Содержание
Offensive vs Defensive Security: актуальное
2023 г. отличился большим количеством быстрых и простых атак на незащищенные инфраструктуры с целью их разрушения. Защищенные же инфраструктуры, в которых действуют центры мониторинга и реагирования на киберугрозы, атакуются более изощренными способами. В топе наиболее популярных и эффективных способов проникновения в компании вновь лидирует эксплуатация уязвимостей в публично доступных в интернете веб-приложениях. Результаты наших проектов 2023 г. показывают, что лучше всего защищены от атак крупнейшие технологические компании (ИТ-гиганты, поставщики ИТ-сервисов, в частности ЦОДы и облачные провайдеры). Вторую строчку занимают финансовые организации, которые традиционно вкладываются в безопасность и следуют отраслевым стандартам ИБ.
Защита через нападение: тренды и прогнозы
Кибербезопасность — основа выживаемости бизнеса
Геополитические события в мире спровоцировали непрекращающийся рост числа атак. В связи с этим в 2023 г. на рынке ИБ повысились требования к качеству услуг по анализу защищенности. Стоит отметить, что для некоторых наших конкурентов это стало неожиданностью. Осознав реальность киберугроз, большинство отечественных компаний уже трезво оценивают ситуацию и заинтересованы в проверке безопасности не только из-за обязательности выполнения требований регуляторов. Впервые при реализации проектов мы наблюдаем запрос на результат — степень текущей устойчивости организации к попыткам взлома. Помимо этого, Указ Президента № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ» стимулировал крупных клиентов оценивать, а также повышать свою киберустойчивость в формате защиты от наступления недопустимых событий. Растет число компаний, которые признают этот подход разумным, принимают и начинают его применять. Этот тренд укрепится в индустрии в следующем году.
Positive Technologies также реализует проекты по верификации недопустимых событий. В 2023 г. количество таких проектов увеличилось вдвое по сравнению с предыдущим годом. Их востребованность сохранится и в следующем году. Продолжает пользоваться спросом анализ защищенности дистанционного банковского обслуживания, причем фокус сместился с веб-ресурсов на мобильные приложения. Это объясняется тем, что пользователи все чаще отдают предпочтение мобильным устройствам и среди прочего совершают денежные переводы через банковские приложения.
Портрет компаний, заказывающих услуги по анализу защищенности, за год изменился. Мы видим, что возрастает значимость кибербезопасности в структуре всей компании. Многие организации, которые ранее не уделяли внимания вопросам защиты, начинают заниматься этим направлением и обращаются к нам. Эти компании — из разных отраслей и разные по масштабу, в том числе представители малого бизнеса, предоставляющие сервисы физическим лицам. Одна из причин того, что кибербезопасность стала играть столь важную роль, — участившиеся утечки персональных данных пользователей и введение оборотных штрафов. Обеспечение ИБ перестало быть задачей, с которой разбирались по остаточному принципу, теперь это основа выживаемости бизнеса.
Уязвимость vs безопасность
Результаты наших проектов, выполненных в течение 2023 г., показывают, что лучше всего защищены от атак крупнейшие технологические компании (ИТ-гиганты, поставщики ИТ-сервисов, в частности ЦОДы и облачные провайдеры). Вторую строчку занимают финансовые организации, которые традиционно вкладываются в безопасность и следуют отраслевым стандартам ИБ.
Ситуация с уязвимостями на периметре компаний улучшается. В числе наших клиентов есть организации, для которых мы регулярно выполняем работы по тестированию на проникновение, и в 2023 г. мы отмечаем у них ускорение патч-менеджмента. Процессы по обнаружению и устранению уязвимостей претерпевают эволюцию, и каждый раз компании возвращаются к нам более защищенными и продолжают правильно выстраивать подход к управлению уязвимостями.
У компаний, защищенность которых мы проверяем впервые, встречаются интересные кейсы, которые наша команда связывает с низкой культурой ИБ. Например, в одной компании мы недавно выявили уязвимость на периметре, которой уже 6 лет. «Возраст» бреши, обнаруженной в другой компании, — 11 лет.
