Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Prognozy dotyczące zagrożeń w 2019 r.

Tagi:

Nie ma nic trudniejszego niż przewidywanie. Dlatego zamiast spoglądać w kryształową kulę stawiamy hipotezy w oparciu o ostatnie wydarzenia oraz trendy, które mogą zostać wykorzystane w nadchodzących miesiącach.

Pytając najinteligentniejsze spośród znanych mi osób i opierając scenariusz na atakach APT - ponieważ tradycyjnie to właśnie one charakteryzują się największą innowacyjnością jeśli chodzi o łamanie bezpieczeństwa - opracowałem najistotniejsze prognozy dotyczące tego, co może się zdarzyć w ciągu kolejnych kilku miesięcy.  

Ataki APT na dużą skalę przejdą już do historii

Co? Jak to możliwe, że w świecie, w którym każdego dnia wykrywamy coraz więcej ugrupowań cyberprzestępczych, pierwsza prognoza wydaje się wskazywać w kierunku zgoła przeciwnym?

Aby to wyjaśnić, trzeba zacząć od stwierdzenia, że branża bezpieczeństwa regularnie wykrywa wysoce-zaawansowane, sponsorowane przez rządy operacje, które wymagają wieloletnich przegotowań. W tej sytuacji logicznym posunięciem z perspektywy osób atakujących byłoby eksplorowanie nowych, jeszcze bardziej wyrafinowanych technik, które są znacznie trudniejsze do wykrycia i przypisania konkretnym ugrupowaniom cyberprzestępczym 

Można to robić na wiele różnych sposobów. Trzeba jedynie poznać techniki stosowane w branży bezpieczeństwa do identyfikowania sprawców oraz podobieństw między różnymi atakami i wykorzystywanymi w nich artefaktami – co nie jest żadną wielką tajemnicą. Prostym rozwiązaniem dla cyberprzestępców posiadającego wystarczające zasoby byłoby prowadzenie różnych grup działań, które trudno powiązać z tym samym ugrupowaniem czy operacją. Dysponujący odpowiednimi zasobami cyberprzestępcy mogliby podjąć nowe, innowacyjne operacje, nadal prowadząc stare. Naturalnie, wciąż istniałoby duże ryzyko wykrycia starych operacji, jednak wykrycie tych nowych stanowiłoby większe wyzwanie.     

Zamiast opracowywać bardziej wyrafinowane kampanie, niekiedy skuteczniejszym podejściem w przypadku ściśle określonych ugrupowań cyberprzestępczych posiadających odpowiednie możliwości wydaje się bezpośrednie atakowanie infrastruktury i firm, w których można „znaleźć” ofiary, np. dostawców usług internetowych. Niekiedy można to osiągnąć poprzez regulację, bez konieczności stosowania szkodliwego oprogramowania.

Niektóre operacje są po prostu przydzielane różnym zewnętrznym grupom i firmom, które wykorzystują różne narzędzia i techniki, co znacznie utrudnia identyfikację sprawców. Warto pamiętać, że w przypadku operacji sponsorowanych przez rządy, takie „wirowanie” zasobów oraz talentów może mieć wpływ na przyszłość tego typu kampanii. W tym scenariuszu możliwości techniczne i narzędzia są własnością sektora prywatnego i są oferowane na sprzedaż każdemu. W wielu przypadkach klienci nie rozumieją w pełni ani szczegółów technicznych, ani konsekwencji.   

Wszystko to sugeruje, że szansa na wykrycie nowych, wysoce zaawansowanych operacji jest nikła – wyposażeni w odpowiednie zasoby cyberprzestępcy prawdopodobnie przyjmą po prostu nowe paradygmaty.

