Подходит к концу 2019 год, а значит, пришло время подвести его итоги и подумать о том, какие тренды ожидают нас в грядущем 2020 году. В конце этой статьи ты найдешь прогнозы ведущих ИБ-компаний, а пока давай вспомним, какими взломами, уязвимостями и прочими интересными событиями запомнится нам год уходящий.
Крупнейший поставщик электроэнергии в Южной Африке (обеспечивает электроэнергией примерно 95% ЮАР и около 45% всего Африканского континента) — государственная энергетическая компания Eskom пострадала от компрометации. Взлом произошел из-за того, что сотрудник компании скачал на рабочую машину фейковый установщик игры The Sims 4.
Один из крупнейших и старейших банков Мальты — Bank of Valletta подвергся кибератаке. Злоумышленники попытались похитить порядка 13 миллионов евро, и, как только сотрудники банка заметили неавторизованные операции, было принято решение экстренно приостановить работу. В итоге все отделения Bank of Valletta увели в офлайн свои банкоматы, PoS-системы, а также временно прекратили работу сайт банка, сервисы электронных услуг и внутренняя почта.
Специалисты «Лаборатории Касперского» не зря называют 2019 год годом атак вымогателей на муниципальные службы. Атакам шифровальщиков в этом году подверглись множество городов:
Однако только городами атаки шифровальщиков, конечно, не ограничились. Были скомпрометированы и другие необычные цели:
В ходе вредоносной кампании «Операция ShadowHammer» пострадала компания Asus. Произошедшее представляло собой классическую атаку на цепочку поставок: злоумышленники скомпрометировали компанию, сумели закрепиться в сети и принялись раздавать бэкдоры через предустановленный на устройства Asus инструмент для автоматического обновления ASUS Live Update. Атака имела место между июнем и ноябрем 2018 года (то есть хакеры контролировали ASUS Live Update около полугода) и затронула множество владельцев устройств Asus. Аналитики считают, что в общей сложности из-за случившегося пострадали более миллиона человек по всему миру. Как выяснилось позже, Asus была не единственной жертвой преступников.
Специалисты Tencent Keen Security Lab представили масштабное исследование, посвященное взлому автомобилей Tesla. Исследователи продемонстрировали на примере Tesla Model S 75, почему опасно полностью полагаться на систему содействия управлению автомобилем (она же адаптивный круиз-контроль, или Enhanced Autopilot). Оказалось, достаточно нанести на дорожное покрытие малозаметные для водителя «помехи», и автомобиль примет их за часть дорожной разметки и, чтобы не пересекать эту несуществующую линию, свернет со своей полосы (возможно, даже на встречную).
Хакерам удалось скомпрометировать учетные данные неназванного сотрудника технической поддержки Microsoft, и в период с 1 января 2019 года по 28 марта 2019 года третьи лица имели доступ к данным, связанным с чужими email-аккаунтами. Злоумышленники получили возможность просматривать чужие списки папок, темы писем, email-адреса пользователей, с которыми общалась жертва.
В мае 2019 года на официальных страницах соцсетей Армии обороны Израиля (ЦАХАЛ) появилось сообщение о необычном отражении кибератаки со стороны ХАМАС. Представители ЦАХАЛ пояснили, что сначала отразили атаку в виртуальном пространстве, а потом ВВС развили этот успех в пространстве физическом. В доказательство военные опубликовали видео авиаудара (отметим, что о таких бомбардировках предупреждают заранее, чтобы избежать жертв со стороны мирного населения).
Представители Stack Overflow, крупнейшего в интернете сайта вопросов и ответов о программировании, подтвердили информацию об атаке на свой ресурс. Неизвестные злоумышленники оставались в системе почти неделю и могли получить доступ к пользовательским данным. Хотя общая база данных пользователей не была скомпрометирована, атакующие могли узнать IP-адреса, имена или email-адреса небольшого числа пользователей Stack Exchange.
Неизвестные похитили у лидера группы Radiohead Тома Йорка 18 часов неизданных записей, сделанных во время работы над альбомом OK Computer (1997) и хранившихся на архивных мини-дисках. После кражи хакеры попытались шантажировать группу. За записи, не предназначенные для публики, вымогатели требовали 150 тысяч долларов выкупа, а в противном случае угрожали опубликовать их в открытом доступе. Музыканты не стали вести переговоры со злоумышленниками или игнорировать проблему, а решили поступить иначе: сами опубликовали все 18 часов неизданных материалов в открытом доступе.
Эксперты Symantec зафиксировали интересный случай: русскоязычная хакерская группа Turla (она же Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton), известная ИБ-специалистам уже давно, взломала другую небезызвестную хак-группу, иранскую APT34 (она же Oilrig, HelixKitten и Crambus). В итоге серверы «конкурентов» использовались для распространения малвари среди систем, ранее уже зараженных вредоносами Oilrig.
Обнаружилось, что в апреле 2018 года неизвестные хакеры проникли в сеть НАСА и похитили около 500 Мбайт данных, связанных с марсианскими миссиями. Точкой компрометации стала сеть Лаборатории реактивного движения НАСА (JPL). Злоумышленники обнаружили неавторизованное устройство Raspberry Pi и с его помощью нашли в общей сети шлюз, что позволило им развить атаку далее. В общей сложности хакеры похитили порядка 500 Мбайт данных и 23 файла.
Разработчики опенсорсного браузера Pale Moon, которым пользуются около миллиона человек, признались, что архивный сервер проекта (archive.palemoon.org), где хранятся старые версии браузера, был взломан. Атака произошла еще в 2017 году, но долго оставалась незамеченной. Неизвестный злоумышленник заразил все старые сборки Pale Moon малварью Win32/ClipBanker.DY, то есть трояном, похищающим данные из буфера обмена пострадавшей машины.
Летом 2019 года ряд изданий сообщили о взломе подрядчика ФСБ — московской компании «Сайтэк». Атакующие, скрывающиеся под псевдонимом 0v1ru$, разместили несколько скриншотов в Twitter, а также поделились похищенными данными с «коллегами» из группировки Digital Revolution. Те, в свою очередь, тоже опубликовали ряд доказательств взлома. Так, в открытый доступ выложили скриншот интерфейса внутренней сети, а рядом с названиями проектов («Арион», «Реляция», «Гривна» и так далее) стояли имена их кураторов, сотрудников «Сайтэк». Похищенными документами хакеры поделились с журналистами нескольких изданий, и дамп содержал довольно подробное описание проектов «Сайтэка».
Эксперты Google Project Zero заметили, что ряд неназванных сайтов более двух лет атаковал пользователей iPhone при помощи 14 уязвимостей, объединенных в пять цепочек эксплоитов. Компрометация происходила без какого-либо участия пользователей, достаточно было просто зайти на вредоносный ресурс.
Как выяснилось позже, похожие тактики применялись также против пользователей Android и Windows и речь шла о весьма масштабной операции.
По данным источников, кампания была направлена на уйгуров, мусульманское население китайского региона Синьцзян. За людьми там и так давно ведется массовая слежка, а более миллиона уйгуров содержатся в тюрьмах и воспитательных лагерях. То есть вредоносные сайты, похоже, были уйгурскими.