По данным внешних пентестов Positive Technologies, самый популярный способ преодоления периметра и проникновения во внутреннюю корпоративную сеть — эксплуатация уязвимостей в веб-приложениях. Несмотря на тренды на импортозамещение, до сих пор верно утверждение: «внутренние пентесты — это Microsoft Active Directory». В большинстве случаев одной из главных задач внутреннего тестирования на проникновение является получение максимальных1 привилегий в домене Active Directory. В частности, в число наиболее успешно реализуемых атак до сих пор входят атаки на службу сертификации и атаки на отношения между объектами домена (abusing ACLs / ACEs). Кроме того, в 2023 г. было обнаружено огромное количество уязвимостей нулевого дня в Microsoft Exchange — многие компании используют его как почтовый сервер. А так как он высоко привилегирован в инфраструктуре, то его захват позволяет злоумышленникам в большинстве случаев скомпрометировать домен Active Directory — например, извлечь из памяти учетные данные пользователей, обладающих административными правами в AD, или выстроить путь атаки от объекта машинной учетной записи сервера Exchange до получения прав администратора домена или аналогичных, воспользовавшись небезопасной настройкой отношений между объектами домена. Важно отметить, что корпорация Microsoft оперативно выпускает патчи, однако не все компании своевременно их устанавливают, что дает злоумышленникам возможность эксплуатировать критические уязвимости.
Самый популярный способ преодоления периметра и проникновения во внутреннюю корпоративную сеть — эксплуатация уязвимостей в веб-приложениях. Несмотря на тренды на импортозамещение, до сих пор верно утверждение: «внутренние пентесты — это Microsoft Active Directory».
За первые 10 месяцев 2023 г. команда PT SWARM (эксперты Positive Technologies, исследующие безопасность всевозможных систем и устройств) помогла устранить 104 уязвимости нулевого дня в продуктах крупнейших мировых и отечественных производителей, 30% из них — критически высокого уровня опасности. Среди выявленных и закрытых уязвимостей, например, такие как BDU:2023-05857 в системе управления сайтом «1С-Битрикс: Управление сайтом», CVE-2022-43761 и CVE-2022-43764 в системе управления B&R APROL, CVE-2023-22913 и CVE-2023-22916 в межсетевых экранах и точках доступа Zyxel.
Какие уязвимости станут главными угрозами в 2024–2025 гг.? В связи с тем, что скорость патч-менеджмента, по нашему опыту, увеличивается, злоумышленники будут еще активнее искать уязвимости нулевого дня и брать их в оборот, а также отслеживать сведения о свежих уязвимостях и создавать для них эксплойты.
У компаний, защищенность которых мы проверяем впервые, встречаются интересные кейсы, которые наша команда связывает с низкой культурой ИБ. Например, в одной компании мы недавно выявили уязвимость на периметре, которой уже 6 лет. «Возраст» бреши, обнаруженной в другой компании, — 11 лет.
Прогнозы на 2024 г.
В 2024 г. продолжит укрепляться тренд на усложнение и изощренность кибератак. В связи с этим мы ожидаем увеличения спроса на наши сервисы и аналогичные им. Еще один аспект, который надо учитывать, — это повышение требований к качеству работы компаний, оказывающих услуги по анализу защищенности от киберугроз. Клиенты сейчас заинтересованы в получении реалистичной, честной и адекватной оценки их уровня киберустойчивости, что приведет к изменению предоставления услуг red teaming на отечественном рынке ИБ.
Ускорится тенденция, связанная с избавлением от импортозависимости в части ПО, которая прослеживалась в 2023-м и частично в 2022 г. Это уже вызвало определенную турбулентность и спровоцировало появление в продакшене не проверенных с точки зрения информационной безопасности ИТ-решений, призванных заместить продукты ушедших вендоров. Айтишники настраивали их наспех при создании новых инфраструктур. Разумеется, такие системы содержат уязвимости, в первую очередь — ошибки конфигурации, так как широко тиражируемых безопасных кейсов по их настройке пока еще нет. Потребуется как минимум два года на то, чтобы изучить новые решения и в некоторой степени повысить их защищенность хотя бы за счет устранения уязвимостей высокой степени риска, которые злоумышленники могут легко найти и проэксплуатировать.