Sprzęt sieciowy i Internet Rzeczy

Logika podpowiadała, że w którymś momencie każde ugrupowanie cyberprzestęcze będzie wykorzystywało możliwości i narzędzia ukierunkowane na atakowanie sprzętu sieciowego. Kampanie takie jak VPNFilter dobitnie pokazują, że osoby atakujące już zaczęły wykorzystywać swoje szkodliwe oprogramowanie w celu tworzenia wielozadaniowego „botnetu”. W tym konkretnym przypadku, mimo szerokiego rozpowszechnienia szkodnika minęło trochę czasu, zanim atak został wykryty. Jest to niepokojące, szczególnie jeśli spróbujemy sobie wyobrazić, co mogłoby się zdarzyć w przypadku bardziej ukierunkowanych operacji.

W rzeczywistości, posiadający odpowiednie zasoby cyberprzestępcy mogą pociągnąć ten pomysł jeszcze dalej: zamiast skupiać się na atakowanej organizacji, a czemu by nie zaatakować bezpośrednio jeszcze bardziej elementarną infrastrukturę? O ile nam wiadomo, ataki na tym poziomie nie zostały jeszcze zrealizowane, jednak znane z przeszłości incydenty (np. Regin) pokazują, jak kuszący jest ten poziom kontroli dla osoby atakującej.  

Luki w zabezpieczeniach sprzętu sieciowego pozwalają osobom atakującym pójść w różnych kierunkach. Mogą oni zdecydować się na masową kampanię w stylu botnetowym i wykorzystać stworzoną sieć w przyszłości do innych celów lub też skupić się na wybranych celach, przeprowadzając bardziej ukradkowe ataki. W drugiej grupie można uwzględnić ataki bez wykorzystania szkodliwego oprogramowania (malware-less), w których otwarcie tunelu sieci VPN w celu przekierowania ruchu mogłoby dostarczyć osobie atakującej wszelkie niezbędne informacje. 

Wszystkie te elementy sieciowe mogłyby również wejść w skład potężnego Internetu Rzeczy (przy postępującym wzroście botnetów w tym zakresie). Takie botnety stanowiłyby niewiarygodnie potężną broń, gdyby znalazły się w niewłaściwych rękach, która mogłaby zostać wykorzystana np. w celu zakłócenia infrastruktury krytycznej. Możliwość ta może zostać zrealizowana przez wyposażonych w odpowiednie zasoby cyberprzestępców, prawdopodobnie za pośrednictwem grupy działającej jako przykrywka lub w jakimś ataku terrorystycznym.    

Chociaż ostrzeżenie to pojawia się każdego roku, botnety Internetu Rzeczy rosną w siłę, dlatego nie wolno ich lekceważyć.

Publiczny odwet

Jedno z największych pytań w dziedzinie dyplomacji i geopolityki brzmiało „jak postępować wobec aktywnego cyberataku”. Odpowiedź nie jest prosta i w dużej mierze zależy między innymi od tego, jak jawny i poważny był dany atak. Jednak wydaje się, że od czasu takich ataków hakerskich, jak ten na Krajowy Komitet Partii Demokratycznej (ang. DNC), sytuacja stała się poważniejsza.

Dochodzenia prowadzone w związku z ostatnimi głośnymi atakami, takimi jak włamania hakerskie do Sony Entertainment Network czy atak na DNC, doprowadziły do powstania listy podejrzanych osób postawionych w stan oskarżenia. Efektem jest nie tylko fakt, że pewne osoby będą sądzone w procesie, ale również publiczne widowisko, w którym wskazuje się sprawców odpowiedzialnych za takie ataki. Sytuacja ta może zostać wykorzystana do wpływania na opinię, aby skonstruować argument na rzecz poważniejszych konsekwencji dyplomatycznych.        

Rosja poniosła już takie konsekwencje na skutek domniemanego ingerowania w procesy demokratyczne. Może to skłonić innych do ponownego przemyślenia tego rodzaju operacji w przyszłości.

Jednak największym sukcesem cyberprzestępców było wzbudzenie strachu, że coś takiego może się zdarzyć lub że już się zdarzyło. Teraz mogą wykorzystać ten strach, niepewność oraz wątpliwości na różne, subtelniejsze sposoby – widzieliśmy to już w niektórych operacjach, np. Shadowbrokers. Spodziewamy się kolejnych.

