ООН, мир наблюдал самое большое число вооруженных конфликтов со времен Второй мировой войны. Информационные технологии стали неотъемлемой частью любого конфликта: в наши дни ни одна политическая конфронтация не обходится без кибератак, и мы ожидаем дальнейшего развития этой тенденции. Одним из самых ярких примеров политического использования зловредов можно считать APT-атаки BlackEnergy на территории Украины в прошлом десятилетии, в которые входили кампании кибершпионажа, деструктивные атаки против медиакомпаний, и компрометация автоматизированных систем управления технологическими процессами. Злоумышленники все чаще используют свой арсенал для поддержки той или иной стороны современных вооруженных конфликтов: например, в зоне российско-украинского конфликта мы выявили APT-кампанию CloudWIzard, а во время конфликта между Израилем и ХАМАС на энергетические, оборонные и телекоммуникационные предприятия Израиля обрушилась целая серия кибератак, за которыми стояла группа хакеров под названием Storm-1133. В это же время многие израильские пользователи устройств Android пострадали от вредоносной версии приложения RedAlert — Rocket Alerts. С другой стороны конфликта группа Predatory Sparrow, по данным CyberScoop, стала снова активна после годового перерыва.

Мы считаем, что по мере нарастания геополитического напряжения возрастет и число финансируемых государствами кибератак. Под прицел попадут не только критически важные элементы инфраструктуры, государственные учреждения и оборонные предприятия по всему миру, но и СМИ. В условиях геополитического кризиса злоумышленники могут попытаться использовать СМИ для пропаганды или дезинформации населения.

Большинство атак будут проводиться с целью кражи данных, повреждения IT-инфраструктуры и длительного шпионажа. Скорее всего, возрастет и количество кибердиверсий. Злоумышленники не станут ограничиваться шифрованием данных: они будут уничтожать их, чтобы причинить серьезный ущерб политическим организациям. Не исключены и целевые атаки против отдельных людей и групп, в том числе компрометация личных устройств для проникновения в организацию, в которой работает жертва, использование дронов для определения местоположение цели, прослушка при помощи вредоносного ПО и так далее.

Хактивизм — еще один пример использования цифровых технологий в зоне конфликтов. Полагаем, что в будущем без хактивистов не обойдется ни одно противостояние. Есть несколько основных направлений их деятельности. Прежде всего, они могут проводить обычные кибератаки, например DDoS-атаки, кражу и уничтожение данных, взлом сайтов и искажение контента и так далее. Кроме того, они могут делать ложные сообщения о взломах, которые повлекут ненужные расследования и приведут к усталости от оповещений среди аналитиков SOC и исследователей кибербезопасности и снижению их бдительности. Так, во время текущего конфликта между Израилем и ХАМАСом группа хактивистов заявила об атаке на частную тепловую электростанцию Дорад в Израиле, которую она якобы совершила в начале октября. Во время расследования оказалось, что опубликованные хактивистами данные были скомпрометированы другой группировкой еще в июне 2022 года. В итоге экспертам пришлось потратить драгоценное время, чтобы выяснить, что никакой новой утечки на самом деле не было. Нередко хактивисты прибегают к дипфейкам — это легкодоступные инструменты для имитации изображения или голоса человека и распространения дезинформации. Бывали и другие громкие случаи, например захват хакерами эфира иранского государственного телеканала во время протестов. Борьба геополитических сил на мировой арене продолжается, и вряд ли мы дождемся ослабления этого напряжения в ближайшее время. Мы считаем, что на этом фоне возрастет и активность хактивистов, которые будут проводить разрушительные атаки и распространять ложную информацию.

Атаки на цепочки поставок как услуга

В последнее время злоумышленники, преследуя свои цели, все чаще начинают атаку с промежуточного звена — поставщиков, интеграторов и разработчиков. Небольшие компании, которым часто не хватает ресурсов для надежной защиты от APT-атак, становятся для них одной из ступенек на пути к конечной цели — данным и инфраструктуре крупных предприятий. Чтобы оценить текущий масштаб атак на цепочки поставок, достаточно вспомнить горячо обсуждаемые взломы Okta в 2022 и 2023 годах. Okta — поставщик услуг аутентификации, обслуживающий более 18 000 клиентов по всему миру, каждый из которых мог стать жертвой злоумышленников.