Должен зародиться долгожданный тренд на открытость в вопросах взлома. Очень часто российские компании скрывают подобные факты и, как правило, опровергают их, даже если в публичном поле появляются доказательства успешной кибератаки. Нежелание делиться с другими организациями и сообществом сведениями о ранее неизвестных вредоносных программах, киберпреступных группировках и новых методах атак препятствует тому, чтобы другие могли подготовиться и проверить свою инфраструктуру по индикаторам компрометации до того, как злоумышленники успеют нанести им серьезный ущерб. А специалисты по ИБ из-за этого лишены возможности начать вовремя разрабатывать способы защиты от актуальных киберугроз. Последние два года ознаменовались беспрецедентным шквалом кибератак, и большинство компаний уже столкнулись с серьезными и высококритичными инцидентами. Кроме того, стали появляться отраслевые центры по безопасности. Все перечисленное должно поспособствовать тому, чтобы компании начали открыто рассказывать о произошедших взломах и предупреждать друг друга.
Веб-атаки на телеком удваиваются
За первые три квартала 2023 г. число атак на веб-ресурсы организаций возросло на 44% по сравнению с аналогичным периодом прошлого года. Наибольший удар пришелся на телеком: количество инцидентов увеличилось в 1,8 раза. Прирост доли инцидентов также произошел в финансовой отрасли, в сфере науки и образования, СМИ и на транспорте. Произошел небольшой спад числа веб-атак, направленных на сферу услуг: их доля снизилась с 35% до 22%.
Например, промышленные предприятия злоумышленники атаковали при помощи эксплуатации уязвимостей на внешнем сетевом периметре. На долю уязвимостей в веб-приложениях пришлось 35%. Транспортные компании, в свою очередь, стали жертвами DDoS-атак (51%), что привело к большому проценту инцидентов, следствием которых стало нарушение основной деятельности (73%). Так, российская государственная железнодорожная компания «РЖД» заявила, что ее веб-сайт и мобильное приложение не работали в течение нескольких часов из-за массовой кибератаки, из-за которой пассажиры были вынуждены покупать билеты только на вокзалах.
Сайты 6 крупных аэропортов в Германии в феврале 2023 г. оказались недоступны из-за DDoS-атаки. Ответственность взяла на себя хактивистская группировка Killnet. По заявлениям представителей аэропортов, никакие системы, кроме веб-сайтов, не пострадали. Помимо этого, группировка хактивистов NoName05716 провела DDoS-атаку на North Sea Ports. Сайт порта некоторое время был недоступен. North Sea Ports управляет портами Флиссинген и Тернезен в Нидерландах, а также портом Гент в Бельгии. Портовые власти Гронингена, Амстердама, Роттердама и Ден-Хелдера (Нидерланды) подтвердили факт DDoS-атаки.
2023 г. был богат на утечки данных (в том числе персональных) с различных веб-сайтов. Это заставило даже небольшие компании начать свой путь к безопасности в интернете, в то время как крупный и средний бизнес уже давно использует системы оперативной защиты (например, межсетевые экраны уровня веб-приложений) и сейчас активно внедряет практики безопасной разработки. В силу того, что многие компании поддерживают достаточный уровень безопасности внешнего периметра, злоумышленники главным образом делают ставку на доверчивых пользователей, стараясь похитить необходимые им сведения, либо агрегируют данные утечек, чтобы придумать новые мошеннические схемы.
Прогнозы на 2024 г.
Во-первых, будет расти число компаний, заинтересованных в защите от кибератак. В зависимости от потребностей одни могут заказывать анализ защищенности, чтобы выявить уязвимые места в инфраструктуре, другие — устанавливать недостающие средства безопасности, третьи (как правило, сегмент large enterprise с решениями собственной разработки) — выстраивать процесс безопасной разработки.
