Прогнозы Касперского по постоянным угрозам на 2024 год

Новые ботнеты, больше искусственного интеллекта в целевом фишинге и рост бизнеса по найму хакеров — вот лишь некоторые из прогнозов Касперского по безопасности.

Расширение использования мобильных устройств и технологий «умного дома»

Операция «Триангуляция», как стало известно в прошлом году, выявила очень сложную кампанию кибершпионажа, в основном нацеленную на устройства iOS и использующую пять уязвимостей, включая четыре уязвимости нулевого дня.
Примечательной особенностью этих эксплойтов является то, что они нацелены не только на смартфоны Apple, но также на планшеты, ноутбуки, носимые устройства, устройства Apple TV и Apple Watch и могут использоваться для подслушивания.
Игорь Кузнецов, директор группы глобальных исследований и анализа «Лаборатории Касперского», рассказал: «Вредоносное ПО действительно можно использовать для подслушивания. Недавний пример — модуль записи с микрофона в операции «Триангуляция». Его функции не ограничиваются ожидаемыми, например, продолжительность записи; он включает в себя сложные функции, такие как остановка записи при активации экрана устройства или остановка записи при записи системных журналов».
По мнению Касперского, злоумышленники APT могут расширить свои усилия по наблюдению, включив в него больше устройств, оснащенных технологиями умного дома, таких как камеры умного дома и подключенные автомобильные системы. Это особенно интересно для злоумышленников, поскольку эти устройства часто не контролируются, не обновляются и не исправляются, а также могут быть неправильно настроены. Это также вызывает беспокойство, поскольку все больше людей работают из дома, и их компании могут быть атакованы через слабые места в устройствах для домашних работников.

Появятся новые ботнеты

Ботнеты, как правило, более распространены в киберпреступной деятельности по сравнению с APT, однако Касперский ожидает, что APT
начнет использовать их чаще.

Первая причина – внести еще большую путаницу в защиту. По мнению исследователей, атаки с использованием ботнетов могут «скрыть целевой характер атаки за, казалось бы, широко распространенными атаками». В этом случае защитникам может быть сложнее приписать атаку злоумышленнику, и они могут поверить, что столкнулись с типичной широкомасштабной атакой.

Вторая причина — маскировка инфраструктуры злоумышленников. Ботнет может действовать как сеть прокси, а также как промежуточные серверы управления и контроля.

Касперский упоминает случай ZuoRAT, в котором маршрутизаторы небольшого офиса или домашнего офиса использовались для заражения устройств вредоносным ПО, и ожидает увидеть новые атаки такого рода в 2024 году.

Будет развернуто больше кода уровня ядра.

Microsoft усилил защиту Windows от руткитов, этих вредоносных фрагментов кода, выполняющих код на уровне ядра, с помощью ряда мер безопасности, таких как подписывание кода в режиме ядра или архитектура безопасного ядра, и это лишь некоторые из них.

С точки зрения злоумышленника, запускать код на уровне ядра стало сложнее, но это оставалось возможным. «Лаборатория Касперского» наблюдала, как многочисленные APT-угрозники и киберпреступники выполняли код в режиме ядра целевых систем, несмотря на все новые меры безопасности от Microsoft. Недавние примеры включают руткит Netfilter, руткит FiveSys и вредоносное ПО POORTRY.

Касперский считает, что три фактора предоставят злоумышленникам возможность запуска кода уровня ядра в операционных системах Windows:

• Сертификаты расширенной проверки и украденные сертификаты подписи кода будут все чаще распространяться/продаваться на подпольных рынках.
• Увеличение злоупотреблений учетными записями разработчиков с целью подписания вредоносного кода через службы подписи кода Microsoft, такие как программа совместимости оборудования Windows.
• Увеличение числа атак BYOVD (Bring Your Own Vulnerable Driver) в арсеналах злоумышленников

Еще больше хактивизма, связанного с APT

Касперский заявляет, что «трудно представить какой-либо будущий конфликт без участия хактивистов», что можно сделать несколькими способами. Распределенные атаки типа «отказ в обслуживании» становятся все более распространенными, наряду с ложными заявлениями о взломе, которые приводят к ненужным расследованиям для исследователей кибербезопасности и обработчиков инцидентов.

Дипфейки и инструменты выдачи себя за другое лицо/дезинформации также все чаще используются субъектами угроз.

Кроме того, можно проводить деструктивные и разрушительные операции. Использование «дворников» в нескольких текущих политических конфликтах или подрыв власти в Украине являются хорошими примерами обоих типов операций.

Атаки на услугу по цепочке поставок

Малому и среднему бизнесу часто не хватает надежной защиты от APT-атак, и они используются хакерами в качестве шлюзов для доступа к данным и инфраструктуре их реальных целей.

