Jak poważne jest w rzeczywistości zagrożenie ze strony exploitów? Niedawny wyciek zestawu narzędzi do tworzenia exploitów, wykorzystywany rzekomo przez niesławne ugrupowanie Equation, sugeruje, że pora ponownie rozważyć to pytanie. W publicznym obiegu znalazło się kilka exploitów dnia zerowego jak również garść „krytycznych” exploitów, które zostały rzekomo wykorzystane na wolności, i jak dotąd nie wiadomo, czy jest to cały zestaw narzędzi czy pojawią się jeszcze inne narzędzia, związane z ugrupowaniem Equation lub innym przeprowadzającym ataki ukierunkowane.
Naturalnie, ugrupowanie Equation nie jest pierwszą, i z pewnością nie jedyną, grupą stosującą wyrafinowane ataki ukierunkowane, która w swojej działalności posiłkuje się ukradkowymi exploitami – często tzw. exploitami dnia zerowego.
Dokonaliśmy przeglądu krajobrazu zagrożeń exploitów. Opierając się na naszych własnych danych telemetrycznych oraz raportach dot. danych analitycznych, jak również publicznie dostępnych informacjach, przyjrzeliśmy się głównym lukom w zabezpieczeniach oraz aplikacjom wykorzystywanym przez osoby atakujące.
Zbadaliśmy je z dwóch równie istotnych perspektyw. Pierwsza część raportu zawiera podsumowanie głównych exploitów atakujących wszystkich użytkowników w latach 2015-2016, jak również najbardziej podatnych na ataki aplikacji. Druga część jest poświęcona lukom w zabezpieczeniach wykorzystywanym w latach 2010-2016 przez znaczące ugrupowania stosujące ataki ukierunkowane, o których donosił Kaspersky Lab: łącznie 35 ugrupowań i kampanii.
W raporcie tym skoncentrowano się na atakach wykorzystujących exploity po stronie klienta, pominięte zostały natomiast dane dotyczące ataków z użyciem exploitów po stronie serwera.
Główne ustalenia dotyczące exploitów atakujących wszystkich użytkowników w latach 2015-2016:
W okresie 2015-2016 miało miejsce kilka pozytywnych zdarzeń jeśli chodzi o krajobraz zagrożeń związanych z exploitami. Na przykład, z nielegalnego rynku zniknęły dwa niezwykle niebezpieczne i skuteczne zestawy tworzenia exploitów - Angler (XXX) oraz Neutrino, pozbawiając kręgi cyberprzestępcze wszechstronnego zestawu narzędzi umożliwiających zdalne włamywanie się do komputerów.
Uruchomiono lub rozszerzono wiele inicjatyw bug bounty, których celem jest zwrócenie uwagi na niebezpieczne kwestie związane z bezpieczeństwem. W połączeniu ze wzmożonymi wysiłkami twórców oprogramowania w zakresie usuwania nowych luk, znacznie zwiększyło to ponoszone przez cyberprzestępców koszty tworzenia nowych exploitów. Należy to traktować jako jednoznaczne zwycięstwo branży bezpieczeństwa informacji, które spowodowało spadek liczby indywidualnych użytkowników zaatakowanych przy użyciu exploitów o ponad 20%: z 5,4 miliona w 2015 r. do 4,3 miliona w 2016 r.
Jednak wraz ze wskazanym spadkiem odnotowaliśmy również wzrost liczby użytkowników korporacyjnych stanowiących cel ataków ukierunkowanych przy użyciu exploitów. W 2016 roku liczba takich ataków zwiększyła się o 28,35%, wynosząc ponad 690 000 oraz stanowiąc 15,76% łącznej liczby użytkowników będących celem ataków z wykorzystaniem exploitów. W tym samym roku ponad 297 000 użytkowników na całym świecie zostało zaatakowanych przy użyciu nieznanych exploitów. Ataki te zostały zablokowane przez naszą technologię Automatycznego zapobiegania exploitom, stworzoną z myślą o wykrywaniu tego rodzaju exploitów.
Główne ustalenia dotyczące exploitów wykorzystywanych przez ugrupowania stosujące ataki ukierunkowane w latach 2010-2016:
Przyglądając się bliżej aplikacjom wykorzystywanym przez ugrupowania cyberprzestępcze w celu przeprowadzania ataków ukierunkowanych z wykorzystaniem exploitów, nie byliśmy zaskoczeni, że na szczycie listy znalazł się Windows, Flash oraz Office.
Aplikacje i systemy operacyjne najczęściej wykorzystywane przez ugrupowania stosujące ataki ukierunkowane.
Co więcej, niedawny wyciek licznych exploitów, należących rzekomo do ugrupowania cyberszpiegowskiego Equation, zwrócił uwagę na inną znaną, ale często zapominaną prawdę: życie exploita nie kończy się wraz z opublikowaniem łaty bezpieczeństwa w celu usunięcia wykorzystywanej luki.
Nasze badanie sugeruje, że ugrupowania cyberprzestępcze nadal aktywnie i skutecznie wykorzystują luki w zabezpieczeniach, które zostały załatane niemal dekadę wcześniej – co pokazuje wykres poniżej:
Wszyscy kochają exploita
Exploity stanowią skuteczne narzędzie dostarczania szkodliwych funkcji, co oznacza, że cieszą się dużym zapotrzebowaniem wśród szkodliwych użytkowników, zarówno ugrupowań cyberprzestępczych jak i tych stosujących cyberszpiegostwo ukierunkowane oraz cybersabotaż.
Potwierdzeniem tego mogą być nasze najnowsze statystyki dotyczące zagrożeń, które pokazują, że exploity wykorzystujące lukę CVE-2010-2568 (wykorzystaną w niesławnej kampanii Stuxnet) nadal znajdują się na pierwszym miejscu pod względem liczby zaatakowanych użytkowników. Niemal jedna czwarta wszystkich użytkowników, którzy stanowili cel dowolnego zagrożenia związanego z exploitem w 2016 roku, została zaatakowana przy użyciu exploitów wykorzystujących tę lukę.
Wniosek i wskazówki
Wniosek, jaki się nasuwa, jest prosty: nawet jeśli szkodliwy użytkownik nie ma dostępu do kosztownych exploitów dnia zerowego, istnieje duże prawdopodobieństwo, że osiągnie swój cel przy użyciu exploitów wykorzystujących stare luki w zabezpieczeniach, ponieważ wiele systemów i urządzeń nie zostało jeszcze uaktualnionych.
Mimo że twórcy popularnego oprogramowania inwestują ogromne zasoby w identyfikację i eliminację błędów w swoich produktach, jak również w techniki łagodzenia zagrożeń związanych z exploitami, wyzwanie dotyczące luk w zabezpieczeniach nadal pozostanie aktualne, przynajmniej w dającej się przewidzieć przyszłości.
W celu zapewnienia ochrony danym osobistym lub biznesowym przed atakami za pośrednictwem exploitów eksperci z Kaspersky Lab zalecają następujące działania:
Dalsze szczegóły dotyczące tego tematu pojawią się wkrótce.
Analizy
Blog