Во-вторых, в 2024 г. получит продолжение один из ярких трендов, актуальных для российского рынка ИБ, — запуск багбаунти-программ на отечественных площадках. Багбаунти дополняет пентесты, которые необходимо проводить раз в 3 или 6 месяцев. Пентестерские проекты позволяют специалистам по ИБ, разработчикам и командам реагирования максимально улучшить свои навыки. Однако у таких проектов есть недостаток — короткая длительность, тогда как участие в багбаунти дает возможность компаниям бесконечно получать данные об уязвимостях, которые исследователи будут искать в обозначенном скоупе2.
В-третьих, активный переход на облачные сервисы повлечет за собой как появление новых подходов к обеспечению безопасности приложений, так и новые атаки, вызванные уязвимостями и ошибками конфигурации.
Угрозы и уязвимости аппаратных решений
Открытое аппаратное обеспечение завоевывает рынок
В 2023 г. продолжает развиваться тенденция распространения аппаратных платформ с открытой архитектурой системы команд, в частности архитектуры RISC-V. В развитии последней активно принимают участие крупные корпорации и даже страны: Google добавил платформу в первичный список поддержки Android, а международный консорциум Syntacore развивает линейку готовых дизайнов микроконтроллеров и микропроцессоров на базе данного ядра. Сдвиг в сторону открытого аппаратного обеспечения значительно изменит рынок ИБ. С одной стороны, появится возможность проводить независимый аудит архитектуры и участвовать в разработке большему количеству участников, а с другой — возникают реальные угрозы, например внедрение вредоносного кода непосредственно в архитектуру участниками сообщества.
Аппаратные атаки на подъеме
В 2023 г. случился настоящий бум аппаратных атак: энтузиасты по всему миру начали активно применять атаки типа fault injection3 и side-channel4. В первую очередь это обусловлено снижением порога вхождения за счет появления инструментов open source и общедоступной информации по теме, а также из-за уменьшения стоимости атаки: для покупки осциллографа и логического анализатора, позволяющих проводить подобные атаки для большинства микроконтроллеров, потребуется не более 1000 долл. США.
Страны активно развивают импортозамещение в области электроники
Импортозамещение набирает обороты — как в области разработки современной элементной базы (вышеупомянутый Syntacore), так и в сфере поставки компонентов. Речь идет, безусловно, не только о российском рынке. Активное импортозамещение проводит Китайская Народная Республика, к «гонке вооружений» присоединяется Индия. Появление новых крупных игроков на рынке не пройдет незамеченным в области кибербезопасности. Нас ждет череда как новых, так и хорошо известных (для старожилов рынка) ошибок, которые расширят поверхность атаки.
Устройства становятся все сложнее, что порождает новые угрозы
Происходит общее усложнение технологий и реализаций: современные микроконтроллеры и прочие вычислительные средства все больше превращаются в устройства «все-в-одном» — от питания до периферии. Усложнение, с одной стороны, может затруднить реализацию атаки для злоумышленников, а с другой — неизбежно приведет к появлению новых угроз и уязвимостей на этапе интеграции элементов.
Уход крупных западных производителей не только открыл дорогу новым производителям, но и повлек за собой соответствующие проблемы: ошибки в коде и железе из-за высоких темпов выхода устройств на рынок, невнимательность вендоров к вопросам кибербезопасности и их низкий приоритет. Причем опасаться стоит не только представителям промышленности, но и рядовым гражданам: автомобили и смартфоны не только помогают нам в повседневной жизни, но и хранят наши секреты, которые всегда являются лакомой целью для злоумышленников.
