Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin:
Prognozy Kaspersky Lab dotyczące zagrożeń na 2018 rok

Tagi:

Wprowadzenie

Jakkolwiek trudno w to uwierzyć, pora na kolejne Prognozy dotyczące zagrożeń APT. Analiza  roku 2017 w pełni uwydatnia wewnętrzny konflikt związany z pracą badacza bezpieczeństwa: z jednej strony, każde nowe wydarzenie stanowi dla nas nową, ekscytującą możliwość badań, ponieważ to, co stanowiło kiedyś jedynie problem teoretyczny, znajduje namacalne odzwierciedlenie w rzeczywistości. Dzięki temu możemy zrozumieć rzeczywistą powierzchnię ataków oraz taktyki stosowane przez osoby atakujące, jak również szlifować nasze umiejętności w zakresie tropienia i wykrywania zagrożeń w celu walki z nowymi atakami. Z drugiej strony, jako osoby szczególnie zainteresowane ogólną postawą użytkowników wobec bezpieczeństwa, każde wydarzenie traktujemy jako poważniejszą katastrofę. Zamiast postrzegać każde nowe włamanie jako kolejny przykład tego samego, widzimy coraz większy, skumulowany brak bezpieczeństwa, który dotyczy zarówno użytkowników, handlu elektronicznego jak i instytucji finansowych i rządowych.           

Tak jak stwierdziliśmy w zeszłym roku, nasze prognozy nie są przejawem chęci zareklamowania się, ale próbą wykorzystania badań prowadzonych w ciągu roku w celu opracowania trendów, które prawdopodobnie nasilą się w nadchodzącym roku.

Nasze prognozy – czy okazały się trafne?

Jako skrótową „tabelę wyników” dotyczących naszej działalności w zeszłym roku przedstawiamy niektóre z prognoz dotyczących 2017 roku wraz z przykładami, jeśli występują:

Szpiegostwo i ataki APT:

  • Modne stają się pasywne implanty, które nie wykazują niemal żadnych oznak infekcji

Tak – https://securelist.com/unraveling-the-lamberts-toolkit/77990/

  • Ulotne infekcje / szkodliwe oprogramowanie oparte na pamięci

Tak– https://securelist.com/fileless-attacks-against-enterprise-networks/77403/

  • Szpiegostwo staje się mobilne

Tak – https://android-developers.googleblog.com/2017/04/an-investigation-of-chrysaor-malware-on.html

 

Ataki finansowe:

  • Przyszłość ataków finansowych

Tak– https://securelist.com/lazarus-under-the-hood/77908/

 

Ransomware:

  • Nieuczciwe, kłamliwe ransomware

Tak– https://securelist.com/schroedingers-petya/78870/

 

Zagrożenia przemysłowe:

 

Internet Rzeczy:

  • Zmieni się w Internet Niedziałających Rzeczy

Tak! BrickerBot– https://arstechnica.com/information-technology/2017/04/brickerbot-the-permanent-denial-of-service-botnet-is-back-with-a-vengeance/

 

Wojny informacyjne:

 

Czego możemy spodziewać się z 2018 roku?

1.       Więcej ataków na łańcuch dostaw. Globalny zespół ds. badań i analiz firmy Kaspersky Lab śledzi ponad 100 ugrupowań i operacji APT (zaawansowane długotrwałe zagrożenie). Niektóre z nich są niezwykle wyrafinowane i posiadają bogate arsenały, które zawierają exploity dnia zerowego jak również narzędzia do ataków bezplikowych, oraz łączą tradycyjne ataki hakerskie z modelem, w którym obsługa etapu wyprowadzania danych zlecana jest bardziej wyrafinowanym zespołom. Obserwowaliśmy wiele przypadków, gdy ugrupowania stosujące zaawansowane zagrożenia długo próbowały włamać się do określonego celu, jednak za każdym razem bezskutecznie. Niepowodzenie tych ataków mogło wynikać z różnych przyczyn: na przykład, cel ataków wykorzystywał mocne pakiety bezpieczeństwa internetowego, przeszkolił swoich pracowników, jak nie paść ofiarą socjotechniki, lub świadomie stosował australijskie strategie DSD TOP35 dotyczące łagodzenia skutków ataków APT. Ogólnie, ugrupowanie, które jest zarówno zaawansowane jak i uporczywe, nie podda się tak łatwo – będzie atakowało zabezpieczenia dopóty, dopóki nie znajdzie sposobu przeniknięcia do wewnątrz.    