Co przyniesie przyszłość? Wcześniejsze operacje prawdopodobnie jedynie testowały możliwości propagandy. Uważamy, że to dopiero początek i że propaganda będzie wykorzystywana na różne sposoby, np. w tzw. operacjach pod fałszywą flagą, jak mogliśmy obserwować w przypadku kampanii Olympic Destroyer, w związku z która do tej pory nie wiadomo, jaki był ostateczny cel i co się zdarzyło.   

Pojawienie się nowych graczy

W pewnym uproszczeniu można powiedzieć, że świat APT ulega rozpadowi na dwie grupy: pierwsza to tradycyjne, wyposażone w odpowiednie zasoby i najbardziej zaawansowane ugrupowania cyberprzestępcze (które, według nas znikną), druga z kolei to pełni energii nowicjusze, którzy chcą wejść do gry.

Rzecz w tym, że bariera wejścia jeszcze nigdy nie była tak niska jak teraz, gdy istnieją setki niezwykle skutecznych narzędzi, przeprojektowanych exploitów oraz struktur wszelkiego rodzaju, które są dostępne do wykorzystania przez dowolną osobę. Dodatkowo, narzędzia te sprawiają, że identyfikacja sprawców jest prawie niemożliwa i mogą być łatwo dostosowane do indywidualnych potrzeb, jeśli zajdzie taka potrzeba. 

Można wyróżnić dwa regiony na świecie, w których tego rodzaju grupy stają się coraz liczniejsze: Azja Południowo-Wschodnia oraz Bliski Wschód. Tam właśnie obserwujemy szybki rozwój grup, które tradycyjnie wykorzystują socjotechnikę do atakowania lokalnych celów oraz żerują na słabym poziomie zabezpieczeń swoich ofiar oraz braku kultury bezpieczeństwa. Jednak wraz ze wzrostem poziomu obrony atakowanych celów wzrastają również możliwości ofensywne atakujących, co pozwala im rozszerzać swoje operacje na inne regiony dzięki poprawie poziomu technicznego stosowanych narzędzi. W tym scenariuszu narzędzi opartych na obsłudze skryptów możemy również wyróżnić wyłaniające się firmy świadczące usługi regionalne, które nieustannie udoskonalają swoje operacje.

Negatywne pierścienie

Rok pod znakiem exploitów Meltdown/Specter/AMDFlaws oraz wszystkich związanych z nimi lukami w zabezpieczeniach skłonił nas do ponownego zastanowienia się nad tym, gdzie w rzeczywistości „żyje” najniebezpieczniejsze szkodliwe oprogramowanie. I chociaż nie zidentyfikowaliśmy na wolności niemal żadnego szkodnika, który wykorzystywał luki w zabezpieczeniach poniżej trybu najwyższego poziomu (Ring 0), już sama możliwość jego istnienia budzi przerażenie, ponieważ byłby niewidoczny dla niemal wszystkich mechanizmów bezpieczeństwa, jakie posiadamy.   

W przypadku trybu SMM, od 2015 r. istnieje przynajmniej publicznie dostępna weryfikacja koncepcji (ang. PoC). SMM jest funkcją CPU, która zapewniłaby zdalny pełny dostęp do komputera, nie zezwalając nawet procesom w trybie Ring 0 na posiadanie dostępu do jego przestrzeni pamięci. To skłania nas do zastanowienia się nad tym, czy fakt, że dotąd nie znaleźliśmy żadnego szkodliwego oprogramowania, które wykorzystywałoby tę funkcję, nie wynika po prostu z tego, że jest ono trudne do  wykrycia. Wykorzystanie tej funkcji wydaje się być zbyt dobrą okazją, aby nie spróbować z niej skorzystać, dlatego jesteśmy przekonani, że od lat kilka grup próbuje wykorzystać te mechanizmy, i być może nawet skutecznie.        