Twitter-аккаунт Джека Дорси (Jack Dorsey), CEO Twitter, подвергся взлому. Скомпрометировав учетную запись, злоумышленники принялись публиковать от лица Дорси оскорбительный и расистский контент и даже утверждали, будто в штаб-квартире компании заложена бомба. Атака произошла по недосмотру мобильного оператора, который допустил компрометацию и позволил неавторизованному лицу использовать телефонный номер Дорси для отправки SMS-сообщений.
После взлома разработчики Twitter наконец решили отключить устаревшую функциональность отправки твитов через SMS-сообщения.
Если тебе кажется, что дипфейки не представляют серьезной угрозы, пора подумать еще раз. Осенью 2019 года мошенники использовали голосовой deepfake, чтобы во время телефонного разговора выдать себя за руководителя неназванной немецкой фирмы. По телефону фиктивный CEO, чей голос был подделан при помощи ИИ, попросил главу неназванной дочерней фирмы из Британии срочно перевести 220 тысяч евро на счет некоего венгерского поставщика, хотя на самом деле этот счет принадлежал преступникам. Когда подмена вскрылась, часть денег уже была отправлена и поступила на счет в Венгрии, откуда злоумышленники перевели средства в Мексику.
Взлом кардерского ресурса BriansClub, на котором покупали и продавали ворованные банковские карты, привел к крупной утечке данных. Похищенные у BriansClub данные содержали более 26 миллионов записей о кредитных и дебетовых картах, ранее попавших в руки злоумышленников через взломанные интернет-магазины и точки розничной торговли за последние четыре года.
Если в 2018 году исследователи RiskIQ идентифицировали 12 группировок, занимающихся атаками MageCart, то теперь, по данным IBM, их насчитывается уже 38. Такие хакеры все чаще проявляют креативность и для внедрения скиммеров на сайты эксплуатируют маршрутизаторы, используют поддельные домены Google, неправильно настроенные бакеты AWS, CDN (content delivery network, «сеть доставки контента») и даже рекламу.
Проблемы процессоров Intel не исчерпали себя с обнаружением уязвимостей Meltdown и Spectre, о которых мы так много рассказывали в прошлом году. В 2019 году эксперты выявили целый ряд новых «процессорных» проблем, связанных с упреждающим (или спекулятивным — speculative) механизмом исполнения команд, включая Spoiler, RIDL, Fallout и ZombieLoad, ZombieLoad 2, NetCAT, TPM-FAIL, Plundervolt.
Сводная группа ученых из США, Австралии и Австрии опубликовала доклад о новой вариации атаки на проблему Rowhammer. Методика получила название RAMBleed, и от предыдущих версий ее отличает опасная особенность: атаку можно использовать для кражи данных с целевого устройства, а не только для изменения существующих данных или повышения привилегий.
Эксперты Римского университета Ла Сапиенца создали алгоритм, способный с высокой точностью определять, каким именно приложением пользовался человек, даже если речь идет о Tor-трафике. Инструмент не помогает деанонимизировать пользователя, то есть узнать его реальный IP-адрес и иные детали. Однако возможно установить, какое именно Android-приложение скрывает Tor-трафик.
Весной 2019 года в WinRAR устранили опасную уязвимость, представляющую угрозу для всех 500 миллионов пользователей архиватора. Дело в том, что найденная проблема существовала в коде примерно 19 лет. Баг был связан со сторонней библиотекой UNACEV2.DLL, которая входит в состав практически всех версий архиватора с незапамятных времен. Атаки на эту уязвимость не заставили себя ждать.
Ученые из Кембриджского университета, Университета Райса и SRI International предупредили, что Thunderbolt-периферия может представлять угрозу для ряда операционных систем. Проблема затрагивает Thunderbolt всех версий, то есть Thunderbolt 1, 2 и 3. Злоумышленники могут создавать вредоносные устройства Thunderbolt. На первый взгляд те будут казаться совершенно обычными и работать в соответствии с заявленными характеристиками, но вместе с этим могут содержать вредоносный код и беспрепятственно выполнять различные действия «на изнанке» ОС.
В рамках майского «вторника обновлений» компания Microsoft исправила критическую уязвимость CVE-2019-0708 (она же BlueKeep), связанную с работой Remote Desktop Services (RDS) и RDP. С помощью этого бага атакующие могут выполнять произвольный код без авторизации и распространять свою малварь подобно червю, как, например, было с известными вредоносами WannaCry и NotPetya. Проблема опасна для Windows Server 2008, Windows 7, Windows 2003 и Windows XP, для которых, из-за высокой серьезности проблемы, были выпущены обновления безопасности.
Осенью BlueKeep начали эксплуатировать злоумышленники. Пока баг применяется лишь для распространения майнера криптовалюты, то есть преступники не используют весь потенциал уязвимости.
Специалисты Microsoft считают, что в будущем нас ожидают более разрушительные атаки, использующие BlueKeep, и расслабляться рано. Дело в том, что, по данным BinaryEdge, в Сети до сих пор насчитывается более 700 тысяч уязвимых Windows-систем (не считая тех, что расположены внутри частных сетей, за брандмауэрами), то есть патчи по-прежнему установили далеко не все.
В июне 2019 года исследователи нашли опасную проблему в почтовом агенте Exim, позволяющую злоумышленникам запускать команды от имени root на удаленных почтовых серверах. Уязвимость представляла опасность для половины всех почтовых серверов в интернете. Эксперты предупреждали, что эксплуатация уязвимости крайне проста, и прогнозировали, что злоумышленники создадут эксплоит для проблемы за считаные дни, и, к сожалению, их прогнозы полностью оправдались.
Осенью в Exim выявили вторую и третью похожие проблемы, которые в теории тоже позволяли выполнить произвольный код на целевом сервере.
Аналитики Check Point Research и специалисты компании CyberInt обнаружили цепочку уязвимостей в магазине игр Origin, разработанном Electronic Arts. Проблема могла привести к взлому аккаунтов и краже личных данных 300 миллионов геймеров по всему миру. Для эксплуатации проблемы атакующим не нужно было прибегать к хитрым трюкам и заставлять пользователей «поделиться» своими учетными данными. Вместо этого злоумышленники могли воспользоваться заброшенными субдоменами EAGames, чтобы отслеживать запросы, сделанные действующими пользователями.
Специалист компании IOActive Рубен Сантамарта (Ruben Santamarta) рассказал, что в сентябре прошлого года ему случайно удалось обнаружить в Сети исходные коды Boeing 787 Dreamliner. Впоследствии было подтверждено, что эти work-in-progress-коды были случайно оставлены на общедоступном сервере Boeing, принадлежавшем RnD-подразделению компании. Изучив исходники, исследователь выявил в них ряд уязвимостей и пришел к выводу, что благодаря этим багам теоретически возможен даже угон самолета.
Многие устройства на Android (включая девайсы Samsung, Huawei, LG, Sony и, возможно, других производителей) оказались уязвимы перед интересными атаками. Понадобится подделать всего одно специальное SMS-сообщение, какие обычно приходят от операторов мобильной связи, и злоумышленник сможет перехватывать электронную почту или трафик с уязвимых устройств.
Атака Simjacker эксплуатирует SMS-сообщения для передачи инструкций SIM Toolkit (STK) и S@T Browser на SIM-карте устройства. И это не просто концепт: атака регулярно применяется в реальности в последние два года. Simjacker позволяет узнать данные о местоположении пользователя для устройств Apple, ZTE, Motorola, Samsung, Google, Huawei и даже IoT-девайсов с SIM-картами. Хуже того, S@T Browser также дает возможность совершать звонки, отправлять сообщения, отключать SIM-карту, запускать команды AT-модема, открывать браузеры (например, с фишинговыми ссылками) и многое другое.