Kiedy wszystko inne zawiedzie, prawdopodobnie zrobi krok w tył i ponownie oceni sytuację. Na tym etapie może zdecydować, że zamiast próby bezpośredniego włamania się skuteczniejszy będzie atak na łańcuch dostaw. Podmiot stanowiący cel ataku – nawet jeśli w jego sieci stosowane są najlepsze zabezpieczenia na świecie - może używać oprogramowania innych producentów. Ten producent może być łatwiejszym celem i może zostać wykorzystany do zaatakowania lepiej zabezpieczonego przedsiębiorstwa stanowiącego pierwotny cel.

W 2017 roku obserwowaliśmy kilka takich przypadków, łącznie z poniższymi:

  1. Shadowpad
  2. CCleaner
  3. ExPetr / NotPetya

Tego rodzaju ataki mogą być niezwykle trudne do zidentyfikowania czy złagodzenia. Na przykład, w przypadku ataku Shadowpad, osoby atakujące zdołały zainfekować trojanem wiele pakietów firmy Netsarang, które były powszechnie wykorzystywane na całym świecie, w tym w bankach, dużych przedsiębiorstwach czy w innych branżach przemysłowych. Różnica między czystymi a zainfekowanymi trojanami pakietami może być bardzo trudna do wychwycenia – w wielu przypadkach, te drugie zdradza ruch centrum kontroli.

W przypadku ataku CCleaner, oszacowano, że zainfekowaną aktualizację otrzymały ponad 2 miliony komputerów,  przez co stanowił on jeden z największych ataków 2017 roku. Analiza szkodliwego kodu CCleanera pozwoliła powiązać go z kilkoma innymi backdoorami, o których wiadomo, że zostały wcześniej wykorzystane przez ugrupowania APT tworzące „Axiom umbrella”, np. ugrupowanie APT17 znane również jako Aurora. Świadczy to o tym, że ugrupowania APT są gotowe podjąć większe wysiłki, aby osiągnąć swoje cele.  

Sądzimy, że liczba obecnych ataków na łańcuch dostaw może być znacznie wyższa niż ta, którą znamy, ponieważ nie wszystkie ataki zostały zidentyfikowane. W 2018 roku spodziewamy się wzrostu liczby ataków na łańcuch dostaw. Tzw. „trojanizowanie” wyspecjalizowanego oprogramowania wykorzystywanego w określonych regionach i branżach będzie stanowiło taktykę analogiczną do tzw. ataków przy wodopoju (ang. waterholing), czyli infekowania szkodliwym oprogramowaniem stron internetowych, które są często odwiedzane przez określoną grupę ofiar, a tym samym okaże się niezwykle kuszące dla określonych typów osób atakujących.    

2.     Więcej mobilnego szkodliwego oprogramowania wysokiej jakości. W sierpniu 2016 roku CitizenLab oraz Lookout opublikowały swoje analizy dotyczące wykrycia wyrafinowanej mobilnej platformy szpiegowskiej o nazwie Pegasus. Pegasus (tzw. pakiet oprogramowania służący do „legalnego przechwytywania”) jest sprzedawany rządom oraz innym podmiotom przez izraelską firmę o nazwie NSO Group. W połączeniu z exploitami dnia zerowego, które potrafią zdalnie obejść zabezpieczenia współczesnych mobilnych systemów operacyjnych, takich jak iOS, jest to potężny system, wobec którego istnieje niewielka możliwość obrony. W kwietniu 2017 roku Google opublikował swoją analizę powstałej dla Androida wersji oprogramowania szpiegującego Pegasus, określanej jako Chrysaor. Oprócz oprogramowania spyware służącego do „legalnej inwigilacji”, którego przykładem jest jak Pegasus czy Chrysaor, wiele innych ugrupowań APT opracowało swoje własne mobilne implanty szkodliwego oprogramowania.               

