На Standoff 10 ведущие эксперты в области ИБ рассказали, как злоумышленники атаковали российские компании в 2022 году, выделили ключевые тенденции отрасли и дали прогнозы на следующий год. Своим видением поделились представители компаний Positive Technologies, «Тинькофф Банк», «ЕВРАЗ» и Group-IB. В числе главных трендов 2022 года были названы атаки через цепочки поставок (supply chain attack) и внешние зависимости, в том числе в опенсорсных инструментах. В 2023 году эксперты прогнозируют вторую волну кибератак на российский сегмент интернета, которые будут уже не массовыми, а целенаправленными, сложными и хорошо подготовленными. Также ожидается эксплуатация уязвимостей нулевого дня в OC Astra Linux и появление вредоносного ПО, заточенного под Linux-системы, развитие концепции security by design1 и процессов безопасной разработки (DevSecOps).
Начальник отдела обеспечения безопасности информационных систем блока вице-президента по ИТ компании «ЕВРАЗ» Андрей Нуйкин считает, что отечественный бизнес и государственные предприятия постепенно переходят в новую реальность, где объем кибератак будет стабильно высоким, но резкие всплески, подобные тем, что случились весной 2022 года, повторяться не будут.
«В этом году кратно выросло число атак с применением вредоносного ПО и методов социальной инженерии, например фишинга. Кроме того, изменились и сами атаки: мы стали фиксировать инциденты, которых раньше не было совсем, или они встречались в малом количестве, в частности DDoS-атаки2 », — рассказал Андрей.
Многократное увеличение числа DDoS-атак подтверждает и Дмитрий Гадарь, директор департамента ИБ «Тинькофф Банка». Среди тенденций 2022 года в банковской сфере он также отметил беспрецедентный рост количества атак через цепочки поставок и через внешние зависимости (создание в исходном коде продуктов хакерских «закладок», которые через обновления или пакеты могут дойти до клиентов и сделать их уязвимыми: например, встраивание вредоносного кода в библиотеки, модули MPM и npm-пакеты для JavaScript).
«Банковская отрасль в России была и продолжает оставаться наиболее подготовленной к кибератакам, так как Центробанк обязывает финансовые организации внедрять различные средства контроля безопасности и пристально следит за исполнением этого требования. Поэтому от шторма кибератак в основном пострадали третьи стороны — наши поставщики услуг, которые были менее защищены. Причем в случае атаки на банки через цепочку поставок ущерб может быть нанесен не только безопасности предоставляемых сервисов, но и их доступности», — говорит Дмитрий.
Помимо этого, он упомянул, что задача по установке обновлений безопасности теперь решается иначе: сначала организациям следует приостановить обновление, тщательно его проверить и затем аккуратно загрузить.
По словам Дениса Гойденко, руководителя отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies, в 2022 году изменились контекст атак и поведение злоумышленников, в то время как топ популярных техник остался прежним: это атаки через поставщиков, эксплуатация известных уязвимостей, использование различных методов социальной инженерии, а также проникновение в корпоративную сеть через неизвестные или забытые компанией активы, например серверы или средства удаленного доступа (RDP).
Денис добавляет: «Сейчас злоумышленники начали бить не по выгодным с финансовой точки зрения мишеням, а по крупным и медийным компаниям. Таким способом они хотят добиться хайпа, чтобы реализованные ими атаки получили наибольшее освещение в информационном поле и о них узнали все. Как правило, этим занимаются низкоквалифицированные хакеры (иногда даже скрипт-кидди3), а их атаки очень простые по исполнению. К примеру, они могут скопировать большой блок информации из открытого доступа и выложить одним архивом в паблик якобы как результат взлома. В погоне за славой такие злоумышленники стараются придать значение даже самой незначительной атаке, превратив ее в громкое событие».
Руководитель лаборатории цифровой криминалистики и исследования вредоносного кода компании Group-IB Олег Скулкин тоже обозначил этот тренд, а также выделил еще один:
«Последние три-четыре месяца операторы программ-вымогателей стремятся максимально навредить жертве, разрушив ее инфраструктуру. То есть для атак они, как и прежде, используют разные виды шифровальщиков, а также локеры4, которые до этого специалисты по ИБ не фиксировали в России, но никакого выкупа не требуют. Их цель — нанести репутационный ущерб бизнесу, выложив украденные данные в открытый доступ, и нарушить внутренние процессы работы компании. Чаще всего восстановить информацию не удается, так как злоумышленники уничтожают резервные копии, а отдавать ключ для расшифровки наотрез отказываются».
Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies, в свою очередь, добавил, что хактивисты, которые в начале 2022 года взламывали только самые легкодоступные цели и проводили хоть и массовые, но простейшие с точки зрения техник атаки типа «дефейс»5 и DDoS, за прошедшие месяцы значительно улучшили свои навыки. Совершаемые ими атаки становятся не только более сложными и комплексными, но и целевыми6. Раньше такие методы были характерны для высококвалифицированных киберпреступников и APT7-группировок.
«Набирает обороты тренд на усложнение кибератак. Он порожден, во-первых, тем, что многие компании, которые были взломаны ранее, радикально усилили свою защиту и стали менее уязвимы для атак. Во-вторых, если злоумышленники из раза в раз применяют один и тот же инструментарий, техники и тактики, специалистам по ИБ становится все легче их обнаруживать. Поэтому хактивистам приходится постоянно подучиваться», — рассказал Денис.
Помимо этого, эксперт отметил, что стихийный хактивизм8 уже выработал продвинутую организационную структуру, или киберармию, как ее называют в индустрии ИБ.
Денис Кувшинов подчеркнул еще один не менее важный тренд, появившийся в 2022 году: чтобы скрыть сетевую активность при заражении жертвы, хактивисты размещают свои контрольные серверы на популярных внешних сервисах (Telegram, Discord, Yandex Cloud или Dropbox), находящихся в российской инфраструктуре. Этим приемом ранее пользовались хакеры с высокой квалификацией и исключительно в таргетированных атаках.
Чего ждать в 2023 году: прогнозы экспертов
Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies: «Повышение уровня компетенций хактивистов, возможно, вызовет вторую волну кибератак на отечественные компании, государственный сектор и российский сегмент интернета в целом. В отличие от атак первой волны новые атаки будут продвинутыми, таргетированными и хорошо подготовленными».
В продолжение Денис Кувшинов добавил, что в 2022 году опенсорс перестал быть неприкосновенным, хотя раньше считалось, что атаковать через зависимости в продуктах с открытым исходным кодом неэтично. В 2023 году ожидается укрепление этого тренда и появление еще большего количества вредоносных пакетов на публичных сервисах для разработчиков, таких как GitLab. По его словам, эта тенденция подстегнет развитие процессов безопасной разработки.
По прогнозу эксперта, в связи с курсом на импортозамещение можно прогнозировать тренд на обнаружение и эксплуатацию злоумышленниками уязвимостей нулевого дня в системах и приложениях, на которые сейчас переходят отечественные компании, в частности в OC Astra Linux. Также компаниям следует быть готовыми к появлению вредоносного ПО и хакерских инструментов, разработанных под эту операционную систему, и к созданию атакующими вредоносных кампаний, направленных на взлом компьютеров Linux.
Дмитрий Гадарь, директор департамента ИБ, «Тинькофф Банк»: «Количество атак, связанных с компрометацией цепочек поставок, продолжит возрастать. Больше станет DDoS-атак седьмого уровня (в 2022 году преобладали атаки третьего уровня), которые будут стараться мимикрировать под пользовательские. Такие атаки сложнее детектировать, а значит защита должна переходить с сети на уровень приложений. Приложения, в свою очередь, должны иметь возможность детектировать бот активность.
В следующем году будут активно развиваться концепции security by design и zero trust. В отношении первой концепции ранее можно было достаточно вольно проектировать внутренние бизнес-процессы и компенсировать недочеты в безопасности, закрывая компанию несколькими эшелонами защиты из надежных средств ИБ. Сейчас такой вариант невозможен, поэтому необходимо изначально, с первых шагов строить безопасные процессы. Концепция zero trust, приобретающая все большую актуальность, заключается в том, что организации теперь не могут доверять никому: ни внешним зависимостям, ни GitLab, ни третьим сторонам (подрядчикам, поставщикам услуг и т. д.)».
Олег Скулкин, руководитель лаборатории цифровой криминалистики и исследования вредоносного кода, Group-IB: «Злоумышленники постепенно отказываются от своего самого любимого инструмента — Cobalt Strike — и начинают экспериментировать с новыми фреймворками, например Sliver. Ждать появления в 2023 году абсолютно новых техник не стоит. Если говорить о начальных векторах атак, то в следующем году злоумышленники будут проникать в инфраструктуру потенциальных жертв путем эксплуатации уязвимостей в публично доступных приложениях9. Этот тренд, наметившийся уже сейчас, заметно усилится».
- Безопасность как неотъемлемая часть системы: ее интегрируют во все компоненты, в обязательном порядке рассматривают все потенциальные уязвимости и внедряют зарекомендовавшие себя решения.
- Действия злоумышленников, направленные на нарушение работоспособности веб-сайта, инфраструктуры компании или клиентских сервисов. Атакующие искусственно создают лавинообразный рост запросов к онлайн-ресурсу, чтобы увеличить нагрузку на него и вывести его из строя.
- Низкоквалифицированные киберпреступники, которые используют для атак на компьютерные системы, сети или для повреждения веб-сайтов чужие скрипты или программы, не понимая принципа их действия. Считается, что скрипт-кидди слишком неопытные, чтобы самостоятельно написать вредоносный инструмент или эксплойт. Нередко цель таких злоумышленников — произвести впечатление на друзей или других участников хакерского сообщества.
- Программы, которые блокируют доступ к компьютеру.
- Размещение хакерами на взломанном веб-сайте собственного контента, чаще всего компрометирующего организацию. Обычно хактивисты публикуют на взломанных страницах материалы, продвигающие их идеи.
- Хорошо организованная и спланированная кибератака, направленная на целую отрасль либо конкретную компанию, компьютерную сеть или компьютеры отдельных сотрудников. Такие атаки всегда тщательно продуманы, растянуты во времени и реализуются в несколько этапов. Их также называют «таргетированными», «целевыми», «целенаправленными» или «продвинутыми».
- Advanced persistent threats — многоэтапные, тщательно спланированные и организованные кибератаки, направленные на отдельную отрасль или конкретные, как правило, крупные организации. Для проведения таких атак киберпреступники объединяются в преступные группы, которые принято называть APT-группировками. Как правило, такие группы имеют значительные финансовые ресурсы и технические возможности.
- Привлечение внимания общественности к социальным, политическим и другим вопросам при помощи кибератак. В отличие от «черных шляп» (высококвалифицированных киберпреступников) хактивисты, как правило, не ищут финансовой или иной выгоды. Мишенью хактивистов обычно становятся крупные организации, государственные структуры или публичные лица, чьи действия противоречат идеологии хактивистов.
- Приложения, которые доступны вне периметра компании.