Позже появилась информация о крайне похожей атаке, WIBattack, только она предполагает эксплуатацию Wireless Internet Browser (WIB) вместо S@T Browser.
RCE-уязвимость CVE-2019-16759, обнаруженная и исправленная в форумном движке vBulletin в конце сентября 2019 года, дорого обошлась ряду компаний. Из-за этого бага пострадали официальные форумы Comodo, а также итальянский и голландский ресурсы для секс-работников (в этих странах проституция законна), а также форумы компании ZoneAlarm, принадлежащей Check Point.
В апреле 2019 года ИБ-эксперты Мэти Ванхоф (Mathy Vanhoef) и Эяль Ронен (Eyal Ronen) опубликовали информацию о комплексе проблем, получившем имя DragonBlood – «в честь» уязвимого Dragonfly, механизма, посредством которого клиенты проходят аутентификацию на устройствах с поддержкой нового стандарта WPA3. И хотя ранее считалось, что данный механизм «рукопожатия» безопасен, Ванхоф и Ронен доказали, что это не так.
Под названием DragonBlood объединились пять уязвимостей: отказ в обслуживании, две проблемы, приводящие к side-channel утечкам, и еще две проблемы, связанные с даунгрейдом соединений. В итоге DragonBlood позволял атакующему, находящемуся в зоне доступа Wi-Fi-сети, восстановить пароли жертвы и проникнуть в сеть.
Позже эксперты рассказали еще о двух уязвимостях, появившихся уже после того, как представители WiFi Alliance подготовили защиту от исходных багов.
Эксплоиты для уязвимостей стремительно дорожают: теперь известный брокер уязвимостей, компания Zerodium, платит за эксплоиты для WhatsApp и iMessage по милиону долларов; до 500 тысяч долларов за эксплоиты для уязвимостей в Hyper-V (Microsoft) и vSphere (VMware); а эксплоиты для Android впервые в истории стоят больше, чем эксплоиты для iOS, — до 2,5 миллиона долларов США.
В Сети нашли огромный дамп информации под названием «Коллекция № 1», содержащий 772 904 991 уникальный email-адрес и еще 21 222 975 уникальных паролей.
В феврале — апреле 2019 года хакер (или группа лиц), скрывающийся под псевдонимом GnosticPlayers, выставил на продажу на торговой площадке Dream Market данные почти одного миллиарда человек. Эти дампы появились постепенно и были разбиты на пять отдельных «лотов» (1, 2, 3, 4, 5), в которые суммарно вошла информация о пользователях и клиентах 44 различных компаний. После непродолжительного молчания хакер возобновил активность летом, сообщив о взломе австралийского сервиса графического дизайна Canva, входящего в top-200 сайтов по версии Alexa, и выставив на продажу информацию еще 139 миллионов человек.
Злоумышленник признавался СМИ, что им движут два основных мотива: желание заработать и стремление к славе. Он заявил, что хочет «войти в историю», как это ранее, например, сделал хакер, известный под ником Peace_of_Mind. В 2016 году именно он продал на торговой площадке TheRealDeal информацию более чем о 800 миллионах человек.
Компания Facebook вновь оказалась в центре нескольких скандалов, в основном связанных с приватностью пользовательских данных:
Журналисты Vice Motherboard пообщались с несколькими бывшими и настоящими сотрудниками компании Snap, владеющей Snapchat, а также изучили внутренние корпоративные письма, попавшие в руки редакции. Как оказалось, ряд департаментов внутри компании Snap не только имеют инструменты для слежки за пользователями, но и активно пользуются и даже злоупотребляют ими. Сотрудникам Snap доступны такие данные, как местоположение, сохраненные Snap’ы и личные данные пользователей, включая номера телефонов и email-адреса.
Но не только сотрудники Snap имели возможность шпионить за пользователями. Много лет назад подобные вольности позволяли себе и сотрудники компании MySpace. Когда социальная сеть была в зените славы (около десяти лет тому назад), служащие злоупотребляли внутренним инструментом Overlord, о котором не было известно ранее. Он позволял видеть пароли пользователей и читать их сообщения. Порой сотрудники использовали этот бэкдор для получения доступа к учетным данным своих партнеров.
СМИ выяснили, что пограничники устанавливают на смартфоны туристов, въезжающих в Китай, малварь. Судя по всему, власти ищут файлы, подпадающие под определение исламистского экстремистского контента, а также вполне безобидные материалы, тоже связанные с исламом (включая научные труды ведущих исследователей), и даже музыку японской группы Unholy Grave. Малварь собирает все записи из календаря телефона, список контактов, журналы вызовов и текстовые сообщения, а затем загружает их на удаленный сервер. Также она сканирует зараженный девайс, изучая, какие приложения установлены, и в некоторых случаях извлекает из них имена пользователей.
Неизвестный хакер взломал Национальное налоговое управление Болгарии и похитил личные данные миллионов человек. Изначально сообщалось, что во время инцидента были похищены данные примерно пяти миллионов граждан Болгарии, то есть около 70% населения страны. Но цифра была завышена, так как БД содержали данные об иностранцах и уже покойных гражданах. Вскоре информация, которой хакер щедро поделился с болгарской прессой, просочилась на хакерские форумы. Дамп содержал 57 папок размером 10,7 Гбайт с личной и финансовой информацией граждан.
Министерство юстиции США уличило сотрудников компании AT&T в получении более чем миллиона долларов взяток. Платили сотрудникам за внедрение вредоносного ПО и несанкционированного оборудования в сети компании, а также разблокировку примерно двух миллионов мобильных устройств. Так, преступники успешно отвязали от сети AT&T свыше двух миллионов устройств (в основном это были дорогие iPhone).
Летом 2019 года стало известно, что сторонние подрядчики и сотрудники компаний Microsoft, Apple, Google, Facebook и Amazon слушают разговоры пользователей с голосовыми ассистентами и не только. Разумеется, это делается ради улучшения качества услуг и «обучения» алгоритмов.
Эксперты и пользователи немедленно выступили с резкой критикой, и Apple, Google, Facebook и Amazon поспешили заверить, что уже перестали «подслушивать» пользователей, а Microsoft обновила политики конфиденциальности и другие страницы, объясняющие принципы работы Cortana и Skype Translator.
Один из сотрудников компании Nokia подключил USB-накопитель со старыми рабочими файлами к своему домашнему компьютеру, но из-за ошибки в настройках его компьютер и этот носитель оказались свободно доступны из интернета для любого желающего. Диск содержал около 1,7 Тбайт данных, проливающих свет на работу российской СОРМ (Система технических средств для обеспечения функций оперативно-разыскных мероприятий), в частности в сетях оператора МТС.
Бывший инженер Yahoo, проработавший в компании более десяти лет, пользовался своим служебным положением: получал доступ к почтовым ящикам молодых женщин и похищал оттуда откровенные фото и видео. В общей сложности Руис взломал более 6000 учетных записей, причем некоторые из них принадлежали его коллегам и подругам. Из почтовых ящиков своих жертв хакер похищал эротические изображения и видео, которые хранил дома на жестком диске.