Ponieważ introspekcja w systemie iOS jest zablokowana, użytkownik ma praktycznie związane ręce, jeśli chodzi o sprawdzenie, czy jego telefon został zainfekowany. Chociaż Andoid jest bardziej podatny na ataki, system ten znajduje się w lepszej sytuacji, gdyż dostępne są dla niego produkty bezpieczeństwa, takie jak Kaspersky AntiVirus for Android.   

Sądzimy, że łączna ilość mobilnego szkodliwego oprogramowania występującego na wolności jest prawdopodobnie wyższa niż wynika to z obecnych raportów, ze względu na niedoskonałości telemetrii, które utrudniają wykrycie i wyeliminowanie tego rodzaju oprogramowania. Szacujemy, że w 2018 roku wzrośnie ilość wykrywanego wysokiej jakości szkodliwego oprogramowania APT przeznaczonego dla urządzeń mobilnych, zarówno na skutek wzrostu liczby ataków jak i udoskonalenia technologii bezpieczeństwa tworzonych w celu wykrywania takich zagrożeń.

3.      
Więcej włamań typu BeEF z profilowaniem sieci WWW. W wyniku zwiększonego zainteresowania oraz ulepszonych technologii bezpieczeństwa i łagodzenia zagrożeń, które są domyślnie implementowane w systemach operacyjnych, ceny exploitów dnia zerowego gwałtownie wzrosły w 2016 i 2017 roku. Na przykład, najnowsza tabela wypłat Zerodium oferuje do 1 500 000 dolarów za całkowite, zdalne zdjęcie zabezpieczeń systemowych iPhone’a (iOS) przy użyciu długotrwałego ataku, czyli „zdalnej infekcji bez żadnej interakcji ze strony użytkownika”. 

xxx_auto.png

Niewiarygodne ceny, jakie niektórzy klienci rządowi bez wątpienia zgodzili się zapłacić za te exploity, oznaczają, że coraz większą uwagę zwraca się na ochronę exploitów przed przypadkowym ujawnieniem. Jednocześnie bardziej rzetelnie przeprowadzana jest faza rekonesansu, która poprzedza dostarczanie właściwych komponentów ataku. Faza rekonesansu może na przykład obejmować identyfikację dokładnych wersji przeglądarki wykorzystywanej przez cel ataku, jego systemu operacyjnego, wtyczek oraz innego oprogramowania osób trzecich. Osoba atakująca, która jest wyposażona w taką wiedzę, może wykorzystać w odpowiednich przypadkach exploity „1-day” lub „N-day” zamiast swoich klejnotów koronnych.     

Tego rodzaju techniki profilowania pasowały do sposobu działania takich ugrupowań APT jak Turla, Sofacy czy Newsbeef (które znane jest również jako Newscaster, Ajax hacking team, oraz „Charming Kitten”), jak również innych ugrupowań znanych z niestandardowych modeli profilowania, np. Scanbox. Biorąc pod uwagę rozpowszechnienie takich modeli w połączeniu z coraz większą potrzebą ochrony drogich narzędzi, szacujemy, że w 2018 roku zwiększy się wykorzystywanie narzędzi do profilowania takich jak „BeEF” i więcej grup będzie stosowało publicznie dostępne modele  lub rozwijało własne.    

