17 декабря 2014

Хрустальный шар с фактами: APT-прогнозы на 2015 год

Бизнес

2014 год подходит к концу с громким треском, точнее, с мегавзломом Sony Pictures. Однако в этом посте мы будем не столько оглядываться назад, сколько смотреть вперед и делать кое-какие обоснованные прогнозы, исходя из событий 2014 года. «Лаборатория Касперского» опубликовала свежее исследование «Взгляд в хрустальный шар APT«. В нем не идет речи ни о каком колдовстве, картах таро или вызове духов. Все эти прогнозы основаны исключительно на фактах и тенденциях, наблюдавшихся в этом году.

Чего (можно) ждать от будущего в плане АPT?

Наши эксперты Центра глобальных исследований и анализа угроз (GReAT) предполагают, что произойдет слияние киберпреступности с APT. Это означает, что киберпреступники будут меньше охотиться на конечных пользователей и больше — на мишени покрупнее. Для бизнеса это не слишком удачное развитие событий, особенно для тех, что наподобие банков имеют дело со множеством денежных переводов.

«В ряде случаев, расследованных специалистами из Центра глобальных исследований и анализа угроз «Лаборатории Касперского», несколько банков взломали с использованием методов прямо из APT-учебника. Проникнув в сети банков, нападавшие собрали достаточно информации, чтобы иметь возможность красть деньги напрямую из банка несколькими способами:

  • дистанционно приказывая банкоматам выдать наличные;
  • выполняя SWIFT-переводы с различных клиентских счетов;
  • манипулируя системами онлайнового банкинга для осуществления переводов в фоновом режиме».

Конечно, преступники предпочитают обходиться простыми средствами, а так как одолеть киберзащиту банков непросто, безусловно, гораздо выгоднее подбирать «крохи» у конечных пользователей.

GReAT также предполагает фрагментацию крупных APT-групп на более мелкие и менее уловимые. Это, в свою очередь, может привести к диверсификации атак, а также к «расширению плацдарма для атаки». Проще говоря, это означает, что мишенями станут больше компаний, включая те, что уже подвергались нападению.

wide

Больше внимания способам обхода

APT-преступники хорошо понимают, что окажутся в розыске, а некоторых даже ловят время от времени, что плохо для их бизнеса. APT означает «передовая постоянная угроза», а «постоянная» не означает «одной меньше». Преступники хотят оставаться незаметными и удерживать позиции в рамках целевой инфраструктуры по возможности долго и с нанесением как можно большего ущерба.

Новые источники атак тоже предвидятся

APT Darkhotel, о которой мы писали ранее, была направлена против высокопоставленных лиц, таких как корпоративные руководителей и государственные чиновники, и использовала бесплатный Wi-Fi в ряде отелей. При всей неожиданности трудно представить себе более удобное место для запуска направленной атаки. Тем не менее, злоумышленники стали теперь весьма изобретательными, так что никто не знает, откуда они могут нанести следующий удар. И даже если бы кто-то знал, то не стал бы подкидывать идеи преступникам.

Эксфильтрация данных также представляет особый интерес для преступников, которые хотят оставаться в тени в течение длительного периода времени.

APT-группы, как ожидается, воспользуются облачными сервисами, для того чтобы эксфильтрация оставалась скрытной и сложно распознаваемой.

Прошли те времена, когда злоумышленники использовали простой бэкдор, для того чтобы перекачать терабайт информации на FTP-серверы по всему миру: подобная активность сейчас наверняка будет отслежена и блокирована. Сегодня более умелые группы регулярно используют SSL и пользовательские протоколы связности.

По данным Securelist, «некоторые из самых передовых групп полагаются на бэкдор сетевых устройств и перехват трафика непосредственно для управления. Другие выявленные нами методы включают эксфильтрацию данных для облачных сервисов, например, с помощью протокола WebDAV (облегчает совместную работу пользователей при редактировании и контроле документов и файлов, хранящихся на веб-серверах). Это привело к тому, что во многих компаниях запретили доступ из своих сетей в публичные облачные сервисы, такие как Dropbox. Тем не менее, это по-прежнему эффективный метод обхода систем обнаружения вторжений и черных списков».

APT-преступники, скорее всего, изберут более активную тактику в сбивании экспертов по безопасности со следа.

Вне зависимости от того, исходят ли атаки от частных лиц или от целых «киберармий» на довольствии отдельных государств, свое происхождение нападающие стремятся скрывать. И в точности так же, как киберпреступники используют поддельные IP-адреса для маскировки своей деятельности, они будут пытаться «подбрасывать доказательства» своего происхождения, чтобы все стрелки указывали в неверном направлении.

Эта теория подкрепляется вещественными доказательствами. В 2014 году мы наблюдали несколько «операций прикрытия«, в которых злоумышленники подкидывали «неактивный» вредоносный код, который обычно используется другими APT-группами.

Недавний взлом Sony Pictures ставит серьёзные вопросы о происхождении такого нападения. Изначально подозревали Северную Корею, однако, по мере накопления информации, это становилось все менее и менее очевидным. Вполне возможно, что некто просто попытался всех убедить в том, что виноваты северокорейцы.

Эксперты GReAT предполагают, что в 2015 году APT-группы будут тщательно регулировать свою деятельность и вводить в игру «надувные танки».

Готовность остается ключевым вопросом

Происхождение нападения не так важно, как готовность к атаке. Тем не менее, вероятно, для APT-жертв куда привлекательнее мысль о том, что они пострадали от неких грозных национальных киберармий, нежели от кучки негодяев, которые, возможно, даже не писали сами использованное ими программное обеспечение, — особенно в тех случаях, когда на деле собственные огрехи кибербезопасности жертв сделали APT-атаки возможными.

В 2015 году мы, наверное, много услышим о новых методах киберпреступников, которые выведут скрытность, настойчивость и эффективность эксфильтрации данных на следующий уровень. Некоторые новые методы уже были отмечены в этом году, и «Лаборатория Касперского» использовала полученные данные для разработки и развертывания нескольких новых защитных механизмов для наших пользователей.

  • Об этих и других новых тенденциях в мире APT, пожалуйста, читайте блог на Securelist.
  • Здесь можно посмотреть видео «Лаборатории Касперского» «Игра киберпрестолов: атаки на корпоративный сектор и руководителей бизнеса в 2014 году».
  • Чтобы узнать больше о ключевых событиях, определивших ландшафт угроз в 2014 году, читайте полный отчет на сайте Securelist.
  • В качестве дополнительного бонуса «Лаборатория Касперского» запускает интерактивный проект «Журнал направленных кибератак«. В нем ведется хроника всех сложных киберкампаний или APT-угроз, которые исследовались в Центре глобальных исследований и анализа угроз. Посетите apt.securelist.com, чтобы ознакомиться с журналом.