Собственные исследования
В этом году эксперты нашего направления исследований безопасности аппаратных решений (HW_LAB Positive Technologies) обнаружили несколько уязвимостей в устройствах и чипах потребительской электроники. В частности, мы выявили неисправимую уязвимость в микроконтроллерах одного из крупнейших китайских производителей, которая позволяет получить доступ к интеллектуальной собственности (IP) — прошивкам и данным пользователей. Эта уязвимость может затронуть до 1,5 млрд устройств по всему миру. Благодаря работе нашей команды производитель получил исчерпывающие данные об уязвимости и моделях небезопасных устройств и уже активно работает над ее исправлением в новых версиях чипов. Кроме того, наши специалисты исследуют решения производителей потребительской электроники, в частности умные колонки. В устройствах нескольких производителей была обнаружена уязвимость, позволяющая при физическом доступе «захватить» колонку. Уязвимость реализуется на уровне загрузчика микропроцессора, поэтому для ее исправления требуется международная кооперация с производителем микропроцессора. Исправление уязвимости положительно повлияет на безопасность не только исследованных устройств, но и продуктов других мировых производителей, построенных на базе этого чипа.
Новые старые вызовы
В мире аппаратной кибербезопасности время течет несколько медленнее, чем в программной, — цикл обновления аппаратной базы занимает годы. Поэтому так называемые изменяющие правила игры угрозы возникают достаточно редко. Ранее был упомянут бум атак fault injection и side-channel. Массовые исследования безопасности с использованием этих методов, прежде недоступных широкому кругу участников, позволят найти ошибки, которые было невозможно обнаружить ранее с помощью других подходов. Как следствие, это даст возможность повысить общий уровень защищенности устройств.
Рекомендации
Будьте бдительными. Уход крупных западных производителей не только открыл дорогу новым производителям, но и повлек за собой соответствующие проблемы: ошибки в коде и железе из-за высоких темпов выхода устройств на рынок, невнимательность вендоров к вопросам кибербезопасности и их низкий приоритет. Причем опасаться стоит не только представителям промышленности, но и рядовым гражданам: автомобили и смартфоны не только помогают нам в повседневной жизни, но и хранят наши секреты, которые всегда являются лакомой целью для злоумышленников. Поэтому не стоит доверять своим устройствам и технике безоговорочно.
Уязвимое ПО: динамика роста
За 10 месяцев 2023 г. в мире было обнаружено больше уязвимостей, чем за весь 2022 г.
По данным Национальной базы данных уязвимостей (NVD), в октябре 2023 г. было зарегистрировано 25 356 уязвимостей, что превышает общий показатель за весь предыдущий год (25 051 уязвимость). Рост количества уязвимостей является частью тренда, начавшегося в 2018 г. и не прекращающегося по сегодняшний день. Такая динамика подчеркивает критическую важность оперативного обнаружения и исправления уязвимостей разработчиками ПО для предотвращения их эксплуатации киберпреступниками.
Исследователи Positive Technologies в период с января по октябрь 2023 г. обнаружили 104 уязвимости нулевого дня. За весь 2022 г. были найдены 142 новые уязвимости, а в 2021 г. — 87.
Особое внимание — защите промышленных систем
В период с января по октябрь 2023 г. почти четверть уязвимостей нулевого дня была выявлена экспертами Positive Technologies в АСУ ТП (24%). Ошибкам в системах промышленной автоматизации необходимо уделить особое внимание, так как их эксплуатация может привести к реализации недопустимых событий, которые могут не только оказать влияние на бизнес-процессы, но и привести к человеческим жертвам. Агентство кибербезопасности и безопасности инфраструктуры США (CISA) сообщило в общей сложности о 670 уязвимостях АСУ ТП, обнаруженных в первой половине 2023 г. При этом около 34% этих уязвимостей не имело исправлений. Компания Bitsight выявила около 100 000 уязвимых промышленных систем управления (ICS), принадлежащих организациям по всему миру, что потенциально позволяет злоумышленнику получить доступ и контролировать физическую инфраструктуру, такую как электросети, системы светофоров, системы безопасности и водоснабжения и многое другое. Больше всего уязвимых ICS обнаружено в США и странах Европы.
Кроме того, за отчетный период (с января по октябрь 2023 г.) исследователи Positive Technologies обнаружили значительное число уязвимостей в категории «веб-технологии и разработка» — 26%. Далее следуют «открытое программное обеспечение» — 9%, «коммуникационные системы и сервисы» — 7%, «сетевое оборудование и системы мониторинга» — 6%.