4.       Wyrafinowane ataki UEFI i BIOS. Unified Extensible Firmware Interface (UEFI) to interfejs oprogramowania, który pełni rolę pośrednika między firmware’m a systemem operacyjnym na współczesnych komputerach PC. Ustanowiony w 2005 roku w wyniku współpracy między wiodącymi twórcami oprogramowania i sprzętu, z których najbardziej znanym jest Intel, szybko zastępuje on przestarzały standard BIOS. Zawdzięcza to wielu zaawansowanym funkcjom, których nie posiada BIOS: na przykład, możliwość instalowania i uruchamiania plików wykonywalnych, możliwości połączenia z Internetem, kryptografia, architektura i sterowniki niezależne od procesora itd. Te same zaawansowane możliwości, które sprawiają, że UEFI jest tak atrakcyjną platformą, jednocześnie otwierają drogę nowym lukom w zabezpieczeniach, które nie istniały w dobie mniej elastycznego BIOS-u. Na przykład, możliwość uruchomienia niestandardowych modułów wykonywalnych pozwala stworzyć szkodliwe oprogramowanie, które zostałoby uruchomione przez UEFI bezpośrednio, zanim szansę na uruchomienie się miałoby jakiekolwiek rozwiązanie bezpieczeństwa, a nawet sam system operacyjny.      

O istnieniu szkodliwego oprogramowania dla UEFI klasy komercyjnej wiadomo od 2015 roku, gdy wykryto moduły UEFI Hacking team. Dziwi zatem fakt, że jak dotąd nie znaleziono żadnego znaczącego szkodliwego oprogramowania dla UEFI. Tłumaczymy to trudnością rzetelnego wykrywania takich programów. Szacujemy, że w 2018 roku wykrytych zostanie więcej szkodliwych programów opartych na UEFI.   

5.       Ciąg dalszy destrukcyjnych ataków. Na początku listopada 2016 roku Kaspersky Lab zaobserwował nową falę ataków wiper skierowanych przeciwko różnym celom na Bliskim Wschodzie. Wykorzystane w nowych atakach szkodliwe oprogramowanie stanowiło wariant niesławnego robaka Shamoon, który zaatakował Saudi Aramco oraz Rasgas jeszcze w 2012 roku. Pozostający w uśpieniu przez cztery lata, jeden z najbardziej tajemniczych wiper’ów w historii powrócił. Znany również jako Disttrack, Shamoon to niezwykle destrukcyjna rodzina szkodliwego oprogramowania, która skutecznie czyści maszynę ofiary. Do ataku na Saudi Aramco przyznało się ugrupowanie o nazwie „Cutting Sword of Justice”, które opublikowało wiadomość za pośrednictwem Pastebin w dniu ataku (w 2012 roku) uzasadniając akcję jako posunięcie przeciwko monarchii saudyjskiej.  

Ataki Shamoon 2.0 w listopadzie 2016 roku były wymierzone w organizacje z różnych sektorów krytycznych i gospodarczych w Arabii Saudyjskiej. Podobnie jak poprzedni wariant, wiper Shamoon 2.0 dąży do masowej destrukcji systemów wewnątrz zaatakowanych organizacji. Podczas badania ataków Shamoon 2.0 Kaspersky Lab wykrył również nieznane wcześniej szkodliwe oprogramowanie typu wiper, które atakuje organizacje w Arabii Saudyjskiej. Nadaliśmy mu nazwę StoneDrill i zdołaliśmy powiązać go z dużym stopniem pewności z ugrupowaniem Newsbeef APT.   

Poza atakami Shamoon i Stonedrill, rok 2017 był trudnym okresem jeśli chodzi o destrukcyjne ataki. Atak ExPetr/NotPetya, który początkowo uważany był za oprogramowanie ransomware, również okazał się sprytnie zakamuflowanym wiperem. Po ataku ExPetr pojawiły się kolejne fale ataków „ransomware”, w których szanse ofiar na odzyskanie danych były niewielkie; wszystkie z nich były wiperami sprytnie zamaskowanymi jako ransomware. Jednym z mniej znanych faktów dotyczących „wiperów jako oprogramowania ransomware” jest być może to, że fala podobnych ataków została zaobserwowana w 2016 r., a odpowiadało za nią ugrupowanie APT CloudAtlas, które wykorzystało „wipery jako ransomware” przeciwko instytucjom finansowym w Rosji.  