Сотрудник компании Trend Micro продал мошенникам личную информацию 68 тысяч клиентов (менее 1% от общей двенадцатимиллионной пользовательской базы компании). В итоге в распоряжении преступников оказались имена клиентов, адреса электронной почты, номера заявок, поданных в службу поддержки, а в некоторых случаях и номера телефонов.
Летом и осенью 2019 года СМИ сообщили о серии утечек данных, которые были допущены крупными российскими банками и компаниями. В их числе были:
По информации аналитической фирмы Chainalysis, всего две хакерские группы ответственны за 60% публично известных инцидентов, связанных с атаками на криптовалютные биржи. Исследователи подсчитали, что преступники похитили уже около миллиарда долларов.
GitHub-аккаунт разработчиков криптовалюты Denarius был взломан, и в Windows-клиент криптовалютного проекта внедрили малварь AZORult.
Пользователи кошельков Electrum пострадали от необычной фишинговой атаки, суммарно лишившись более 4,6 миллиона долларов. Злоумышленники обрушили на серверы Electrum DDoS-атаку, и в результате серверы кошелька оказывались недоступными для пользователей, клиенты автоматически искали другие варианты для подключения и находили лишь вредоносные ноды атакующих.
В ноябре официальный сайт криптовалюты Monero, GetMonero[.]com, предоставляющий бинарники для Linux и Windows, был скомпрометирован и распространял малварь, ворующую средства пользователей. Как минимум один пользователь писал на Reddit, что потерял средства в результате данной атаки, тем самым подтверждая, что малварь была нацелена на кражу криптовалюты.
Также атакам разной степени тяжести подверглось множество криптовалютных обменников. Ниже перечислим только некоторые их них.
Криптовалютная биржа Cryptopia сообщила, что понесла «значительные убытки» в результате кибератаки. Специалисты утверждали, что даже спустя несколько недель, невзирая на все контрмеры со стороны разработчиков, злоумышленники продолжали грабить обменник.
Криптовалютная биржа Bithumb подверглась кибератаке в третий раз за последние два года. Так, первый взлом Bithumb произошел еще в июле 2017 года, и тогда со счетов ресурса было похищено неизвестное количество Bitcoin и Ethereum (на несколько миллионов долларов). Второй взлом случился летом 2018 года, и злоумышленники похитили 35 миллиардов вон, то есть около 31 миллиона долларов в криптовалюте (преимущественно Ripple). В результате третьего взлома с горячего кошелька биржи вывели более 3 миллионов токенов EOS (около 13 миллионов долларов) и 20 миллионов токенов Ripple (примерно 6 миллионов долларов). Взломщики перевели похищенные средства в различные площадки, включая Huobi, HitBTC, WB, EXmo.
Более 100 тысяч пользователей канадской криптовалютной биржи QuadrigaCX лишились доступа к своим средствам. Дело в том, что создатель ресурса Джеральд Коттен (Gerald Cotten) скончался, а после его смерти оказалось, что он был единственным, кто имел доступ к холодному кошельку биржи.
Неизвестным злоумышленникам удалось похитить с горячего кошелька сингапурской криптовалютной биржи Bitrue 9,3 миллиона токенов Ripple (XRP) и 2,5 миллиона токенов Cardano (ADA) общей стоимостью 4,25 миллиона долларов и 225 тысяч долларов соответственно. Произошедшее стало второй кибератакой на Bitrue в 2019 году. В начале года биржа оказалась жертвой атаки 51%, в ходе которой злоумышленники пытались похитить 13 тысяч токенов Ethereum Classic (ETC), но тогда подозрительную активность обнаружили вовремя и атаку удалось предотвратить.
Полной компрометации подверглась инфраструктура одной из крупнейших в Японии криптовалютных бирж, Bitpoint. Атака затронула как горячие, так и холодные кошельки биржи, в результате чего было украдено 3,5 миллиарда иен (около 32 миллионов долларов) в криптовалютах Bitcoin, Bitcoin Cash, Litecoin, Ripple и Ethereal. При этом только 2,5 миллиарда иен (23 миллиона долларов) принадлежали клиентам биржи, остальными средствами владел сам обменник (это были резервные фонды и прибыль).
Проблемы не обошли стороной и одну из крупнейших криптовалютных бирж мира — Binance. Так, в мае у пользователей ресурса похитили более 41 миллиона долларов в ходе масштабной и тщательно спланированной атаки, а в августе в Сети начали распространяться данные KYC (Know Your Customer), якобы украденные у Binance, за которые злоумышленники попросили выкуп. В конечном итоге представители биржи частично подтвердили утечку KYC-данных и предложили вознаграждение в размере до 25 BTC за любую информацию, которая поможет идентифицировать неизвестного вымогателя и передать его в руки правоохранительных органов.
В Chrome заработал встроенный блокировщик рекламы, и разработчики Chromium вносят тревожные изменения в код. Из-за этого работа других блокировщиков и защитных расширений оказалась под большим вопросом.
Разработчики Opera, Brave и Vivaldi официально заявили, что не намерены поддерживать взятый Google курс на борьбу с блокировщиками.
На фоне шквала критики, обрушившегося на компанию Google, довольно интересно выглядит ситуация, сложившаяся вокруг компании Apple. Дело в том, что Apple точно так же ограничила работу блокировщиков и других расширений в Safari, однако никто не обратил внимания на это и не возмутился.
Представители Агентства национальной безопасности США объявили об открытии исходных кодов Ghidra — инструмента для обратного инжиниринга, который сами спецслужбы применяют уже порядка двадцати лет. Напомню, что широкая общественность узнала о Ghidra в 2017 году, благодаря документам Vault7, опубликованным WikiLeaks. Впрочем, до этого факт существования Ghidra тоже не был засекречен. Мы посвятили изучению Ghidra несколько статей.
Выяснилось, что каждое пятое бесплатное VPN-приложение для Android из числа 150 самых популярных в каталоге Google Play может представлять опасность для пользователей.
Исследователи из AV-Comparatives изучили 250 популярных защитных приложений из официального каталога Google Play и пришли к неутешительным выводам: почти две трети антивирусов для Android не выполняют заявленных в их рекламе функций. Хуже того, порой такие приложения называют малварью сами себя, не «видят» настоящих угроз и, по сути, не делают ничего полезного вовсе.
Chrome и Firefox включили для многих пользователей протокол DNS-over-HTTPS (DoH) и проводят тестирование. Вся суть нового протокола отражена в его названии: он отправляет DNS-запросы на специальные DoH-совместимые DNS-серверы через зашифрованное соединение HTTPS, но не использует классические незашифрованные UDP-запросы. Кроме того, DoH работает на уровне приложений, а не на уровне ОС. По сути, он скрывает DNS-запросы внутри обычного потока HTTPS-данных.
Разработчики браузера Vivaldi признали, что с релиза версии 2.10 их браузер маскируется под Chrome, чтобы пользователи могли получить доступ к сайтам, которые в противном случае несправедливо их блокируют. Это будет реализовано путем замены user-agent. Девелоперы отмечают, что некоторые блокируют Vivaldi из-за нежелания разбираться с возможными ошибками, тогда как крупные технологические компании, такие как Google и Microsoft, уже давно саботируют подобным образом работу конкурентов.
