Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Exploity: jak poważnym są zagrożeniem?

Tagi:

Jak poważne jest w rzeczywistości zagrożenie ze strony exploitów? Niedawny wyciek zestawu narzędzi do tworzenia exploitów, wykorzystywany rzekomo przez niesławne ugrupowanie Equation, sugeruje, że pora ponownie rozważyć to pytanie. W publicznym obiegu znalazło się kilka exploitów dnia zerowego jak również garść „krytycznych” exploitów, które zostały rzekomo wykorzystane na wolności, i jak dotąd nie wiadomo, czy jest to cały zestaw narzędzi czy pojawią się jeszcze inne narzędzia, związane z ugrupowaniem Equation lub innym przeprowadzającym ataki ukierunkowane.       

Naturalnie, ugrupowanie Equation nie jest pierwszą, i z pewnością nie jedyną, grupą stosującą wyrafinowane ataki ukierunkowane, która w swojej działalności posiłkuje się ukradkowymi exploitami – często tzw. exploitami dnia zerowego.  

Dokonaliśmy przeglądu krajobrazu zagrożeń exploitów. Opierając się na naszych własnych danych telemetrycznych oraz raportach dot. danych analitycznych, jak również publicznie dostępnych informacjach, przyjrzeliśmy się głównym lukom w zabezpieczeniach oraz aplikacjom wykorzystywanym przez osoby atakujące.  

Zbadaliśmy je z dwóch równie istotnych perspektyw. Pierwsza część raportu zawiera podsumowanie głównych exploitów atakujących wszystkich użytkowników w latach 2015-2016, jak również najbardziej podatnych na ataki aplikacji. Druga część jest poświęcona lukom w zabezpieczeniach wykorzystywanym w latach 2010-2016 przez znaczące ugrupowania stosujące ataki ukierunkowane, o których donosił Kaspersky Lab: łącznie 35 ugrupowań i kampanii.    

W raporcie tym skoncentrowano się na atakach wykorzystujących exploity po stronie klienta, pominięte zostały natomiast dane dotyczące ataków z użyciem exploitów po stronie serwera.  

Główne ustalenia dotyczące exploitów atakujących wszystkich użytkowników w latach 2015-2016:

  • W 2016 roku liczba ataków przy użyciu exploitów wzrosła o 24,54% - odnotowano 702 026 084 prób uruchomienia exploitów.
  • W badanym roku 4 347 966 użytkowników zostało zaatakowanych przy użyciu exploitów – o  20,85% mniej w porównaniu z poprzednim rokiem.
  • Liczba użytkowników korporacyjnych, którzy co najmniej raz zetknęli się z exploitem, wzrosła o 28,35%, wynosząc 690 557 oraz stanowiąc 15,76% łącznej liczby użytkowników będących celem exploitów.      
  • Exploity najczęściej wykorzystywały przeglądarki, system Windows, Android oraz pakiet Microsoft Office – 69,8% użytkowników co najmniej raz w 2016 roku zetknęło się z exploitem dla jednej z tych aplikacji.     
  • W 2016 roku ponad 297 000 użytkowników na całym świecie zostało zaatakowanych przy użyciu nieznanych exploitów (exploity dnia zerowego oraz mocno zaciemnione znane exploity).    

W okresie 2015-2016 miało miejsce kilka pozytywnych zdarzeń jeśli chodzi o krajobraz zagrożeń związanych z exploitami. Na przykład, z nielegalnego rynku zniknęły dwa niezwykle niebezpieczne i skuteczne zestawy tworzenia exploitów - Angler (XXX) oraz Neutrino, pozbawiając kręgi cyberprzestępcze wszechstronnego zestawu narzędzi umożliwiających zdalne włamywanie się do komputerów.   

