Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2015. Prognozy na 2016 r.: Koniec ataków APT, jakie znamy

Tagi:

Wprowadzenie

Zbliżający się koniec roku stanowi okazję do analizy ewolucji branży oraz sformułowania prognoz dotyczących nadchodzących lat. Podczas spotkania naszych ekspertów z Globalnego Zespołu ds. Badań i Analiz oraz specjalistów zajmujących się badaniami nad ochroną przed szkodliwym oprogramowaniem przedstawialiśmy swoje koncepcje, a ja miałem zaszczyt wybrania tych, które najbardziej zasługują na uwagę i są najbardziej realne zarówno jeśli chodzi o nadchodzący rok jak i bardziej odległą przyszłość. Perspektywa naszej szybko rozwijającej się dziedziny badań daje wiele do myślenia i nadal będzie dostarczała nam interesujących wyzwań. Trzymając się czystych wskaźników, możemy pominąć tradycyjne straszenie rodem z filmów science-fiction i przedstawić kilka prognoz zarówno krótkoterminowych jak i długoterminowych.

klp_prognozy_2016_auto.jpg         

Ugrupowania APT

Dochodowość cyberszpiegostwa nie umknęła uwadze naszych wrogów i – tak jak się spodziewaliśmy – na scenie zaczęli pojawiać się najemnicy. Tendencja ta może się jedynie wzmocnić, aby zaspokoić zapotrzebowanie zarówno ze strony firm jak i ugrupowań APT chcących zlecić na zewnątrz mniej krytyczne zadania bez narażania swoich narzędzi oraz infrastruktury. Moglibyśmy ukuć termin „APT jako usługa”, ale - co wydaje się ciekawsze – możemy spodziewać się, że ewolucja ataków ukierunkowanych doprowadzi do powstania modelu „dostęp jako usługa”. Ten ostatni pociągnie za sobą sprzedaż dostępu do znanych celów, które padły już ofiarą najemników.   

Spoglądając dalej w przyszłość cyberszpiegostwa, przewidujemy, że członkowie ugrupowań APT wyjdą z cienia. Zjawisko to będzie przebiegać w jednej z dwóch form: pierwsza będzie dotyczyła sektora prywatnego i rozpowszechnienia „hakowania w odwecie”, w drugim przypadku tacy cyberprzestępcy będą dzielili się swoją wiedzą z szerszym środowiskiem bezpieczeństwa informacji, być może poprzez udział w naszych konferencjach, aby przedstawić drugą stronę historii. Tymczasem możemy spodziewać się, że „wieża Bebel” APT zostanie wzbogacona o kilka kolejnych języków. 

Koniec ataków APT

Zanim zaczniecie się cieszyć, powinniśmy zaznaczyć, że mówimy tu o elementach „zaawansowany” oraz „długotrwały” – z których ugrupowania przestępcze chętnie zrezygnowałyby na rzecz ogólnej kradzieży. Spodziewamy się mniejszego nacisku na długotrwałość, natomiast większej koncentracji na szkodliwym oprogramowaniu bezplikowym lub rezydującym w pamięci. Chodzi tu o ograniczenie śladów pozostawionych w zainfekowanym systemie, a tym samym uniknięcie wykrycia. Inne podejście będzie zakładało zmniejszenie nacisku na zaawansowane szkodliwe oprogramowanie. Zamiast inwestycji w bootkity, rootkity oraz niestandardowe szkodliwe oprogramowanie spodziewamy się coraz częstszego zmieniania przeznaczenia gotowego szkodliwego oprogramowania. To oznacza, że po wykryciu platforma szkodliwego oprogramowania nie tylko nie będzie „spalona”, ale cyberprzestępca i jego zamiary zostaną dodatkowo ukryci w większym tłumie zwykłych użytkowników komercyjnie dostępnych narzędzi do zdalnej administracji (RAT). Gdy osłabnie chęć zademonstrowania cyberumiejętności, większością decyzji ugrupowań cyberprzestępczych sponsorowanych przez rządy będzie rządził zwrot z inwestycji  - a nic nie przebije niskich nakładów początkowych w celu maksymalizacji zwrotu z inwestycji.          