В феврале 2019 года аналитики компании Check Point предупредили, что северокорейская хак-группа Lazarus (она же HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY и APT38) начала атаковать российские компании. Исследователи уверяли, что это беспрецедентный и первый зафиксированный случай, так как чаще всего Lazarus атакуют цели в Южной Корее и Японии.
Хак-группа Winnti, впервые обнаруженная еще в 2011 году, по-прежнему активна, и ее целями становятся игровые компании, из-за чего происходят атаки на цепочку поставок. По информации исследователей ESET, злоумышленники успешно инфицировали бэкдорами как минимум две игры и одну игровую платформу, из-за чего пострадали десятки или даже сотни тысяч пользователей.
Эксперты компании FireEye заметили, что хак-группа FIN6 сменила тактику. Теперь вместо использования привычной PoS-малвари Trinity злоумышленники стали применять в своих операциях и шифровальщики Ryuk и LockerGoga.
Специалисты «Лаборатории Касперского» рассказали об интересном шпионском фреймворке TajMahal, обнаруженном осенью 2018 года в ходе атаки на дипломатическую организацию, принадлежащую одной из стран Центральной Азии. В арсенал злоумышленников входят бэкдоры, лоадеры, оркестраторы, средства для записи аудио, перехвата нажатий клавиш, изображения с экрана и камер, хищения документов и криптографических ключей и многое другое.
Некто Lab Dookhtegan опубликовал в открытом доступе инструменты иранской APT34, а также информацию о жертвах хакеров и сотрудниках Министерства информации и национальной безопасности Ирана, которые якобы связаны с операциями группировки. Эти «сливы» данных продолжились позже: в даркнете и в Telegram была опубликована информация о деятельности групп MuddyWater и Rana Institute, а затем выложен еще один инструмент, принадлежащий APT34, — утилита Jason.
Даже после ареста лидера группировки Fin7 исследователи обнаружили несколько новых инцидентов, за которыми стояли участники этой хак-группы. Более того, методы атак группы усложнились. Эксперты полагают, что Fin7 могла увеличить число атакующих групп, работающих под ее «зонтичным брендом», и с большой вероятностью продолжила практику найма сотрудников под видом вполне официального секьюрити-вендора.
Китайская хак-группа Buckeye (она же APT3, Gothic Panda, TG-011 и UPS) хорошо известна правоохранителям всего мира. Считается, что она активна как минимум с 2009 года, связана с Министерством государственной безопасности КНР и действует через Центр оценки информационных технологий Китая (CNITSEC), а также Центр безопасности ITSEC в Гуандуне. От атак Buckeye страдали такие компании, как Siemens и Trimble. Теперь компания Symantec выяснила крайне интересный факт: Buckeye применяла известный бэкдор DoublePulsar еще в марте 2016 года, то есть задолго до того, как он «утек» у американских спецслужб.
Эксперт компании NewSky Security Анкит Анубхав (Ankit Anubhav) обнаружил, что неизвестная группа иранских хакеров атакует веб-приложения для секвенирования ДНК. Для этой кампании злоумышленники эксплуатируют неисправленную уязвимость. Неясно, как именно они намерены использовать свои бэкдоры. Анубхав допускает два возможных сценария. В первом случае злоумышленники могут попытаться извлечь хеши секвенирования ДНК из БД приложения. Во втором случае злоумышленники могут сделать зараженные серверы частью ботнета или использовать shell’ы для установки майнеров криптовалюты на взломанные системы.
Группировка Xenotime, существующая как минимум с 2017 года и ответственная за атаки малвари Triton (он же Trisis), вновь активна и «прощупывает» энергосети в США и Азиатско-Тихоокеанском регионе. Злоумышленники действуют разными методами, но в целом используют те же тактики, которые обычно применяют против нефтегазового сектора.
Группировка Intrusion Truth продолжила деанонимизировать китайских «правительственных хакеров». На этот раз обнародованы данные о предполагаемых членах APT17. Intrusion Truth публикует свои разоблачения и деанонимизирует участников китайских кибершпионских групп уже третий раз.
Специалисты Microsoft Threat Intelligence Center предупредили об изменениях в «почерке» известной русскоязычной хак-группы APT28 (она же Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit и Tsar Team). Хакеры все чаще компрометируют устройства интернета вещей (будь то VoIP-телефоны, принтеры или другие IoT-девайсы), чтобы проникнуть в корпоративную сеть и там переключиться на другие, более значимые цели.
Аналитики Group-IB подсчитали, что подтвержденная сумма хищений, совершенных русскоязычной хак-группой Silence с июня 2016 года по июнь 2019 года, составляет не менее 272 миллионов рублей. Жертвами Silence ранее становились российские банки, однако в новом отчете фиксируется значительное расширение географии их преступлений: аналитики Group-IB выявили атаки Silence более чем в 30 странах Европы, Азии и СНГ.
Обнаруженная в этом году хак-группа Calypso действует с 2016 года и нацелена на государственные учреждения. В настоящее время группа активна на территории шести стран: по данным экспертов, от действий группировки уже пострадали организации из Индии (34% жертв), Бразилии, Казахстана (по 18%), России, Таиланда (по 12%) и Турции (6%). APT-группировка предположительно имеет азиатские корни и относится к числу китайскоговорящих.
Выявлена группировка DarkUniverse, которая упоминалась среди данных, похищенных у АНБ хакерами из ShadowBrokers.
Напомню, что в апреле 2017 года хак-группа ShadowBrokers опубликовала очередной дамп данных, похищенных у АНБ. Дамп был назван «Трудности перевода» (Lost in Translation) и среди прочего содержал скрипт sigs.py, ищущий в скомпрометированной системе следы присутствия 44 различных APT. Аналитики «Лаборатории Касперского» обнаружили APT, описанную 27-й функцией этого скрипта. Группировку назвали DarkUniverse, сообщается, что она оставалась незамеченной по крайней мере восемь лет (с 2009 по 2017 годы).
В преддверии летних Олимпийских игр 2020, которые пройдут в Токио, власти Японии хотят обезопасить пользовательские устройства. Для этого власти планируют вторгаться на IoT-устройства ради улучшения их безопасности.
Обладатели самозашнуровывающихся кроссовок Nike Adapt BB пожаловались, что официальное приложение прекратило работать, а после обновлений обувь вообще перестала «отвечать». «Спарить» кроссовки с приложением не получается, и при обновлении многие столкнулись с ошибками, после которых правый или левый кроссовок «превращались в кирпич» и никак не реагировали на действия пользователя.
Более 600 тысяч GPS-трекеров T8 Mini, производимых китайской IoT-компанией Shenzhen i365-Tech и применяющихся для мониторинга местоположения детей, пожилых людей, домашних животных, автомобилей, используют пароль 123456. В итоге злоумышленники могут подслушать разговоры рядом с GPS-трекером, подделать реальное местоположение устройства, а также узнать номер прилагаемой к трекеру SIM-карты.
Echobot, новая вариация ботнета Mirai, нацелен на более чем 50 различных уязвимостей и уже успел затронуть более 34% компаний по всему миру. Особенно активно малварь эксплуатирует проблемы удаленного внедрения команд (Command Injection Over HTTP). Судя по всему, операторы малвари пустили в дело всевозможные публично доступные эксплоиты для давно известных уязвимостей, часть из которых датированы 2010 годом.