Podobna sytuacja dotyczy szkodliwego oprogramowania dla wirtualizacji/hypervisora czy interfejsu UEFI. Widzieliśmy weryfikacje koncepcji dla obu, a grupa HackingTeam udostępniła nawet moduł przetrwania w UEFI, który istnieje od co najmniej 2014 r., jednak jak dotąd nie zidentyfikowano rzeczywistych przykładów na wolności.   

Czy kiedykolwiek znajdziemy tego typu „nosorożce”? Czy nie zostały jeszcze wykorzystane? To ostatnie wydaje się mało prawdopodobne.

Twój ulubiony wektor infekcji

Prawdopodobnie najmniej zaskakująca prognoza w całym artykule będzie dotyczyć phishingu ukierunkowanego, o którym chcielibyśmy powiedzieć kilka słów. Uważamy, że ten najskuteczniejszy w historii wektor infekcji nabierze w najbliższej przyszłości jeszcze większego znaczenia. Kluczem do sukcesu tej metody pozostaje możliwość wzbudzenia ciekawości ofiary, a niedawne masowe wycieki danych z różnych platform portali społecznościowych mogą pomóc osobom atakującym w udoskonaleniu tej metody.   

Dane zdobyte w wyniku ataków na gigantów mediów społecznościowych takich jak Facebook, Instagram, LinkedIn czy Twitter są dostępne na rynku i każdy może je kupić. W niektórych przypadkach wciąż nie wiadomo, jakie dane były celem osób atakujących, ale mogły one obejmować prywatne wiadomości lub nawet dane uwierzytelniające. To prawdziwy skarbiec dla tych, którzy stosują socjotechnikę. Osoba atakująca mogłaby np. wykorzystać skradzione dane uwierzytelniające jednego z Twoich bliskich kontaktów, aby udostępnić w mediach społecznościowych coś, o czym wcześniej dyskutowaliście prywatnie, tym samym znacząco zwiększając szanse udanego ataku. 

Takie podejście może być łączone z tradycyjnymi technikami wywiadowczymi, w których osoby atakujące dokładnie sprawdzają cel, aby mieć pewność, że ofiara jest właściwa, minimalizując tym samym dystrybucję szkodliwego oprogramowania i jego wykrycie. Jeżeli chodzi o załączniki, standardem jest nawiązywanie interakcji ludzkiej, zanim rozpocznie się jakąkolwiek szkodliwą działalność, aby obejść systemy automatycznego wykrywania.     

Znanych jest kilka inicjatyw wykorzystania uczenia maszyn w celu zwiększenia skuteczności phishingu. Wciąż nie wiadomo, jakie efekty przyniosłoby to w rzeczywistym ataku phishingowym, nie ma jednak wątpliwości, że połączenie wszystkich tych czynników sprawi, że phishing ukierunkowany będzie stanowił niezwykle skuteczny wektor infekcji w kolejnych miesiącach, zwłaszcza z wykorzystaniem mediów społecznościowych.  

Destrukcyjny Destroyer

Olympic Destroyer stanowił jeden z najbardziej znanych przypadków potencjalnie destrukcyjnego szkodliwego oprogramowania w zeszłym roku, niemniej jednak wielu cyberprzestępców regularnie wykorzystuje podobne funkcje w swoich kampaniach. Destrukcyjne ataki dają cyberprzestępcom kilka korzyści, w szczególności mogą być wykorzystywane do odwrócenia uwagi oraz pozwalają usunąć logi lub ślady pozostawione po ataku. Lub po prostu stanowią nieprzyjemną niespodziankę dla ofiary.

Niektóre z tych destrukcyjnych ataków posiadają geostrategiczne cele związane z aktualnymi konfliktami (tak jak mogliśmy to obserwować w przypadku Ukrainy) lub z interesami politycznymi (jak w przypadku ataków wymierzonych w kilka spółek naftowych w Arabii Saudyjskiej). W innych przypadkach, mogą być wynikiem haktywizmu lub aktywności ugrupowania zastępczego, które jest wykorzystywane przez potężniejszy podmiot chcący pozostać w cieniu.   