Межсайтовое выполнение сценариев — самая популярная уязвимость
При обнаружении уязвимостей нулевого дня экспертам Positive Technologies в 19% случаев встретилась возможность межсайтового выполнения сценариев (cross-site scripting, XSS). В процессе такого рода атак в браузере пользователей может быть исполнен подготовленный злоумышленником произвольный код. Атакующие могут загружать вредоносное ПО на пользовательские устройства, перенаправлять клиентов веб-приложений на фишинговые сайты, а также выдавать себя за других пользователей.
Другие типы обнаруженных уязвимостей:
- Buffer Overflow — 8%,
- RCE — 7%,
- SQL Injection — 6%,
- Denial of Service — 6%,
- OS Command Injection — 5%,
- Path Traversal — 3%,
- Improper Access Control — 3%,
- Use of Hard-Coded Cryptographic Key — 3%.
Почти треть уязвимостей — критические
30 % уязвимостей нулевого дня, выявленных экспертами Positive Technologies с января по октябрь 2023 г. в процессе работ по тестированию на проникновение и анализу защищенности, относились к критическому уровню опасности, 49% — к высокому, 21% — к среднему.
Больше времени на исправление
В 2023 г. сократилось количество уязвимостей, которые исправлялись в течение 90 дней после уведомления исследователями Positive Technologies. Если в 2022 г. в трехмесячный период были закрыты 30% уязвимостей, то в 2023-м — 24%.
Важно: обновить «1С-Битрикс»
Критическая уязвимость, обнаруженная экспертом Positive Technologies Сергеем Близнюком в системе управления сайтом «1С-Битрикс: Управление сайтом», является крайне чувствительной для российских компаний и организаций в связи с широким распространением этой CMS в РФ (по данным REG.RU). Та же уязвимость была выявлена в «Битрикс24» — наиболее популярной CRM-системе в РФ согласно опросу Института проблем предпринимательства.
Ошибка безопасности BDU:2023-05857 с максимальной оценкой 10 баллов по шкале CVSS 3.0 давала возможность удаленному пользователю выполнить произвольный код. Потенциальный атакующий мог запускать на хосте любое ПО и манипулировать содержимым сайта и базой данных, а в случае наличия связи с локальной сетью — развивать атаку на внутренние ресурсы.
Для устранения уязвимости необходимо обновить модуль landing до версии 23.850.0 и выше. Обновление доступно всем пользователям при наличии PHP 8.0 (начиная с версии 23.300.100 пользователи, не обновившиеся до PHP 8.0, не получают обновления) и с активной лицензией. Остальные пользователи могут обратиться в техподдержку для получения патча или отключить модуль landing.
Старые уязвимости в тренде
До сих пор актуальными остаются уязвимости, которые были обнаружены несколько лет назад. Это происходит из-за несвоевременного обновления компаниями уязвимых компонентов. Наиболее возрастной уязвимостью, выявленной в проектах Positive Technologies в 2023 г., стала 13-летняя CVE-2010-3904. Этот недостаток в реализации протокола Reliable Datagram Sockets (RDS) ядра Linux позволяет локальным злоумышленникам получать повышенные привилегии в уязвимых системах.
Во втором квартале 2023 г. были зафиксированы попытки киберпреступников эксплуатировать десятилетнюю уязвимость CVE-2013-3900. Ошибка была связана с обработкой специально сформированных файлов TIFF (Tagged Image File Format) в Microsoft Office и некоторых других продуктах Microsoft. Эта уязвимость может привести к удаленному выполнению кода на компьютере жертвы, если атакующий отправит пользователю документ (например, по электронной почте), содержащий вредоносный TIFF-файл. Если открыть такой документ в уязвимой системе, злоумышленник сможет выполнить произвольный код на компьютере жертвы с правами текущего пользователя.