Американские власти не оставили без внимания выход мемуаров Эдварда Сноудена, получивших название Permanent Record. Власти не попытались воспрепятствовать распространению книги, вместо этого Министерство юстиции США подало гражданский иск против Сноудена за нарушение соглашений о неразглашении, которые тот некогда подписывал с АНБ и ЦРУ. Минюст не пытался блокировать распространение самой книги, но попросил суд передать властям все средства, вырученные от ее продаж.
В декабре 2019 года федеральный суд в Вирджинии вынес решение: судья согласился с мнением американских властей и счел, что Эдвард Сноуден действительно нарушил соглашения с АНБ и ЦРУ, а значит, не имеет права зарабатывать на автобиографии.
Брайан Эктон (Brian Acton), один из сооснователей мессенджера WhatsApp, теперь принадлежащего компании Facebook, продолжает высказываться о социальной сети в крайне негативном ключе. Эктон покинул компанию еще в 2017 году, незадолго до старта монетизации мессенджера. И во время лекции в Стэнфордском университете он рассказывал о своем решении продать мессенджер Facebook и в очередной раз призвал собравшихся удалить свои аккаунты в социальной сети. Дело в том, что Эктон убежден: для Facebook на первом месте стоит вовсе не приватность пользователей, а монетизация продуктов.
Также с критикой в адрес WhatsApp выступил основатель Telegram Павел Дуров. В конце года в мессенджере нашли и устранили критическую ошибку, при помощи которой злоумышленники могли удаленно скомпрометировать устройство и похитить защищенные сообщения чата и файлы. Дуров еще в мае текущего года предсказывал, что в WhatsApp продолжат находить бэкдоры, и, по его мнению, мессенджеру определенно нельзя доверять.
«WhatsApp не только не защищает ваши сообщения, но и постоянно используется как троянский конь для слежки за вашими фотографиями и сообщениями, которые к WhatsApp не относятся», — пишет Дуров и добавляет, что Facebook давно сотрудничает со спецслужбами и следит за людьми.
Подошло к концу громкое судебное разбирательство, о котором мы писали неоднократно. В центре скандала оказался 25-летний британский ИБ-специалист Маркус Хатчинс, также известный как MalwareTech. В 2017 году именно он обнаружил в коде WannaCry аварийный «стоп-кран» и остановил распространение малвари, положив конец эпидемии.
Хатчинса арестовали еще в 2017 году, когда он прилетел в США на конференции Black Hat и DEF CON. Тогда ФБР обвинило специалиста в создании и распространении банковского трояна Kronos в 2014–2015 годы. Судья приговорил Маркуса Хатчинса к сроку заключения, равному тому, который тот уже провел под стражей, а также обязал исследователя в течение года находиться под надзором правоохранителей. Штрафов на специалиста не наложили и разрешили вернуться на родину, в Великобританию (вероятно, в будущем въезд в США для Хатчинса будет закрыт из-за его судимости). Также судья посоветовал юристам эксперта рассмотреть возможность прошения о полном помиловании. Адвокаты назвали это беспрецедентным и пообещали заняться этим вопросом.
Представители Microsoft сами призывают отказаться от использования Internet Explorer. По их словам, это не полноценный браузер, а продукт для корпоративных клиентов, которым приходится иметь дело с legacy-решениями.
Совместная операция ФБР и правоохранительных органов ряда европейских стран привела к закрытию торговой площадки xDedic, на которой с 2016 года продавали доступ к взломанным серверам со всего мира.
Операторы защищенного почтового сервиса VFEmail сообщили, что их ресурсу пришел конец и он вряд ли снова заработает в полном объеме. Дело в том, что 11 февраля 2019 года неизвестные злоумышленники проникли на американские серверы проекта и уничтожили там все данные, до которых только смогли добраться. Взломщики буквально отформатировали диски на всех машинах, и в результате были потеряны все виртуальные машины, все бэкапы и файловый сервер.
Разработчики сервиса Coinhive, который задумывался как легальная и простая альтернатива классической баннерной рекламе, но приобрел огромную популярность среди преступников, сообщили о закрытии своего проекта. Администрация Coinhive признается, что после хардфорка Monero хешрейт упал более чем на 50%. Также на решение разработчиков Coinhive повлиял общий «обвал» криптовалютного рынка, так как XMR потеряла около 85% стоимости по сравнению с 2018 годом. Сервис прекратил работу в марте 2019 года.
Один из крупнейших маркетплейсов в даркнете — Dream Market объявил о закрытии в конце апреля. На главной странице появилось лаконичное сообщение о том, что все сервисы перейдут к некой «партнерской компании», чей сайт пока даже не заработал. Один из модераторов ресурса писал, что сайт постоянно страдал от серьезных DDoS-атак (у Dream Market действительно наблюдались технические проблемы). После продолжительного DDoS’а от операторов маркетплейса и вовсе потребовали за прекращение атак 400 тысяч долларов США, но те отказались платить. В итоге было принято решение передать ресурс «партнерской компании».
Конец настал и для еще одного крайне популярного в даркнете маркетплейса — Wall Street Market (WSM). Администрация торговой площадки присвоила около 30 миллионов долларов пользовательских средств и скрылась. Пострадавшими в данном случае стали торговцы самыми разными незаконными товарами, включая наркотики, оружие и малварь.
Правоохранительные органы сообщили о закрытии Wall Street Market и Valhalla (он же Silkkitie). Можно только гадать, успели администраторы Wall Street Market скрыться с деньгами пользователей, как было замечено выше, или экзит-скам все же завершился арестом операторов площадки, а WSM какое-то время находился под контролем правоохранителей.
Нидерландское управление по борьбе с финансовыми преступлениями (FIOD), а также Европол и правоохранители Люксембурга в результате совместной операции закрыли сервис-микшер Bestmixer.io, занимавшийся отмыванием криптовалюты. Bestmixer, запустившийся в мае 2018 года, был одним из трех крупнейших в мире микшер-сервисов и предлагал свои услуги по отмыванию Bitcoin, Bitcoin cash и Litecoin. За год работы через сайт прошло примерно 27 тысяч BTC, то есть порядка 200 миллионов долларов США, а его операторы получали около 600 тысяч в месяц.
Давно утратившая популярность социальная сеть MySpace потеряла все данные пользователей, загруженные с 2003 по 2015 годы (включая музыку, фотографии и видео). Во время переноса информации на новые серверы данные были повреждены, и восстановить их невозможно. Очевидно, бэкапов у компании не было.
Об уходе от дел этим летом объявили операторы RaaS (Ransomware-as-a-Service) GandCrab. Через RaaS-портал GandCrab злоумышленники приобретали доступ к вымогателю GandCrab, а затем распространяли опасную малварь посредством спама, наборов эксплоитов и подобного. Когда жертвы шифровальщика платили выкуп преступникам, разработчики GandCrab получали небольшую комиссию, тогда как остальная часть денег оседала в руках «арендаторов» вредоноса.
В своем послании разработчики GandCrab похвастались, что собираются «уйти на заслуженную пенсию», так как в общей сложности выкупы принесли преступникам более 2 миллиардов долларов и операторы получали примерно 2,5 миллиона долларов в неделю (150 миллионов долларов в год). Эксперты в области безопасности сошлись во мнении, что эти цифры вряд ли соответствуют действительности.
