15 июля 2015

APT и кибершпионские кампании: 2014 и 2015 годы

Бизнес

На дворе июль, половины 2015 года как не бывало. Точнее, конечно, она была, и за это время прошло немало различных событий в области кибербезопасности, но в этом посте речь пойдёт главным образом об APT. Помимо того, что за прошлый год и половину этого их обнаружилось немало, мы, похоже, наблюдаем приближение очередного «тектонического сдвига». Об этом свидетельствуют две кампании, выявленные в 2015 году.

Взглянем на карту

Давайте посмотрим на визуальный инструмент, который разработан в «Лаборатории Касперского» — «Журнал таргетированных атак», интерактивную карту, позволяющую мониторить APT-кампании.

Сейчас она выглядит куда более «густонаселённой», нежели в прошлом году. Хотя большинство кампаний, отображённых на ней, фактически были выявлены в 2014-м.

Судите сами:

apts2014

Так карта выглядела в прошлом году, когда её только анонсировали.

apts2015

А вот так она выглядит сейчас.

Цвета «кораблей» указывают на количество жертв — чем ближе к красному краю спектра, тем их больше. Как видим, большинство кампаний имеют зеленовато-синий оттенок, хотя те же Desert Falcons, а которых писали в первом квартале 2015 года, кажется, поразили порядка 5 тысяч жертв.

Кроме них, в первом квартале 2015-года стало известно о следующих APT:

Equation — «Звезда Смерти» среди APT-кампаний, массивный кибершпионский фреймворк, возрастом, возможно, до 12 лет (по последним данным, первый сэмпл был обнаружен в 2002 году, но не исключено, что были и более ранние).

Carbanak — первая известная сугубо криминальная APT-кампания, и вряд ли последняя.

Animal Farm — франкоязычная кибершпионская кампания, тоже довольно старая и массированная, насчитывающая до пяти тысяч жертв.

Ещё несколько были анонсированы с конца первого квартала, например Hellsing (выявленный после контр-атаки на своего «собрата» — кампанию Naikon), CozyDuke, SpringDragon и Duqu 2, атака, направленая аккурат на нас, «Лабораторию Касперского».

Ну, а потом был Grabit.

На первый взгляд, APT — это что-то из «серой» области высокой (гео)политики: большинство этих капаний, вне зависимости от их размеров, направлены против крупных корпораций и международных и правительственных организаций, и их целью является сбор разведывательных данных глобальной же важности.

Но затем пришли Carbanak и Grabit

Эти две кампании очень сильно различаются, но что их роднит, так это существенная «неортодоксальность».

Carbanak — первая в истории полностью криминальная APT-кампания. Она не имеет никакого отношения к политики, она занимается кражей денег из банков, а не вытягиванием важной информации.

Grabit, в свою очередь, это кибершпионская кампания, которую, строго говоря, даже к APT не относят, но которая, тем не менее, имеет то же назначение, что и «традиционные» APT — шпионаж. И, что важно, Grabit атакует целиком и исключительно малый и средний бизнес.

Даже если не проводить через эти две точки прямую, они обе создают повод давать определённые предсказания в рамках давно наблюдаемой тенденции: коммерциализации и криминализации.

Попросту говоря, киберпреступники будут использовать для своего обогащения те же подходы и методы, что и операторы шпионских APT-кампаний, направленных против крупных организаций, и жертвами будут становиться далеко не только малые организации.

Это ни в коем случае не означает, что кибершпионские кампании, направленные против крупных корпораций, исчезнут. А жертвами станут далеко не только они. Размеры жертв вообще перестанут что-либо значить: преступники не то, чтобы особо разборчивы в выборе мишеней, главное, чтобы там были деньги.

Таким образом, бизнес-организации всех размеров в теории могут быть атакованы, атаки могут быть узконаправленными или случайными. Но главное, что никаких причин подставляться под удар и поддаваться нет. Бизнес-продукты «Лаборатории Касперского» способны защищать своих пользователей — бизнесы любых размеров, от самых малых стартапов, до крупнейших корпораций, от всех вышеописанных угроз.