«Лаборатория Касперского» определила главные угрозы года

Антон Шингарев полагает, что в условиях гонки кибервооружений сохранить доверие пользователей можно, только обеспечив прозрачность компании

Источник: «Лаборатория Касперского»


16:08 12.12.2017   |   4125 |  Дмитрий Гапотченко |  Computerworld Россия

Рубрика Индустрия



Компания представила важнейшие тенденции в области кибербезопасности и поделилась планами по повышению своей прозрачности.

В начале декабря «Лаборатория Касперского» в лице экспертов компании Александра Гостева и Сергей Голованова озвучила итоги 2017 года и представила прогноз на 2018-й, а Антон Шингарев, вице-президент «Лаборатории» по связям с государственными органами, рассказал о международной обстановке на фронтах борьбы с киберпреступностью и о взаимоотношениях «Лаборатории» с правительственными и правоохранительными органами разных стран.

Угрозы года: взлом как сервис и киберпреступность как служба

Многие годы представители рынка информационной безопасности подчеркивали, что время киберпреступников-дилетантов прошло, настало время профессионалов, работающих из корыстных побуждений. Тенденциями уходящего года стали консьюмеризация и политизация киберкриминала.

Примером первой может служить распространение средства изъятия наличности из банкомата «как сервис». За 5 тыс. долл. (по некоторым данным, цена существенно упала) можно приобрести комплект программ CutLet Maker («котлета» — большая пачка денег не только в русском языке) с инструкциями, позволяющих изъять из устройства всю наличность. Для этого, правда, необходим доступ к USB-порту устройства, но он, как утверждается, особой проблемы не представляет. Как отметили в «Лаборатории», такие продукты раньше стоили в десятки раз дороже, делались на заказ и распространялись среди «своих». Теперь же компенсировать покупку «котлеты» можно при взломе первого же банкомата.

Что до политики, то, по оценке «Лаборатории Касперского», из сотни с небольшим хакерских групп, устраивающих APT-атаки (Advanced Persistent Threat — сложные атаки, направленные на конкретную цель), лишь десяток можно отнести к чисто коммерческим. Остальные в той или иной степени работают и на государство.

Например, как полагают в компании, «находится при исполнении» группа Lazarus, предположительно северокорейского происхождения, прославившаяся атаками на SWIFT в полутора десятках стран, а также на финансовые институты, казино, криптовалютные биржи. Этими атаками она добывает валюту для своей родины, отключенной от мировой финансовой системы.

Существенно выросла активность китайскоговорящих групп, которые составляют около четверти общего числа. Причем свою активность в США эти группы снизили почти до нуля, а переключились главным образом на Россию — преимущественно на наши предприятия ВПК, госсектор и узлы критической инфраструктуры.

Русскоязычных APT-групп насчитывается около десятка, есть также испано-, португало- и арабоязычные. Разумеется есть и англоязычные, но, что интересно, ни одну из них к «коммерческим», считают в «Лаборатории», отнести нельзя.

Языковая принадлежность группировок не обязательно указывает на страну их базирования. Скажем русскоязычными могут быть группы из всего бывшего Союза, из стран бывшего соцлагеря. Кроме того, комментарии на том или ином языке, использование соответствующей версии Windows для компилирования кода и даже время начала работы вполне могут быть задействованы для создания ложного следа. Не говоря у же о том, что многие группы бывают интернациональными по составу.

Шифровальщик не всегда то, чем кажется

Открытием года — и по результатам деятельности, и по освещению в СМИ — смело можно назвать шифровальщики. Самый известный из них, конечно, WannaCry, но не меньше шума наделали Petya и ExPetr. Среди жертв «Пети» — украинские энергетические компании, почта парламента Великобритании и «Роснефть». А ExPetr поразил популярную на Украине бухгалтерскую программу MeDoc, причем накануне сдачи отчетности.