Koszmar oprogramowania ransomware trwa 

Spodziewamy się, że sukces oprogramowania ransomware rozszerzy się na owe fronty. Tego rodzaju oprogramowanie posiada dwie zalety w porównaniu z tradycyjnymi zagrożeniami bankowymi: bezpośrednie zyski i stosunkowo niski koszt w przeliczeniu na jedną ofiarę. Spodziewamy się, że oprogramowanie ransomware nie tylko zdobędzie przewagę nad trojanami bankowymi, ale również rozszerzy się na inne platformy. Miały już miejsce niezbyt udane próby zaszczepienia oprogramowania wyłudzającego okup na platformy mobilne (Simplelocker) oraz Linuksa (Linux.Encode.1), jednak OS X stanowi prawdopodobnie bardziej pożądany cel ataków. Spodziewamy się, że oprogramowanie ransomware przekroczy Rubikon, nie tylko atakując urządzenia Mac, ale również żądając „makowych cen”. W takim wypadku istnieje w dłuższej perspektywie prawdopodobieństwo powstania oprogramowania ransomware IoT (Internetu Rzeczy), co rodzi pytanie, ile byłbyś skłonny zapłacić za odzyskanie dostępu do Twojego telewizora, lodówki czy samochodu.      

Ryzykowna gra: przestępstwa finansowe na najwyższym poziomie

Mariaż cyberprzestępczości i APT zachęcił przestępców motywowanych chęcią zysku, aby płynnie przeszli od atakowania użytkowników końcowych do polowania bezpośrednio na instytucje finansowe. Miniony rok dostarczył mnóstwo przykładów ataków na systemy punktów sprzedaży i bankomatów, nie wspominając już śmiałej kampanii Carbanak, w wyniku której skradziono setki milionów dolarów. Z tego samego względu spodziewamy się, że cyberprzestępcy skoncentrują się na nowościach, takich jak alternatywne systemy płatności (ApplePay oraz AndroidPay), których coraz większa popularność powinna oferować nowe sposoby natychmiastowego osiągania zysków. Innym nieuniknionym obszarem zainteresowania są giełdy, które stanowią prawdziwą kopalnię pieniędzy. Chociaż ataki bezpośrednie mogą przynieść szybkie zyski, nie możemy wykluczyć również bardziej subtelnych sposobów działania, takich jak uzyskiwanie algorytmów stosowanych w transakcjach o wysokiej częstotliwości w celu zapewnienia długotrwałych zysków przy niższym prawdopodobieństwie zdemaskowania i schwytania.   

Ataki na producentów z branży bezpieczeństwa

Wraz ze wzrostem liczby ataków na producentów z branży bezpieczeństwa przewidujemy interesujący kierunek w zakresie kompromitowania standardowych w branży narzędzi do przeprowadzania inżynierii wstecznej, takich jak IDA oraz Hiew, narzędzi debugowania, takich jak OllyDbg oraz WinDbg, czy narzędzi wirtualizacji, np. pakiet VMware oraz VirtualBox. CVE-2014-8485 - luka w linuksowej implementacji „ciągów” - to przykład występowania „dziury” w dość istotnych narzędziach stosowanych w badaniach bezpieczeństwa, które mogą zostać wykorzystane przez zdeterminowanych cyberprzestępców podczas ataków na badaczy. Z tego samego względu, udostępnianie narzędzi badawczych typu freeware za pośrednictwem repozytoriów kodu, takich jak Github, to obszar podatny na nadużycia, ponieważ użytkownicy będą często pobierać kod i wykonywać go w swoich systemach bez przyjrzenia mu się. Być może równie krytycznie powinniśmy przyjrzeć się popularnym implementacjom PGP, które tak entuzjastycznie zostały przyjęte przez społeczność bezpieczeństwa informacji.          

Sabotaż, wyłudzanie i zawstydzanie

Od upublicznienia zdjęć celebrytów w negliżu po włamania hakerskie do firmy Sony i Ashley Madison – bez wątpienia wzrosła liczba przypadków publicznego ujawniania tożsamości, publicznego zawstydzania oraz wyłudzeń. Haktywiści, przestępcy oraz cyberprzestępcy sponsorowani przez rządy – wszyscy oni podejmowali się strategicznego publikowania prywatnych zdjęć, informacji, list klientów oraz kodu w celu zawstydzenia swoich ofiar. O ile niektóre z tych ataków są ukierunkowane strategicznie, inne stanowią wynik oportunizmu, wykorzystania słabej cyberochrony. Niestety, spodziewamy się intensyfikacji takich praktyk.   