W każdym razie, kluczem do tych ataków jest fakt, że są zbyt użyteczne, aby nie sięgać po nie. W kontekście odwetu mogą być zastosowane przez rządy jako półśrodek pomiędzy odpowiedzią dyplomatyczną a wojną. W rzeczywistości niektóre rządy eksperymentują już z nimi. Większość takich ataków jest planowana z wyprzedzeniem, co obejmuje wstępny etap rekonesansu i włamania się. Nie wiemy, ile potencjalnych ofiar znajduje się w sytuacji, gdy wszystko jest już gotowe, czekając tylko na sygnał, lub co osoby atakujące posiadają jeszcze w swoim arsenale, czekając na rozkaz ataku.     

Szczególnie podatne na tego rodzaju ataki są środowiska systemów kontroli przemysłowej oraz infrastruktura krytyczna. I chociaż branża oraz rządy włożyły wiele wysiłku w ciągu ostatnich kilku lat, aby poprawić sytuację, nadal jest wiele do zrobienia. Dlatego uważamy, że chociaż tego typu ataki nigdy nie będą powszechne, w przyszłym roku możemy spodziewać się kilku, szczególnie w ramach zemsty za decyzje polityczne.  

Zaawansowany łańcuch dostaw

Jest to jeden z najbardziej niepokojących wektorów ataków, skutecznie wykorzystywany w ciągu ostatnich dwóch lat. Skłonił firmy do zastanowienia się, z iloma dostawcami współpracują i jak bardzo są oni bezpieczni. Tak naprawdę nie ma łatwej odpowiedzi na tego rodzaju atak.    

Chociaż jest to doskonała metoda w przypadku atakowania całej branży (podobna do ataków metodą watering hole) lub nawet całego kraju (jak mogliśmy zaobserwować w przypadku NotPetya), nie sprawdza się już tak dobrze w przypadku bardziej ukierunkowanych ataków, ponieważ ryzyko wykrycia jest tu wyższe. Odnotowaliśmy również próby ataków masowych, takie jak wstrzykiwanie szkodliwego kodu do publicznych repozytoriów dla wspólnych bibliotek. Ta druga technika może być przydatna w  zsynchronizowanych czasowo atakach, kiedy to tego rodzaju biblioteki są wykorzystywane w konkretnym projekcie, a szkodliwy kod jest następnie usuwany z repozytorium. 

Czy taki atak może być wykorzystywany w bardziej ukierunkowany sposób? W przypadku oprogramowania, wydaje się to trudne, ponieważ wszędzie pozostaną ślady, a szkodliwe oprogramowanie zostanie prawdopodobnie rozprzestrzenione do kilku klientów. Bardziej realistyczne byłoby to w przypadkach, gdy dostawca pracuje wyłącznie dla określonego klienta.

A co z implantami sprzętowymi? Czy rzeczywiście są możliwe? Ostatnio stały się przedmiotem kontrowersji. Chociaż ujawnione przez Snowdena dokumenty pokazują, w jaki sposób można manipulować sprzętem, zanim trafi do rąk klienta, wydaje się, że dokonać tego mogą jedynie bardzo potężne ugrupowania. A nawet one będą ograniczone kilkoma czynnikami. 

Jednak w przypadkach, gdy znany jest klient w konkretnym zamówieniu, lepszym rozwiązaniem może być manipulowanie sprzętem u źródła zamiast w drodze do klienta.

Trudno sobie wyobrazić, jak można obejść wszystkie kontrole techniczne na przemysłowej linii produkcyjnej i w jaki sposób można dokonać takiej manipulacji. Nie chcemy odrzucać tej ewentualności, jednak wymagałoby to prawdopodobnie współpracy z producentem.