Uruchomiono lub rozszerzono wiele inicjatyw bug bounty, których celem jest zwrócenie uwagi na niebezpieczne kwestie związane z bezpieczeństwem. W połączeniu ze wzmożonymi wysiłkami twórców oprogramowania w zakresie usuwania nowych luk, znacznie zwiększyło to ponoszone przez cyberprzestępców koszty tworzenia nowych exploitów. Należy to traktować jako jednoznaczne zwycięstwo branży bezpieczeństwa informacji, które spowodowało spadek liczby indywidualnych użytkowników zaatakowanych przy użyciu exploitów o ponad 20%: z 5,4 miliona w 2015 r. do 4,3 miliona w 2016 r.       

Jednak wraz ze wskazanym spadkiem odnotowaliśmy również wzrost liczby użytkowników korporacyjnych stanowiących cel ataków ukierunkowanych przy użyciu exploitów. W 2016 roku liczba takich ataków zwiększyła się o 28,35%, wynosząc ponad 690 000 oraz stanowiąc 15,76% łącznej liczby użytkowników będących celem ataków z wykorzystaniem exploitów. W tym samym roku ponad 297 000 użytkowników na całym świecie zostało zaatakowanych przy użyciu nieznanych exploitów. Ataki te zostały zablokowane przez naszą technologię Automatycznego zapobiegania exploitom, stworzoną z myślą o wykrywaniu tego rodzaju exploitów.     

Główne ustalenia dotyczące exploitów wykorzystywanych przez ugrupowania stosujące ataki ukierunkowane w latach 2010-2016:

  • Łącznie, w atakach ukierunkowanych i kampaniach, o których firma Kaspersky Lab informowała w latach 2010-2016, posiadano, wykorzystywano oraz powtórnie wykorzystywano ponad 80 luk w zabezpieczeniach. Około dwie trzecie zidentyfikowanych luk było wykorzystywanych przez więcej niż jedno ugrupowanie cyberprzestępcze.
  • Grupa Sofacy, znana również jako APT28 oraz Fancy Bear, wykorzystała aż 25 luk w zabezpieczeniach, w tym co najmniej sześć, jeśli nie więcej, luk dnia zerowego. Ugrupowanie Equation nie pozostawało daleko w tyle, posiadając w swoim arsenale około 17 luk w zabezpieczeniach, z których co najmniej osiem to luki dnia zerowego według publicznie dostępnych danych oraz analizy zagrożeń firmy Kaspersky Lab.    
  • Rosyjskojęzyczne ugrupowania przeprowadzające ataki ukierunkowane zajęły aż trzy miejsca w pierwszej czwórce pod względem wykorzystywania luk w zabezpieczeniach (wyjątek stanowi ugrupowanie Equation znajdujące się na drugim miejscu); niżej na liście znalazły się natomiast cyberprzestępcy angielsko- i chińskojęzyczni. 
  • Po upublicznieniu, luka w zabezpieczeniach może stać się jeszcze groźniejsza: w ciągu kilku godzin może zostać „zawłaszczona” i dostosowana do indywidualnych celów przez duże ugrupowania cyberprzestępcze.
  • Ugrupowania stosujące ataki ukierunkowane często wykorzystują te same luki w zabezpieczeniach co pozostali cyberprzestępcy – istnieją znaczne podobieństwa między listą luk w zabezpieczeniach najczęściej wykorzystywanych przez cyberprzestępców w latach 2010-2016, a tych wykorzystywanych we wszystkich atakach w okresie 2015-2016. 

Przyglądając się bliżej aplikacjom wykorzystywanym przez ugrupowania cyberprzestępcze w celu przeprowadzania ataków ukierunkowanych z wykorzystaniem exploitów, nie byliśmy zaskoczeni, że na szczycie listy znalazł się Windows, Flash oraz Office.

exploits_eng_1_auto.jpg

Aplikacje i systemy operacyjne najczęściej wykorzystywane przez ugrupowania stosujące ataki ukierunkowane.