Komu ufasz?

Zaufanie stanowi być może najbardziej deficytowy towar. Wykorzystywanie zaufanych zasobów jeszcze bardziej pogłębi ten deficyt. Atakujący nadal będą zaprzęgać do swoich szkodliwych celów biblioteki pochodzące z otwartych źródeł i zasoby umieszczone na białej liście. Spodziewamy się nadużycia kolejnej formy zaufania – dotyczącej wewnętrznych zasobów firm. Chcąc zwiększyć swoją obecność w zainfekowanej sieci, cyberprzestępcy mogą atakować zasoby ograniczone do intranetu firmy, takie jak serwer pracy grupowej, serwer plików itp. Być może wzrośnie wykorzystywanie zaufanych certyfikatów, ponieważ przestępcy ustanowią całkowicie fałszywy organ certyfikacji wydający certyfikaty dla swojego szkodliwego oprogramowania.      

Przyszłość internetu

Sama infrastruktura internetu wykazuje w ostatnich latach oznaki przeciążenia i „pęknięć”. Obawy dotyczące ogromnych botnetów składających się z routerów, porwań BGP, ataków na serwery DNS oraz ataków DDoS zdradzają brak przejrzystości i egzekwowania polityk na skalę globalną. Zagłębiając się dalej w przepowiednie długoterminowe, możemy zastanowić się, jak może wyglądać internet, jeśli ten obraz globalnej wioski podłączonej Siecią nadal będzie blaknął. Być może pojawi się internet podzielony granicami państwowymi. W tej sytuacji obawy dotyczące dostępności mogą obejmować ataki na łącza zapewniają dostęp między różnymi sekcjami, lub nawet napięcia geopolityczne, których celem są połączenia między dużymi obszarami internetu. Być może powstanie nawet czarny rynek łączności. Podobnie, możemy spodziewać się, że podczas gdy technologie napędzające czarny rynek internetu nadal będą zdobywały uwagę mainstreamu oraz będą powszechnie wykorzystywane, twórcy posiadający udział w czarnych rynkach, giełdach oraz forach prawdopodobnie rozwiną lepsze technologie, tak aby podziemie mogło pozostać prawdziwym podziemiem.             

Przyszłość transportu

Ponieważ inwestycje oraz potencjał badawczy są ukierunkowane na rozwój pojazdów autonomicznych, powstaną rozproszone systemy służące do zarządzania trasami i ruchem dużej liczby takich środków transportu. Celem ataków być może nie będą same systemy dystrybucji, ale przechwytywanie i fałszowanie wykorzystywanych przez nie protokołów („proof of concept” luk w zabezpieczeniach powszechnie stosowanego systemu łączności satelitarnej Global Star został zaprezentowany przez badacza z Synack podczas tegorocznej konferencji BlackHat). Przewidywane cele tych ataków obejmują kradzież towarów o dużej wartości oraz uszkodzenia kinetyczne prowadzące do utraty życia.      

Kryptokalipsa coraz bliżej?

Nie można przecenić znaczenia standardów kryptograficznych w zachowaniu wartości funkcjonalnej internetu jako niezwykle obiecującego narzędzia wymiany informacji i przeprowadzania transakcji. Standardy te opierają się na założeniu, że moc obliczeniowa niezbędna do złamania ich zaszyfrowanego produktu wyjściowego przewyższa nasze łączne zasoby jako gatunku. Co się jednak stanie, gdy wykonamy skok paradygmatyczny w zakresie możliwości obliczeniowych, który obiecują nam przyszłe przełomy w dziedzinie informatyki kwantowej? Chociaż możliwości kwantowe nie będą początkowo dostępne dla zwykłego cyberprzestępcy, moc obecnych kryptostandardów zostanie podważona i zaistnieje potrzeba opracowania i zaimplementowania „kryptografii postkwantowej”. Biorąc pod uwagę niski poziom stosowania lub niewłaściwą implementację wysokiej jakości kryptografii, nie przewidujemy płynnego przejścia, które zrównoważy niepowodzenia kryptograficzne na dużą skalę.