Атакующие могут действовать из разных побуждений — от жажды наживы до кибершпионажа, что еще раз подчеркивает особую опасность этой угрозы. Например, знаменитая APT-группа Lazarus активно осваивает новые методы атаки на цепочки поставок. Любопытно, например, что известный бэкдор Gopuram, поразивший пользователей по всему миру в результате взлома 3CX, сосуществует в атакованных системах с бэкдором AppleJeus, приписываемым группе Lazarus. Эта высокопрофильная целевая атака была направлена в основном против криптовалютных компаний, и, скорее всего, главной целью злоумышленников было получение финансовой прибыли.

Мы предполагаем, что, учитывая рост популярности атак на цепочки поставок, 2024 год ознаменуется новым этапом их развития. Есть несколько вариантов того, что именно это может быть. Начнем с того, что злоумышленники могут использовать популярное ПО с открытым исходным кодом для атаки на разработчиков, работающих на потенциальную компанию-жертву. Также на теневом рынке могут появиться новые предложения, в том числе наборы доступов к клиентам определенных разработчиков ПО или IT-интеграторов. Доступ к обширной базе потенциальных жертв дает злоумышленникам возможность тщательно отбирать цели для проведения масштабных (и максимально прибыльных) атак. Таким образом, эта активность может выйти на новый уровень.

Теперь уже никого не удивишь чат-ботами и инструментами для работы с генеративным ИИ — они широко распространены и легко доступны. Злоумышленники тоже не остались в стороне и активно разрабатывают собственные вредоносные чат-боты на базе легитимных решений. WormGPT — одна из таких разработок. Эта языковая модель создана специально для преступных целей на базе GPTJ — языковой модели с открытым исходным кодом. Есть и другие теневые модели, такие как xxxGPT, WolfGPT, FraudGPT, DarkBERT. В них нет функции ограничения контента, как в легитимных решениях, поэтому злоумышленники активно используют их в злонамеренных целях.

Это идеальные инструменты для создания сообщений целевого фишинга — а именно с них чаще всего начинаются APT- и другие атаки. Но быстрое создание грамотных и убедительных сообщений — это далеко не все. Эти инструменты способны генерировать документы, с помощью которых атакующие смогут выдавать себя за партнеров или коллег своей жертвы, имитируя их стиль. Мы считаем, что в следующем году мы увидим новые методы для автоматизации шпионажа, например автоматизация сбора данных об онлайн-активности пользователя — публикациях в соцсетях, комментариях и собственных статьях. С помощью генеративных инструментов злоумышленники будут обрабатывать такую информацию и на ее основе создавать текстовые и аудиосообщения, имитируя индивидуальный стиль и голос человека.

Вместе с тем будет возрастать необходимость повышения осведомленности о киберугрозах и значимость превентивных мер, таких как анализ угроз, проактивный мониторинг и обнаружение.

Наемные хакеры — это группы, которые предлагают услуги по проникновению в системы жертвы и краже данных. Они работают с частными детективами, юридическими фирмами, бизнес-конкурентами и теми, кому не хватает технических знаний и навыков для проведения подобных атак. Злоумышленники открыто рекламируют свои услуги и атакуют интересующие их цели.

Среди наемных групп, которые отслеживает наш центр глобальных исследований и анализа угроз (GReAT) можно отметить DeathStalker. Главные цели этих злоумышленников — юридические и финансовые организации, но вместо традиционных APT-атак группировка сосредоточилась на услугах взлома и торговле информацией. Злоумышленники рассылают целевые фишинговые письма с вредоносными вложениями, чтобы получить контроль над устройством жертвы и украсть конфиденциальные данные.