Вирусы, разумеется, требовали денег за расшифровку данных, однако у ряда исследователей возникли подозрения, что в некоторых случаях получение выкупа не планировалось. В «Лаборатории» полагают, что внедрение шифровальщика — идеальный последний штрих целевой атаки. Он отвлекает расследование на ложную цель, заставляет тратить усилия на восстановление данных и заметает следы деятельности, не позволяя понять, что именно злоумышленники смогли украсть в ходе «основной» атаки. А пошлют ли на криптокошелек несколько сотен долларов в криптовалюте — дело десятое.

«Атака сбоку»

Упомянутый ExPetr, взлом хакерской группой Axiom утилиты CCleaner и встраивание бэкдора ShadowPad в ПО для управления серверами Netsarang показали, что беда может прийти с неожиданной стороны — вместе с очередным обновлением проверенного ПО. И если в случаях с утилитой и локально-популярным бухгалтерским пакетом можно предположить слабую защиту в софтверных компаниях-производителях, то NetSarang должно быть надежно защищено, поскольку используется крупнейшими компаниями из Fortune 500. Однако злоумышленникам оказалось проще атаковать жертвы через разработчика, чем напрямую.

Многогранная криптовалюта

Курс биткоина вырос за год в 15 раз, общая стоимость всех криптовалют — в 20 раз, через первичный выпуск токенов собрано более 3,5 млрд. А значит, у злоумышленников появилась новая цель, и за год у 60 тыс. жертв было украдено криптовалюты на 300 млн долл.

Эти подсчеты достаточно условны. Скажем, создателям WannaCry (после того, как «Лаборатория Касперского» предупредила, что им платить бесполезно, поскольку данные расшифрованы все равно не будут) на кошелек упало биткоинов всего на 60 тыс. долл., однако рост курса криптовалюты привел к тому, что стоимость полученных средств выросла приблизительно до 600 тыс.

Появились скрипты, позволяющие осуществлять майнинг (добычу криптовалюты) прямо в браузере: за один октябрь ПО «Касперского» пресекло около 70 млн попыток загрузки таких скриптов у более чем 4 млн пользователей.

Осуществляются попытки внедрить такого рода зловредные программы в корпоративные сети, а особо продвинутые сотрудники начинают майнить криптовалюту на оборудовании работодателя.

Что будет?

Прогнозы «Лаборатории» на 2018 год вытекают из тенденций года уходящего. Будет больше атак на производителей ПО, Интернет вещей, системы обращения криптовалют. Наберут популярность «коробочные» решения по взлому банкоматов и атаки на прошивки UEFI. И разумеется, будет все больше целевых атак с применением программ-вымогателей.

Международная панорама

Борьба с киберпреступностью осложняется из-за напряженной международной обстановки, которая, по выражению Шингарева, ведет к «балканизации» — фрагментации интернет-пространства, разобщению усилий по борьбе с киберкриминалом. Взаимное недоверие рождает протекционизм — сначала в форме стимулирования своих ИТ-компаний, потом дело доходит до давления на иностранные и вытеснения их с рынка.

Более трех десятков государств создали свои кибервойска, в НАТО решено, что кибератака на члена альянса запускает действие статьи 5 Устава о взаимопомощи. Критерии кибератаки при этом расплывчаты, а достоверная атрибуция хакерской группы, как уже отмечалась, представляет проблему.

Именно в международной напряженности и действиях некоторых конкурентов Шингарев видит причины проблем компании в США и Великобритании. Тогда как правоохранительные органы — Интерпол, Европол, немецкая BSI претензий к «Лаборатории» не имеют и продолжают с ней сотрудничать.

В начале 2018 года компания откроет «центр прозрачности», к 2020-му их будет три: в США, Европе и Азии. В этих центрах представители регуляторов и правоохранительных органов смогут проверить программное обеспечение на отсутствие закладок. Независимому аудиту будет представлен код не только самого ПО, но и его обновлений. Также компания в рамках программы bug bounty увеличит в 20 раз, до 100 тыс. долл., вознаграждение за найденные уязвимости.


Теги: Информационная безопасность Лаборатория Касперского Криптовалюта Целенаправленная атака
На ту же тему: