По данным "Лаборатории Касперского", во II квартале 2020 г. группы, занимающиеся проведением кампаний кибершпионажа и сложных целевых атак, продолжали совершенствовать свои тактики, техники и инструменты. Тема COVID-19 активно используется для совершения вредоносных операций.
© ComNews
20.08.2020

Во II квартале 2020 г. группы, занимающиеся проведением кампаний кибершпионажа и сложных целевых атак, как сообщают специалисты "Лаборатории Касперского", не снижали активность и продолжали совершенствовать свои тактики, техники и инструменты. Так, в мае зафиксирован ряд атак на суперкомпьютеры, расположенные в Европе. По некоторым предположениям, они совершались с целью заполучить данные исследований, связанных с коронавирусом. Тема COVID-19 активно используется для совершения вредоносных операций. Например, проведена кибератака, предположительно нацеленная на индийских военных. Злоумышленники распространяли троянские программы под видом приложения для контроля распространения коронавируса, обязательного для установки в Индии. Вскоре после этого специалисты "Лаборатории Касперского" обнаружили аналогичную атаку, нацеленную уже на пакистанских пользователей мобильных устройств.

По сообщению "Лаборатории Касперского", одним из ключевых событий прошедшего периода стало то, что группа Lazarus начала вести свою деятельность и в России. Кроме того, в ее арсенале появились программы-вымогатели - нетипичный для APT-кампаний инструмент. Также эксперты обнаружили, что целями Lazarus являются не только кибершпионаж и киберсаботаж, но и кража денег. В числе жертв этой группы в прошлом квартале оказались различные банки и финансовые институты по всему миру. Группа Microcin тоже расширила свой инструментарий и использовала необычный троянец. Его внедряли в память системного процесса на устройстве жертвы. Злоумышленники использовали при разработке усовершенствования, которые позволяют затруднить обнаружение и анализ вредоносного ПО. Также в прошедшем квартале обнаружен неизвестный ранее сложный фреймворк, который закреплялся в ядре Windows с помощью уязвимости в драйвере VirtualBox. Эксперты дали ему название MagicScroll (он же AcidBox).

В отчете "Лаборатории Касперского" сообщается, что во II квартале также отмечены атаки зловреда LightSpy, вобравшего в себя функциональность множества общедоступных эксплойтов, на пользователей iOS-устройств. Вредоносное ПО распространялось через Telegram и Instagram.

"Учитывая непростую геополитическую и торговую ситуацию во многих регионах мира, мы ожидаем продолжение роста активности групп, занимающихся целевыми атаками", - предупреждает руководитель российского исследовательского центра "Лаборатории Касперского" Юрий Наместников. По его словам, вектор атак и применяемые инструменты во многом зависят от тех уязвимостей в популярных программах, которые будут обнаружены в будущем. Основной же метод проникновения - целевой фишинг никуда не денется, так как в основе лежит эксплуатация доверия сотрудников компании или организации. Юрий Наместников считает, что в отношении России скорее можно говорить не об увеличении количества атак, а о появлении активности от групп, которые до этого российскими компаниями не интересовались и в основном фокусировались на других регионах. "Основными драйверами целевых атак является геополитика, экономика и кража интеллектуальной собственности. Значительные события в любой из трех перечисленных областей традиционно приводят к росту количества целевых кибератак", - рассказывает Юрий Наместников.

"Действительно, мы фиксируем рост количества сложных целевых атак с начала года. Этот тренд наметился еще в 2019 г.: тогда 45% атак были выявлены с помощью сложных интеллектуальных средств защиты, в то время как годом ранее эта цифра была уровне 28%. По нашим оценкам, с начала этого года количество целевых атак выросло примерно на 15-20%.", - сообщает пресс-служба "Ростелеком-Солар". По словам представителя кампании, эксперты "Ростелеком-Солар" наблюдают существенную сегментацию профиля киберпреступников. Так, объекты КИИ, промышленность и ТЭК чаще других становятся жертвами кибершпионажа и атак, направленных на внедрение в корпоративную инфраструктуру и получение контроля над ней. "Подобные группировки используют сложные инструменты и специально разработанные хакерские утилиты, по уровню своей квалификации сравнимые с кибервойсками. В то же время атаки на банки нацелены в основном на хищение денежных средств и персональных данных клиентов. Этим занимаются злоумышленники с более типизированным инструментарием, нацеленным на реализацию конкретных векторов атаки и обход средств защиты", - говорит представитель пресс-службы "Ростелеком-Солар". По его словам, росту атак в первом полугодии способствовал массовый переход на удаленный режим работы многих компаний, а также поспешная и иногда вынужденная цифровизация некоторых бизнес-процессов. "Во втором полугодии мы, скорее всего, также увидим рост кибератак в целом. Впрочем, злоумышленники традиционно активизируются именно во втором полугодии - количество киберинцидентов возрастает в среднем на 30%. Хотя в этом году ситуация осложняется переходом на удаленку и всеобщей цифровизацией: киберграмотность пользователей растет намного медленнее, чем объем активностей, которые они переносят в онлайн", - сообщили корреспонденту ComNews в пресс-службе "Ростелеком-Солар".