Такие группы состоят из профессиональных хакеров, которые объединены в несколько команд, организованных в четкую иерархическую структуру с менеджерами и подчиненными. Они ищут клиентов в теневом интернете, предлагая разные техники взлома — вредоносное ПО, фишинг и другие методы социальной инженерии, и т. д. Они действуют анонимно и используют VPN, чтобы избежать обнаружения, а их действия приводят к самым разным последствиям — от утечки данных до репутационного ущерба. Как правило, в услуги наемных хакеров входит не только киберразведка, но и коммерческий шпионаж. В их руках могут оказаться практически любые данные об участниках рынка, например сведения о реорганизации, планы расширения деятельности, финансовая информация и данные о клиентах.

Такие услуги пользуются большим спросом по всему миру, и мы ожидаем их дальнейшей популяризации в следующем году. Возможно, в ответ на запросы теневого рынка некоторые APT-группы расширят спектр операций, чтобы поддерживать свою деятельность, оплачивать услуги агентов и получать прибыль.

По мере развития цифровых технологий растет и сложность киберугроз. Новый сценарий кибератак будет развиваться вокруг MFT-систем (Managed File Transfer, управляемый обмен файлами), которые предназначены для безопасного обмена конфиденциальными данными между организациями. MFT-системы хранят огромные объемы конфиденциальной информации, в том числе финансовую отчетность, данные клиентов и сведения, составляющие коммерческую тайну, и давно стали неотъемлемой частью современных бизнес-процессов. Они упрощают передачу данных внутри организации и обмен данными с другими компаниями, повышая эффективность бизнес-операций. Но в связи с тем, что эти системы играют такую важную роль в работе организаций, они стали привлекательной целью для злоумышленников, жаждущих заработать на цифровых уязвимостях.

В 2023 году мы наблюдали несколько атак на MFT, в частности MOVEit и GoAnywhere, которые пролили свет на потенциальные уязвимости этих важнейших систем передачи данных. Взлом MOVEit, за которым стоит группа вымогателей Cl0p, и эксплуатация уязвимости MFT-платформы GoAnywhere, разработанной компанией Fortra, еще раз показали, как одна-единственная уязвимость может привести к эксфильтрации конфиденциальных данных, остановке бизнес-процессов и шантажу.

Мы считаем, что впереди нас ждет еще немало целевых атак на MFT-системы: они способны не только принести злоумышленникам финансовую выгоду, но и остановить бизнес-процессы в атакованной компании. Сложная архитектура MFT-систем, интегрированная в обширные корпоративные сети, может иметь много уязвимостей, которыми с готовностью воспользуются атакующие. Злоумышленники неустанно совершенствуют свои навыки и, скорее всего, будут активнее эксплуатировать уязвимости MFT-систем в ближайшем будущем.

Судя по наметившейся тенденции, взломов MFT с серьезными утечками данных и вымогательством в ближайшем будущем будет больше. Инциденты, которые мы наблюдали в 2023 году, настойчиво напоминают о том, что MFT-системы не лишены уязвимостей и требуют надежной защиты от кибератак, нацеленных на кражу данных.

Именно поэтому организациям настоятельно рекомендуется тщательно проверять используемые MFT-системы, чтобы вовремя выявлять и устранять потенциальные уязвимости. Надежные технологии предотвращения утечек данных (DLP), шифрование конфиденциальной информации и повышение осведомленности сотрудников о кибербезопасности помогут защитить MFT-системы от новейших угроз. Для защиты корпоративных данных и обеспечения непрерывности бизнес-процессов на фоне растущего ландшафта киберугроз компаниям следует принимать проактивные меры, в том числе по повышению безопасности MFT-систем.

События 2023 года еще раз напомнили компаниям о необходимости укрепления защиты MFT-систем. В будущем кибератаки станут еще запутанней, поэтому каждой организации крайне важно всегда оставаться на шаг впереди злоумышленников и поддерживать целостность и безопасность MFT-систем, чтобы не пополнить список пострадавших компаний.