Szacujemy, że w 2018 roku liczba destrukcyjnych ataków nadal będzie rosła, zwiększając swój status najbardziej widocznego rodzaju cyberbronii.

6.       Więcej sabotażu kryptografii. W marcu 2017 roku opracowane przez agencję NSA propozycje schematu szyfrowania Internetu Rzeczy (IoT) stanęły pod znakiem zapytania po tym, jak zgody dotyczące standaryzacji technik szyfrowania Simon oraz Speck zostały zarówno cofnięte jak i po raz drugi opóźnione.  

W sierpniu 2016 r. Juniper Networks poinformował o wykryciu dwóch tajemniczych backdoorów  w swoich zaporach sieciowych NetScreen. Najciekawszym z nich była niezwykle subtelna zmiana stałych wykorzystywanych w generatorze liczb losowych Dual_EC, dzięki której posiadająca odpowiednią wiedzę osoba atakująca byłaby w stanie odszyfrować ruch VPN z urządzeń NetScreen. Oryginalny algorytm Dual_EC został zaprojektowany przez agencję NSA i wprowadzony za pośrednictwem jej instytucji NIST. Jeszcze w 2013 roku doniesienie Reutersa sugerowało, że agencja NSA zapłaciła firmie RSA 10 milionów dolarów, aby ta umieściła jej podatny na ataki algorytm w swoich produktach. Mimo że teoretyczna możliwość istnienia „tylnej furtki” została wskazana już w 2007 roku, kilka firm (w tym Juniper), nadal wykorzystywało ten algorytm z innym zestawem stałych, dzięki czemu był on teoretycznie bezpieczny. Wygląda na to, że ten inny zestaw stałych tak bardzo nie spodobał się pewnemu ugrupowaniu APT, że włamało się ono do firmy Juniper, zmieniając stałe na zestaw, który mogło kontrolować i wykorzystywać w celu odszyfrowania połączeń VPN.             

Działania te nie pozostały niezauważone. We wrześniu 2017 roku międzynarodowa grupa ekspertów w dziedzinie kryptografii przekonała agencję NSA do wycofania dwóch nowych algorytmów szyfrowana, której standardyzację planowała.   

W październiku 2017 roku pojawiły się informacje o błędzie w bibliotece kryptograficznej wykorzystywanej przez Infineon w swoich czipach sprzętowych w celu generowania primów RSA. Chociaż błąd ten wydaje się być niezamierzony, pozostaje pytanie o bezpieczeństwo technologii szyfrowania wykorzystywanych w codziennym życiu, od kart inteligentnych, poprzez sieci bezprzewodowe po zaszyfrowany ruch sieciowy. Przewidujemy, że w 2018 roku zidentyfikowane i (miejmy nadzieję) załatane zostaną poważniejsze luki w zabezpieczeniach kryptograficznych, zarówno to w samych standardach jak i konkretnych implementacjach.

7.       Kryzys tożsamości w handlu elektronicznym. Przez ostatnie kilka lat obserwowaliśmy coraz krytyczniejsze, przeprowadzane na dużą skalę włamania prowadzące do naruszenia bezpieczeństwa informacji identyfikowalnych osobowo. Najnowszym z nich jest incydent Equifax, który dotknął ponoć 145,5 miliona Amerykanów. Chociaż wiele osób znieczuliło się już na tego typu incydenty, należy zwrócić uwagę na to, że masowe upublicznienie tego typu danych zagraża podstawowemu filarowi handlu elektronicznemu oraz biurokratycznej wygodzie wykorzystywania internetu do wykonywania istotnej pracy papierkowej. Bez wątpienia, oszustwa i kradzież tożsamości stanowią problem od dłuższego czasu. Co jednak, gdy podstawowe informacje identyfikujące będą tak powszechnie dostępne, że nie będzie można już na nich polegać? Instytucje handlowe i rządowe (szczególnie w Stanach Zjednoczonych) staną wobec wyboru: albo ograniczyć współczesną wygodę wykorzystywania internetu w celu wykonywania operacji, albo zwiększyć wykorzystywanie innych rozwiązań wieloskładnikowych. Być może znacznie bardziej odporne alternatywy, takie jak ApplePay, zyskają popularność jako sposób zabezpieczenia tożsamości i transakcji. Jednak do tego czasu podważona może zostać krytyczna rola internetu w zakresie modernizacji żmudnych procesów biurokratycznych oraz obniżenia kosztów operacyjnych.  

