Какие идеи могут прийти в голову киберпреступникам в следующем году? Сложность цифровой среды повышает вероятность специализированных атак в различных областях. Некоторые предположения на основе текущей ситуации сделали эксперты «Лаборатории Касперского».
Кибератаки как инструмент возмездия
В области дипломатии и геополитики один из главных вопросов — как действовать в случае активной кибератаки. Ответ неочевиден и сильно зависит, кроме прочего, от уровня и масштаба конкретной атаки. При этом, после некоторых недавних атак, в частности на Национальный комитет Демократической партии США, отношение к ним стало более серьезным.
Расследования некоторых нашумевших атак, имевших место в последнее время, например на Sony Entertainment Network и Национальный комитет Демократической партии США, привели к появлению списков подозреваемых, против которых были выдвинуты обвинения. При этом обвиняемые в проведении кибератак предстали перед судом и стали известны широкой публике. Это может использоваться для формирования общественного мнения, которое в дальнейшем будет иметь более серьезные дипломатические последствия.
Примером, в частности, может служить Россия, которая оказалась в непростой ситуации в результате своего предполагаемого вмешательства в демократические процессы. Ее пример может заставить определенных лиц изменить свое отношение к возможности проведения подобных операций в будущем.
Однако самым большим достижением злоумышленников стало появление в обществе опасений, что подобное может произойти или уже произошло. Теперь можно эксплуатировать этот страх, неопределенность и сомнения более изощренными способами, что наблюдается в некоторых крупных кампаниях, включая Shadowbrokers. Мы ожидаем, что в ближайшем будущем таких вредоносных кампаний станет больше.
Имевшие место вредоносные кампании, по всей вероятности, служили лишь пробными вылазками, и в дальнейшем эта сфера будет эксплуатироваться множеством различных способов. Характерным примером может служить псевдовредоносный инцидент с Olympic Destroyer, конечная цель и последствия которого до сих пор неясны.
Целевой фишинг
Целевой фишинг — самый успешный вектор заражения, и мы полагаем, что в ближайшем будущем он станет еще более важным. Секрет его успеха заключается в способности вызвать у жертвы любопытство, и недавние массовые утечки данных из различных социальных медиа платформ могут помочь злоумышленникам усовершенствовать этот подход.
Данные, полученные в результате атак на такие соцмедиа-гиганты, как Facebook, Instagram, LinkedIn и Twitter, сейчас широко доступны на рынке. В некоторых случаях по-прежнему неясно, за какой именно информацией охотились атакующие, но можно предположить, что их интересовали личные сообщения или даже учетные данные. Для киберпреступников, применяющих методы социальной инженерии, это золотая жила. Например, злоумышленник может использовать краденные учетные данные вашего друга, чтобы поделиться в социальной сети чем-то, что вы ранее обсуждали с ним в личной переписке, и таким образом значительно повысить свои шансы на проведение успешной атаки.
Такой подход можно совместить с традиционными разведметодами, когда злоумышленники дополнительно проверяют правильность выбора жертвы, чтобы свести к минимуму распространение вредоносного ПО и вероятность его обнаружения. В случае распространения через почтовые вложения стандартной практикой является проверка на взаимодействие с реальным человеком до запуска какой бы то ни было вредоносной активности с целью обхода автоматических систем обнаружения.
Кроме того, имеется ряд инициатив по использованию машинного обучения для повышения эффективности фишинга. Пока непонятно, каковы будут результаты при реальном сценарии, но очевидно, что под действием всех перечисленных факторов целевой фишинг в ближайшие месяцы останется весьма эффективным вектором заражения, особенно через социальные медиа.
Конец эры крупных APT-кампаний
Эксперты исходят из того наблюдения, что индустрия кибербезопасности регулярно обнаруживает сложные высокотехнологичные кампании, за которыми стоит поддержка различных государств и которые готовились на протяжении нескольких лет. Логичной реакцией со стороны злоумышленников стало бы освоение новых, более сложных техник, которые будет гораздо труднее обнаружить и связать с конкретными кибергруппировками.
Достичь этого можно разными способами. Единственное необходимое условие — понимание методов, используемых отраслевыми экспертами при атрибуции атак и выявлении сходства между различными атаками и используемыми в них артефактами. Особого секрета эти сведения не представляют. При наличии достаточных ресурсов простым решением для атакующей стороны было бы действие сразу в нескольких направлениях, которые будет очень трудно привязать к одному агенту или кампании. Располагающие ресурсами злоумышленники могли бы запускать новые инновационные операции, не останавливая при этом старые. Конечно, существует вероятность раскрытия старых операций, но обнаружение новых становится куда более сложной задачей.
Вместо того, чтобы запускать более сложные вредоносные кампании, в некоторых случаях для конкретных кибергруппировок более эффективной тактикой может быть прямое воздействие на инфраструктуру и компании, где есть потенциальные жертвы (например, на интернет-провайдеров). Иногда этого можно достичь за счет регулирования, не прибегая к использованию вредоносного ПО.