Co więcej, niedawny wyciek licznych exploitów, należących rzekomo do ugrupowania cyberszpiegowskiego Equation, zwrócił uwagę na inną znaną, ale często zapominaną prawdę: życie exploita nie kończy się wraz z opublikowaniem łaty bezpieczeństwa w celu usunięcia wykorzystywanej luki.    

Nasze badanie sugeruje, że ugrupowania cyberprzestępcze nadal aktywnie i skutecznie wykorzystują luki w zabezpieczeniach, które zostały załatane niemal dekadę wcześniej – co pokazuje wykres poniżej:  

exploits_eng_2_auto.jpg

Wszyscy kochają exploita

Exploity stanowią skuteczne narzędzie dostarczania szkodliwych funkcji, co oznacza, że cieszą się dużym zapotrzebowaniem wśród szkodliwych użytkowników, zarówno ugrupowań cyberprzestępczych jak i tych stosujących cyberszpiegostwo ukierunkowane oraz cybersabotaż.  

Potwierdzeniem tego mogą być nasze najnowsze statystyki dotyczące zagrożeń, które pokazują, że exploity wykorzystujące lukę CVE-2010-2568 (wykorzystaną w niesławnej kampanii Stuxnet) nadal znajdują się na pierwszym miejscu pod względem liczby zaatakowanych użytkowników. Niemal jedna czwarta wszystkich użytkowników, którzy stanowili cel dowolnego zagrożenia związanego z exploitem w 2016 roku, została zaatakowana przy użyciu exploitów wykorzystujących tę lukę.    

Wniosek i wskazówki

Wniosek, jaki się nasuwa, jest prosty: nawet jeśli szkodliwy użytkownik nie ma dostępu do kosztownych exploitów dnia zerowego, istnieje duże prawdopodobieństwo, że osiągnie swój cel przy użyciu exploitów wykorzystujących stare luki w zabezpieczeniach, ponieważ wiele systemów i urządzeń nie zostało jeszcze uaktualnionych.  

Mimo że twórcy popularnego oprogramowania inwestują ogromne zasoby w identyfikację i eliminację błędów w swoich produktach, jak również w techniki łagodzenia zagrożeń związanych z exploitami, wyzwanie dotyczące luk w zabezpieczeniach nadal pozostanie aktualne, przynajmniej w dającej się przewidzieć przyszłości.      

W celu zapewnienia ochrony danym osobistym lub biznesowym przed atakami za pośrednictwem exploitów eksperci z Kaspersky Lab zalecają następujące działania:

  • Dopilnuj, aby oprogramowanie zainstalowane na komputerze było aktualne, i włącz funkcję automatycznej aktualizacji, jeśli jest dostępna.  
  • W miarę możliwości wybieraj dostawców oprogramowania, którzy wykazują odpowiedzialną postawę wobec problemu luk w zabezpieczeniach. Sprawdź, czy dostawca oprogramowania posiada własny program bug bounty.
  • Jeśli zarządzasz siecią komputerów PC, wykorzystuj rozwiązania do zarządzania łatami, które umożliwiają scentralizowaną aktualizację oprogramowania na wszystkich kontrolowanych punktach końcowych.
  • Dokonuj regularnych ocen bezpieczeństwa infrastruktury IT organizacji.
  • Zapoznaj swój personel z metodami socjotechniki, ponieważ metody te są często stosowane w celu nakłonienia ofiary do otwarcia dokumentu luk kliknięcia odsyłacza zainfekowanego exploitem.
  • Stosuj rozwiązania bezpieczeństwa wyposażone w specjalne mechanizmy zapobiegania exploitom lub przynajmniej technologie wykrywania w oparciu o zachowanie.
  • Preferuj dostawców, którzy stosują wielopoziomowe podejście do ochrony przed cyberzagrożeniami, w tym exploitami.

Dalsze szczegóły dotyczące tego tematu pojawią się wkrótce.