Вскоре после этого ИБ-специалисты представили новые инструменты для дешифровки данных, пострадавших в результате атак любых версий GandCrab.
Прекратило работу пиратское стриминговое приложение CotoMovies. Это решение было связано с давлением со стороны компаний, снявших такие ленты, как «Хеллбой» и «Падение ангела». Разработчик CotoMovies принес публичные извинения создателям фильмов и другим правообладателям на домашней странице проекта. Оператор приложения пишет, что извлек уроки из случившегося и теперь понимает, какой ущерб могут нанести пиратские приложения. Он пообещал не нарушать ничьих авторских прав и призвал пользователей сделать то же самое.
Пользователи, разумеется, были разочарованы, но, похоже, в будущем их могут ждать и более неприятные эмоции, связанные с CotoMovies. Дело в том, что создатель приложения согласился передать пользовательские данные и сообщения правообладателям, чтобы те смогли добиться соблюдения законов и следить за своей ценной интеллектуальной собственностью.
Немецкие правоохранители закрыли «пуленепробиваемый» хостинг, который базировался в бывшем военном бункере НАТО, расположенном в Западной Германии. Речь идет о небезызвестном интернет-провайдере CB3ROB и веб-хостинге Cyberbunker. Главой этого предприятия выступает Свен Олаф Камфуис (Sven Olaf Kamphuis), ранее описывавший себя как «министра телекоммуникаций и иностранных дел Республики Кибербункер». На своей странице в Facebook Камфуис выражает крайнее возмущение происходящим, так как по немецким законам интернет-провайдеры не могут нести ответственность за действия своих клиентов, если только, грубо говоря, не вступают в сговор с ними.
16 апреля 2019 года Госдума одобрила в третьем чтении законопроект, направленный на «защиту устойчивой работы интернета в России в случае возникновения угрозы его функционирования из-за рубежа». Документ быстро стал известен как законопроект о «суверенном интернете» или «об изоляции Рунета», он предусматривал внесение поправок в законы «О связи» и «Об информации, информационных технологиях и о защите информации».
Компании Facebook и Twitter по-прежнему не локализовали базы данных пользователей в России, то есть не перенесли данные российских пользователей на территорию РФ. В связи с этим представители Роскомнадзора направили компаниям уведомления о необходимости соблюдения закона, и, хотя надзорное ведомство получило ответы от Facebook и Twitter, они не удовлетворили представителей Роскомнадзора, в частности из-за того, что «не содержали конкретики». В итоге в апреле текущего года социальные сети были оштрафованы на 3000 рублей каждая.
Роскомнадзор потребовал от ряда крупных VPN-сервисов подключиться к государственной информационной системе (ФГИС). Напомню, что ФГИС содержит сведения о ресурсах, доступ к которым должен быть заблокирован на территории РФ. В свою очередь, закон о жесткой регуляции анонимайзеров и VPN, которые могут быть использованы для обхода блокировок (276-ФЗ), вступил в силу еще в 2018 году. Многие компании заявили, что не намерены выполнять требования Роскомнадзора.
Еще в конце июня 2019 года глава РКН Александр Жаров выражал недовольство тем, что в мае фильтрация запрещенного контента в Google упала до уровня около 67,5–70%, хотя еще в апреле из поисковой выдачи удалялось 80% запрещенного контента. В итоге в июле 2019 года стало известно, что Роскомнадзор оштрафовал компанию Google на 700 тысяч рублей, так как «компания не выполнила требования закона „Об информации…“ по исключению из результатов поисковой выдачи ссылок на интернет-ресурсы с противоправной информацией».
Совет Федерации одобрил поправки в федеральный закон «О национальной платежной системе» и федеральный закон «О Центральном банке Российской Федерации (Банке России)». Внесенные изменения подразумевают, что пользователи Яндекс.Денег, «QIWI Кошелька», WebMoney, PayPal, VK Pay и других анонимных электронных кошельков больше не смогут пополнять их без идентификации личности. Таким образом, пополнение кошельков наличными, через платежные терминалы и офисы операторов сотовой связи, скоро останется в прошлом.
«Билайн», «МегаФон» и Tele2 совместно с Россвязью уже готовятся к введению идентификации по IMEI, что должно ограничить серый импорт гаджетов и помешать мошенникам использовать украденные телефоны. В Россвязи рассказали, что подготовка к введению идентификации по IMEI предусматривает запуск пилотного проекта, который позволит протестировать различные бизнес-процессы. Площадкой для этого проекта станет подведомственный Россвязи Центральный научно-исследовательский институт связи (ЦНИИС), именно он управляет центральной базой данных IMEI.
2 декабря 2019 года президент РФ Владимир Путин подписал закон, который вступит в силу с 1 июля 2020 года и обяжет производителей предустанавливать российские приложения на смартфоны и другие устройства, предназначенные для продажи на территории нашей страны (компьютеры, телевизоры с функцией Smart TV и прочие).
Российская ассоциация торговых компаний и товаропроизводителей электробытовой и компьютерной техники (РАТЭК) обращались к президенту с просьбой отклонить законопроект. По мнению предпринимателей, применение закона окажет негативное воздействие на отрасль, ухудшит конкурентную ситуацию в сфере российского софта, а также приведет к ее монополизации.
Теперь пора уделить внимание прогнозам крупных ИБ-компаний и узнать, каким они видят грядущий 2020 год и какие тренды предсказывают.
Самой пугающей тенденцией 2019 года эксперты компании назвали использование кибероружия в открытых военных операциях. Аналитики считают, что тема кибербезопасности вышла на первый план в мировой политической повестке. Блэкаут в Венесуэле, открытые военные операции в киберпространстве между конфликтующими государствами, а также нарушение работы интернета в отдельно взятых странах — это крайне опасные прецеденты, способные привести к социальному и экономическому ущербу, а также дестабилизации ситуации в государствах.
В целом исследователи отслеживают десятки киберкриминальных групп и прогосударственных атакующих, целью которых является шпионаж и саботаж. За исследуемый период были активны 38 групп, спонсируемых государствами, из них семь — новые.
«Конфликт между государствами приобрел новые формы, и киберактивность играет ведущую роль в этом противостоянии. Фокус исследователей во всем мире постепенно смещается с финансово мотивированных хакерских групп, зарабатывающих деньги взломом различных организаций, в сторону прогосударственных атакующих. Их активность остается незамеченной годами, немногие прецеденты становятся достоянием общественности, но большинство из них говорит о том, что объекты критической инфраструктуры многих стран уже скомпрометированы. Это говорит о том, что мирное существование больше невозможно в отрыве от кибербезопасности: этот фактор не может игнорировать ни одно государство, ни одна корпорация, ни один человек», — говорит Дмитрий Волков, технический директор, руководитель Threat Intelligence, сооснователь Group-IB.
В начале 2019 года одним из трендов был рост случаев криптоджекинга — скрытого майнинга криптовалюты на зараженных устройствах, а также рост числа кибератак с использованием умных гаджетов. На данный момент один из главных трендов — развитие и повсеместное внедрение машинного обучения. Хотя до создания полноценного искусственного интеллекта еще далеко, машинное обучение становится одним из ключевых технологических достижений современности.