Ярким примером является утечка данных Okta, компании по управлению идентификацией, в 2022 и 2023 годах, которая затронула более 18 000 клиентов по всему миру, которые потенциально могли быть скомпрометированы позже.

Касперский считает, что тенденция атак на цепочки поставок может развиваться по-разному. Во-первых, программное обеспечение с открытым исходным кодом может быть скомпрометировано целевыми организациями. Затем подпольные рынки могут представить новые предложения, такие как пакеты полного доступа, обеспечивающие доступ к различным поставщикам программного обеспечения или поставщикам ИТ-услуг, предлагая реальные атаки на цепочку поставок как услугу.

Больше групп в бизнесе по найму хакеров

По мнению исследователей, Касперский ожидает, что больше групп будет работать так же, как DeathStalker, печально известный злоумышленник, который нацелен на юридические фирмы и финансовые компании, предоставляет хакерские услуги и действует как информационный брокер, а не действует как традиционный злоумышленник APT.

Ожидается, что некоторые группы APT будут использовать услуги по найму хакеров и расширять свою деятельность по продаже таких услуг, поскольку это может быть способом получения дохода для поддержания всей их деятельности по кибершпионажу.

Кузнецов считает: «Мы видели, как злоумышленники APT атаковали разработчиков, например, во время атак Winnti на игровые компании. Эта хакерская группа известна своими точными атаками на частные компании по всему миру, особенно в игровой сфере. Их основная цель — кража исходных кодов игровых онлайн-проектов и цифровых сертификатов законных поставщиков программного обеспечения. Хотя на данный момент это является спекулятивным, нет никаких препятствий для таких злоумышленников расширять свои услуги, если есть рыночный спрос».

Увеличение использования ИИ для целевого фишинга

Глобальный рост использования чат-ботов и инструментов генеративного искусственного интеллекта за последний год принёс пользу во многих секторах. Киберпреступники и субъекты угроз APT начали использовать в своей деятельности генеративный искусственный интеллект с большими языковыми моделями, специально разработанными для вредоносных целей. В этих генеративных инструментах ИИ отсутствуют этические ограничения и ограничения по содержанию, присущие аутентичным реализациям ИИ.

Киберпреступники обнаружили, что такие генеративные инструменты искусственного интеллекта способствуют массовому производству фишингового контента электронной почты, который часто используется в качестве начального вектора заражения при атаке на организации. Сообщения, написанные этими инструментами, более убедительны и хорошо написаны по сравнению с сообщениями, написанными киберпреступниками. Это также может имитировать стиль письма конкретных людей.

Касперский ожидает, что злоумышленники разработают новые методы автоматизации кибершпионажа. Одним из методов могла бы стать автоматизация сбора информации, связанной с жертвами, во всех аспектах их присутствия в Интернете: социальных сетях, веб-сайтах и т. д., если она связана с личностью жертвы.

Ориентация на системы MFT будет расти

Системы управляемой передачи файлов (Managed File Transfer systems) стали обязательными для многих организаций для безопасной передачи данных, включая интеллектуальную собственность или финансовые отчеты.

В 2023 году атаки на MOVEit и GoAnywhere показали, что злоумышленники-вымогатели особенно заинтересованы в атаке на эти системы, но другие злоумышленники могут быть не менее заинтересованы в компрометации MFT.

Как отметил Касперский, «сложная архитектура систем MFT в сочетании с их интеграцией в более широкие бизнес-сети потенциально таит в себе слабые места в системе безопасности, которые готовы к использованию. Поскольку киберзлоумышленники продолжают оттачивать свои навыки, ожидается, что эксплуатация уязвимостей в системах MFT станет более выраженным вектором угрозы».

Как защититься от этих APT-угроз

Чтобы снизить риск APT-атак, необходимо защитить личные и корпоративные устройства и системы.

В корпоративной среде использование таких решений, как расширенное обнаружение и реагирование, управление информацией о безопасности и событиями, а также системы управления мобильными устройствами, значительно помогает обнаруживать угрозы, централизовать данные, ускорять анализ и сопоставлять события безопасности из различных источников.

Настоятельно рекомендуется внедрить строгий контроль доступа. Принцип наименьших привилегий всегда должен использоваться для любого ресурса. Многофакторную аутентификацию следует использовать везде, где это возможно.

Сегментация сети может ограничить исследование скомпрометированных сетей злоумышленником. Критические системы, в частности, должны быть полностью изолированы от остальной части корпоративной сети.

Организации должны иметь актуальный план реагирования на инциденты, который поможет в случае атаки APT. План должен содержать шаги, которые необходимо предпринять, а также список людей и служб, к которым можно обратиться в случае возникновения чрезвычайной ситуации. Этот план следует регулярно проверять путем моделирования атак.