8.       Więcej ataków hakerskich na rutery i modemy. Inny znany obszar podatności na ataki, który w ogromnej mierze pozostaje ignorowany, stanowią rutery i modemy. Czy to w domu czy w przedsiębiorstwie tego rodzaju sprzęt jest wszechobecny, jest niezwykle istotny dla wykonywania codziennych operacji i zwykle zawiera niestandardowe oprogramowanie, które pozostaje niezałatane i niezabezpieczane. Te niewielkie komputery z założenia „są zwrócone na internet”, a przez to znajdują się w krytycznym miejscu dla osoby atakującej, zdeterminowanej uzyskać długotrwały i ukradkowy dostęp do sieci. Ponadto, jak pokazują niektóre niedawne badania, w pewnych przypadkach osoby atakujące mogą nawet podawać się za innych interneutów, kierując trop w zupełnie inną stronę. W czasach rosnącego zainteresowania mylnymi tropami i fałszywymi flagami nabiera to szczególnego znaczenia.       

9.       Środek na chaos społeczny. Wyłączając wycieki i polityczny dramat w związku z nasilającym się od zeszłego roku upodobaniem do wojny cybernetycznej, stopień upolitycznienia roli samych mediów społecznościowych przekroczył nasze najśmielsze prognozy. Czy to za sprawą ekspertów politycznych czy niejasnych żartobliwych przytyków twórców South Park pod adresem CEO Facebooka, uwaga zwróciła się w kierunku różnych gigantów w branży mediów społecznościowych, domagając się wprowadzenia weryfikacji faktów oraz identyfikacji fałszywych użytkowników oraz botów próbujących wywierać nadmierny wpływ społeczny.  Niestety, staje się oczywiste, że portale te (które opierają swój sukces na kwantyfikowalnych miernikach takich jak „dzienna liczba aktywnych użytkowników”) mają niewielki interes w tym, żeby naprawdę oczyścić swoją bazę użytkowników z botów. Spodziewamy się, że w miarę jak będzie dochodziło do kolejnych oczywistych nadużyć, a duże sieci botów staną się dostępne dla szerszych grup politycznie podejrzanych typów, odbije się to na korzystaniu z portali społecznościowych, gdyż zniechęceni użytkownicy będą chętnie szukali alternatyw wobec dotychczasowych gigantów, którzy dla podbijania zysków i kliknięć nie zważają na nadużycia.   

 

Prognozy dotyczące zagrożeń APT – zakończenie

W 2017 roku prognozowaliśmy koniec oznak włamania. W 2018 roku spodziewamy się, że zaawansowani cyberprzestępcy wykorzystają swoje mocne strony, doskonaląc nowe narzędzia i kierując się opisanymi wyżej motywami. Typowe dla danego roku tematy i trendy nie powinny być rozpatrywane w odosobnieniu, gdyż oddziałują one na siebie nawzajem, wzbogacając coraz większy krajobraz zagrożeń dotyczących wszelkiego rodzaju użytkowników, zarówno indywidualnych, biznesowych jak i rządowych. Jedynym logicznym sposobem na te ataki jest współdzielenie i umiejętne stosowanie wysokiej jakości analityki zagrożeń.