Podsumowując, ataki na łańcuch dostaw stanowią skuteczny wektor infekcji, który nadal będzie wykorzystywany. Jeśli chodzi o implanty sprzętowe, uważamy, że taki scenariusz jest bardzo mało prawdopodobny, a jeśli już zostanie urzeczywistniony, prawdopodobnie nigdy się nie dowiemy…

Szkodniki mobilne

Temat ten pojawia się w prognozach każdego roku. Jest oczywiste, że wszystkie ugrupowania cyberprzestępcze posiadają komponenty mobilne w swoich kampaniach; nie ma sensu atakować wyłącznie komputery PC. W rzeczywistości możemy znaleźć wiele przykładów artefektów dla Androida, ale również kilka usprawnień w zakresie atakowania systemu iOS.

Chociaż skuteczne infekcje iPhone’a wymagają połączenia kilku luk dnia zerowego, należy pamiętać, że wyposażone w odpowiednie zasoby ugrupowania cyberprzestępcze mogą zapłacić za taką technologię i wykorzystać ją w krytycznych atakach. Niektóre prywatne firmy twierdzą, że są w stanie uzyskać dostęp do dowolnego iPhone’a, który znajdzie się fizycznie w ich posiadaniu. Inne, mniej zasobne ugrupowania, mogą znaleźć kreatywne sposoby obejścia ochrony na takich urządzeniach. Mogą na przykład wykorzystać fałszywe serwery MDM i poprosić swoje „cele” za pośrednictwem socjotechniki o użycie ich w swoich urządzeniach, umożliwiając tym samym osobom atakującym zainstalowanie szkodliwych aplikacji.          

Jeśli chodzi o przyszłość, być może przekonamy się, czy kod rozruchowy dla systemu iOS, który wyciekł na początku roku, przyniósł cyberprzestępcom jakąkolwiek korzyść, czy też znajdą oni nowe sposoby wykorzystania go.  

W każdym razie, nie oczekujemy żadnego przełomu jeśli chodzi o mobilne ukierunkowane szkodliwe oprogramowanie, spodziewamy się jednak nieprzerwanej aktywności zaawansowanych ugrupowań cyberprzestępczych ukierunkowanej na znalezienie sposobów uzyskania dostępu do atakowanych urządzeń. 

A poza tym…

Jeśli chodzi o bardziej futurystyczne scenariusze, co jeszcze mogą wymyśleć cyberprzestępcy? W dziedzinie wojskowej mogłoby to być zastąpienie słabych, popełniających błędy ludzi czymś bardziej mechanicznym. Nawiązując do rzekomych agentów GRU, którzy w kwietniu zostali wydaleni z Holandii w związku z próbą włamania się do sieci Wi-Fi Organizacji ds. Zakazu Broni Chemicznej, mogłoby to być np. wykorzystanie dronów zamiast ludzi podczas przeprowadzania ataków hakerskich z niewielkiego dystansu.

A może umieszczanie „tylnych drzwi” (backdooring) w jednym spośród setek projektów kryptowalutowych w celu gromadzenia danych lub nawet uzyskania korzyści finansowych?

Wykorzystanie dowolnego produktu cyfrowego w praniu brudnych pieniędzy? A może wykorzystanie zakupów związanych z grami, a następnie sprzedaż takich kont? 

Istnieje tak wiele możliwości, że nie sposób przewidzieć, jak będzie rzeczywistość. Złożoność środowiska uniemożliwia jego pełne zrozumienie. Możliwe są specjalistyczne ataki w różnych obszarach. W jaki sposób można wykorzystać wewnętrzny system międzybankowy giełdy papierów wartościowych w celu dokonania nadużyć? Nie mam pojęcia. Nie jestem nawet pewny, czy taki system istnieje. To tylko jeden z przykładów, jak dużo zależy od wyobraźni osób stojących za takimi kampaniami.    

Naszym zadaniem jest spróbować przewidzieć i zrozumieć ataki, których nie rozumiemy, i zapobiec im.