Эксперты ESET отмечают, что очень впечатляющими темпами развиваются дипфейки — технологии, позволяющие при помощи искусственного интеллекта подделывать голоса и лица людей. По мнению аналитиков компании, именно эта технология в 2020 году станет одной из наиболее востребованных среди киберпреступников. В будущем дипфейки могут способствовать еще более широкому распространению фальшивых новостей, поэтому следует скептически относиться даже к самым реалистичным видео- или аудиозаписям.
Еще один тренд 2020 года — создание умных зданий и целых умных городов. Более чем в 80% новых построек используются элементы интернета вещей. При этом эксперты обеспокоены тем, что умные города активно разрастаются, а их системы защиты по-прежнему недостаточно развиты. Во многих умных гаджетах нет достаточно надежного протокола аутентификации, а в некоторых и вовсе отсутствует какое-либо решение для информационной безопасности.
Эксперты компании считают, что накопление проблем ИБ в различных сферах достигает предельной отметки. Аппаратные уязвимости пока не нанесли ущерба, однако дальновидные компании стали включать в свою модель угроз такие проблемы уже сейчас, понимая, что, когда преступники научатся эксплуатировать подобные уязвимости, защищаться будет уже поздно.
А вот APT-атаки, напротив, «отработали» по полной, угрожая не только бизнесу, но и государственным учреждениям и объектам инфраструктуры.
Новости об утечках данных в этом году стали особенно громкими, в том числе и потому, что злоумышленники предположительно объединили утечки прошлых лет в единый массив для торговли на теневом рынке более полными цифровыми досье пользователей. Многие технологии имеют свою темную сторону, которая может выйти из-под контроля и стать угрозой для всех. С грядущим распространением сетей 5G эксперты связывают возникновение новых рисков для телеком-операторов. Развитие искусственного интеллекта и технологий машинного обучения не только делает жизнь удобнее, но и дает мощный толчок для совершенствования инструментов взлома, а также для появления новых методов социальной инженерии.
Специалисты Avast считают, что в 2020 году злоумышленники будут искать новые методы распространения угроз и совершенствовать методы заражения (это могут быть рассылка вредоносных писем, кража входящей почты, шпионаж, эксплуатация уязвимостей RDP).
«Киберпреступники все время ищут новые способы, чтобы обойти современные решения безопасности и добраться до конечного пользователя. Самое уязвимое место — человек, поэтому злоумышленникам важно, чтобы их письма доходили до жертв и не блокировались системами безопасности. Но, поскольку вредоносные письма рассылаются не первый год и многие люди уже знают, как они выглядят, хакеры стремятся сделать их максимально правдоподобными. Их действительно становится все сложнее с ходу обнаруживать, а значит, процент успешных атак повышается», — комментирует Якуб Крустек.
Также эксперты прогнозируют, что злоумышленники будут пытаться найти уязвимости в устройствах Apple. Николаос Хрисаидос, глава отдела исследования угроз и защиты для мобильных устройств Avast, уверен, что в следующем году в iOS обнаружат большое количество уязвимостей — причем как исследователи, так и хакеры. Вредоносные и фейковые приложения будут все чаще попадать в официальные магазины приложений.
Ожидается больше атак, нацеленных на умные устройства. Количество умных устройств растет, но не все пользователи готовы соблюдать технику безопасности при работе с ними. Согласно данным Avast Smart Home Report 2019, 44% российских умных домов имеют как минимум одно уязвимое устройство, которое ставит под угрозу безопасность всей сети.
«Умные устройства и физические локации, например умные парки, которые собирают данные, очень удобны. Но людям становится сложнее контролировать свою приватность в сети. Возможно, что хакеры будут больше интересоваться компаниями, собирающими данные: так они смогут получить больше данных для продажи в даркнете», — объясняет ИБ-специалистка Анна Широкова.
Специалисты компании называют 2019 год годом атак вымогателей на муниципальные службы и отмечают, что эта тенденция, скорее всего, сохранится в 2020-м. Более того, злоумышленники все чаще выбирают своими целями организации, которые готовы заплатить значительные суммы за восстановление данных. Исследователи назвали этот метод «целевым вымогательством». Подобные атаки становятся все агрессивнее, и возможно, что вскоре вместо блокировки файлов злоумышленники также начнут угрожать их публикацией.
Операции под ложным флагом давно стали важным тактическим элементом для многих APT-групп, и, по мнению экспертов, эта тенденция продолжится в будущем: преступные группы будут стремиться не только избежать установления их авторства, но и выставить виноватым кого-то другого. Для данных целей могут, например, использоваться установленные бэкдоры, которые ассоциируются с другими APT-группировками. Злоумышленники могут не только использовать чужой код, но и намеренно сливать свой, чтобы им воспользовались другие группировки и тем самым еще больше запутали общую картину.
Ожидают в компании и роста числа атак на инфраструктуру. Так, в последние годы эксперты наблюдали целый ряд атак на объекты критически важной инфраструктуры, и, как правило, они были связаны с определенными геополитическими целями. Заражение промышленных объектов пока происходит по большей части из-за «традиционных» вредоносных программ, но сам факт заражений показывает, какими уязвимыми могут быть такие предприятия. Маловероятно, что целевые атаки на объекты критически важной инфраструктуры когда-нибудь станут основным полем деятельности киберпреступников. Но геополитические конфликты разворачиваются на фоне нарастающего взаимопроникновения физического мира и кибермира, и такие кампании предоставляют правительствам способ возмездия на стыке дипломатии и военных действий.
Так как виртуальная жизнь пользователей переместилась из персональных компьютеров в мобильные устройства, некоторые злоумышленники это заметили и быстро принялись разрабатывать методы атак на новые цели.
Злоумышленники вкладывают большие деньги в разработку новых технологий и четко понимают, что сейчас практически у каждого в кармане есть телефон, а информация на этих устройствах представляет ценность. Вряд ли это изменится в ближайшем будущем. Интересно, что в этом году, согласно прайс-листу брокера уязвимостей Zerodium, устойчивые эксплоиты для Android стали дороже подобных для iOS.
Мало того что объемы хранящихся данных постоянно растут — возникает опасность утечек особо чувствительных данных, в частности биометрических. Также широко обсуждаемые случаи создания подделок с помощью нейросетей (дипфейки) повышают вероятность таких инцидентов, особенно в сочетании с менее очевидными аудио- и видеовекторами. Не стоит забывать о возможности автоматизировать такие методы, а также применить ИИ для профилирования жертв и создания таких информационных подделок. Эти способы очень похожи на то, как используют социальные сети в ходе предвыборной агитации. Эта технология уже применяется, и эксперты уверены, что рано или поздно злоумышленники тоже начнут ее эксплуатировать.
Средняя утечка данных обходится компании в 3 920 000 долларов
Facebook — самое скачиваемое приложение десятилетия
Попав в сеть, данные банковских карт оказываются в руках злоумышленников через два часа
Пароли password и 123456 по-прежнему одни из самых популярных
Влияние майнинговой малвари снизилось на 70%
Более 60% всей спамерской активности генерируют США, Россия и Украина
Только 5,5% уязвимостей действительно используются для реальных атак
С 2015 года атаки хактивистов сократились на 95%
С июля по сентябрь 2019 года Google отправила более 12 тысяч предупреждений, оповещая пользователей о «правительственных» атаках
Рынок интернет-пиратства в России показал первое падение за пять лет: его объем составил 63 500 000 долларов
Читайте также
Последние новости