Старший специалист группы исследования угроз экспертного центра безопасности Positive Technologies Алексей Вишняков подтверждает, что, по данным Positive Technologies, целенаправленные атаки, действительно, преобладают над массовыми. "Такой тренд мы наблюдаем не первый год. В первом полугодии 2020 г. целевыми оказались порядка 65% всех зафиксированных нами киберкампаний. Шпионские кампании составляют значительную часть атак. Так, например, в I квартале 63% всех атак на юридические лица были направлены на кражу информации, во II квартале этот показатель увеличился до 72%. Результаты тестирований на проникновение подтверждают уязвимость современных компаний к проникновению из интернета: в 93% случаев обследуемые компании подвержены в среднем двум разным способам проникновения, причем атакующему для этого требовалось от 30 минут, а в среднем - четыре дня. В случае реальной целенаправленной атаки такие компании станут жертвами взлома и не смогут уберечь ценную информацию", - говорит Алексей Вишняков. Он утверждает, что активность злоумышленников зачастую напрямую связана с надвигающимися (или уже состоявшимися) событиями в мире, которые могут послужить своего рода поводом: прогнозы о второй волне пандемии, оплата выкупов в результате успешной атаки с применением шифровальщика, ставший известным чуть ли не каждому взлом Twitter и т д. Какие-то из них играют на руку в успешных фишинговых атаках, а другие лишь в очередной раз подтверждают отсутствие непробиваемых систем защиты, привлекая все больше и больше злоумышленников с различными навыками и профилями.

"Продвинутые атакующие не ограничиваются какими-то определенными техниками и не следуют традициям. Для них не имеет значения, где окажется подходящая брешь: на периметре в веб-приложении, в слабо защищенной сети филиала или подрядчика, в наличии инсайдера или слабостях отдельно взятого человека. В тех же случаях, когда мы видим неизменность техник и тактик APT-группировок, это скорее признак долгоиграющей успешной стратегии, с сохраняющейся эффективностью атак. Это касается и используемых инструментов: mimikatz, impacket и psexec давно всем известны, но киберпреступники продолжают повсеместно их использовать. С другой стороны, исследователи продолжают обнаруживать новые импланты атакующих - USBCulprit, InvisiMole, новые модификации бэкдора WellMess. Мы прогнозируем использование уже известных недочетов в защите систем, адаптацию к новым находкам и продолжение развития уже имеющихся инструментов и создание новых", - информирует Алексей Вишняков.

Технический директор ГК InfoWatch Андрей Бирюков считает, что ожидать снижения активности к концу текущего года не стоит. По его оценке, количество и изощренность кибератак будут только расти, так как они существуют в "живой среде" и подстраиваются под самые резонансные мировые события (пандемия коронавируса и ее развитие во времени, громкие политические эпизоды и т.д.). "Векторы кибератак всегда находятся в прямой зависимости от них и меняются вместе с ними. Так, например, в этом году происходит более чем достаточно геополитических событий во всем мире, которые являются привлекательными для политически мотивированных APT-группировок, и используются для добычи средств и ресурсов, необходимых им для дальнейшей поддержки своей деятельности. Среди особо привлекательных отраслей для таких атак в России стоит отметить финансовый сектор, крупные производственные, энергетические и ИТ-компании. На мой взгляд, для России одним из главных факторов влияния на эти процессы станет возвращение сотрудников в офисы и завершение режима удаленной работы", - рассказал Андрей Бирюков.

Новости из связанных рубрик