До сих пор актуальными остаются уязвимости, которые были обнаружены несколько лет назад. Это происходит из-за несвоевременного обновления компаниями уязвимых компонентов. Наиболее возрастной уязвимостью, выявленной в проектах Positive Technologies в 2023 г., стала 13-летняя CVE-2010-3904.
Цепочки поставок под угрозой
По данным за первые три квартала 2023 г., эксплуатация уязвимостей как метод атаки использовалась в каждой третьей успешной атаке на организации (32%). Особое внимание стоит уделить тем случаям, когда эксплуатация уязвимостей в ПО привела к взлому компаний-клиентов через атаки supply chain — тенденция применять атаки на цепочки поставок продолжилась в 2023-м и сохранится в 2024 г. Так, в первом квартале группа вымогателей Cl0p отметилась масштабной серией взломов организаций через уязвимость нулевого дня в GoAnywhere MFT (CVE-2023-0669). Во втором квартале им удалось успешно проэксплуатировать найденную уязвимость (CVE-2023-34362), которая заключается во внедрении вредоносного SQL-кода в программное обеспечение MOVEit Transfer, продукт компании Progress Software, предназначенный для управления передачей файлов. В третьем квартале атаки продолжились. MOVEit — платформа передачи файлов, созданная Progress Software Corporation. Платформу используют тысячи правительств, финансовых учреждений и других органов государственного и частного сектора по всему миру для отправки и получения информации. По данным Emsisoft, взлом MOVEit по состоянию на конец октября повлиял более чем на 2,5 тыс. организаций, при этом суммарно затронуто более 66 млн пользователей из разных стран.
Взгляд со стороны защиты: кто и как атакует
Расследование инцидентов: проектов в два раза больше, чем весной 2022 г.
За последние два года количество проектов по расследованию инцидентов ИБ, выполняемых командой Incident Response экспертного центра безопасности Positive Technologies (PT Expert Security Center), неуклонно растет. Если в 2022 г. их число увеличилось вдвое, то за первые девять месяцев 2023 г. в сравнении с показателями за весь предыдущий год количество проектов выросло на три четверти (76%). Предположительно такой скачок вызван геополитической ситуацией и ее влиянием на противостояние в киберпространстве, которое до сих пор не ослабевает. Значительная часть расследованных атак были целенаправленными, то есть злоумышленники ставили цель нанести ущерб именно конкретной компании. По данным нашего исследования5, чаще всего атакам подвергались госучреждения (25%), промышленные предприятия (24%), финансовые (12%) и ИТ-компании (8%). Каждая пятая жертва — из сегмента крупного бизнеса (входит в рейтинг крупнейших компаний России по объему реализации продукции RAEX-600 за 2022 г.). 40% расследованных инцидентов были совершены публично известными APT-группировками. Их отраслевые интересы распределились между госсектором (34% случаев), промышленностью (30% случаев), ИТ-компаниями (7% случаев), СМИ и телекомом (по 5% случаев). При этом подавляющее большинство компаний обращались к нам в момент обнаружения атаки, чтобы с нашей помощью корректно и оперативно среагировать на инцидент. Лишь в конце лета 2022 г. был кратковременный всплеск обращений по ретроспективному анализу инфраструктуры. По результатам выявленных инцидентов, пострадавшие организации сталкивались с нарушением внутренних бизнес-процессов (32%), кибершпионажем6 (32%) и непосредственным хищением конфиденциальной информации (26%).
2023 г. отличился большим количеством быстрых и простых атак на незащищенные инфраструктуры с целью их разрушения. Защищенные же инфраструктуры, в которых действуют центры мониторинга и реагирования на киберугрозы, атакуются более изощренными способами. Однако вновь прослеживается любопытная тенденция, отмеченная нами годом ранее: киберпреступники не изобретают новые методы, так как старые, хорошо известные по-прежнему работают. Банальное отсутствие мониторинга внутри, которое позволяет хакерам продвигаться глубже по инфраструктуре, все еще является одной из главных опасностей.
В топе наиболее популярных и эффективных способов проникновения в компании вновь лидирует эксплуатация уязвимостей в публично доступных в интернете веб-приложениях. Среди них — почтовый сервер Microsoft Exchange (50% всех расследованных атак), веб-сервер Bitrix (13%) и продукты компании Atlassian (7%), например Confluence и Jira. Вторую строчку занимают фишинговые электронные письма. Помимо этого, укрепился тренд на атаки типа supply chain и trusted relationship: за первые три квартала 2023 г. число инцидентов, вызванных ими, возросло в 2 раза по сравнению с показателями за весь предыдущий год.
Слабых мишеней стало меньше, и на мировой арене снова доминируют APT-группы
В 2023 г. мы обнаружили ранее неизвестные APT-группы: Dark River, атакующую предприятия российского оборонного комплекса, и (Ex)Cobalt, занимающуюся кибершпионажем, которая, по нашим данным, частично состоит из участников Cobalt — одной из самых известных и активных киберпреступных групп 2016–2019 гг. Кроме того, специалисты нашего экспертного центра безопасности следят за Sneaking Leprechaun — эта группировка и (Ex)Cobalt имеют пересечения по техникам и сетевой инфраструктуре. Также мы засекли новую активность группы Space Pirates, ее основные цели — государственные организации, отечественные предприятия авиационно-космической промышленности и ВПК. Группировка продолжает действовать даже после того, как мы раскрыли ее существование годом ранее.
Изменились цели атакующих: в 2022 г. ярко проявился хактивизм, в том числе политической окраски, и взломы совершались ради хайпа. Хактивисты сразу выкладывали данные в открытый доступ, пропуская этап с требованием выкупа. В 2023-м волна массовых атак спала, так как все легкодоступные компании, которые могли быть атакованы низкоквалифицированными злоумышленниками, уже были взломаны — слабых мишеней стало меньше. Для нападения на более защищенные компании хактивистам не хватает уровня технической подготовки, опыта и ресурсов. На передний план вышли более квалифицированные хакеры.
Что касается инструментария, то мы отмечаем появление утилит для кибершпионажа высокой степени сложности, которые позволяют киберпреступникам проникать в инфраструктуру не привлекая внимания, долго оставаться незамеченными и похищать потоки данных. Пока мы не можем их атрибутировать и склоняемся к тому, что их могли разработать продвинутые вирусописатели или проправительственные APT-группы.
На фоне импортозамещения в России интерес злоумышленников к отечественным операционным системам продолжает расти. По сравнению с предыдущими годами в 2023-м мы стали чаще встречать вредоносное ПО, созданное под Linux, в частности руткиты. Например, при изучении атак (Ex)Cobalt мы обнаружили руткит Facefish, с помощью которого были скомпрометированы Linux-узлы жертв.
Прогнозы на 2024 г.
Шпионаж, замаскированный под шифрование
2022-й, а за ним и 2023-й называют годами утечек. В 2024-м нас ждет новый виток этой истории — год скрытых утечек. По нашим данным, сформировался тренд, когда злоумышленники сначала незаметно для жертвы похищают данные, а затем действуют как классические группировки-вымогатели: шифруют ее инфраструктуру и требуют за расшифровку выкуп. Любопытный аспект состоит в том, что они не угрожают публикацией данных и даже в случае отказа жертвы платить не размещают их в сети. Более того, они даже не афишируют сам факт кражи, а делают акцент именно на дешифровании информации. Таким образом, многие пострадавшие компании в силу незнания специфики поведения злоумышленников могут долго оставаться в неведении о том, что их данные утекли и были переданы третьим лицам. Мы предполагаем, что за этим стоят высококвалифицированные APT-группировки, которые скрывают свои истинные мотивы. Возможно, украденные данные будут использованы для скрытой продажи, в целях разведки, для нанесения точечного удара или будущих атак.
Машинное обучение для генерации кибератак
В ближайшие 2–3 года генеративные нейросети совершат революцию в области кибератак. Уже сейчас, среди прочего, они умеют создавать код (в том числе и вредоносный) по запросу. Усовершенствование их работы даст серьезный толчок развитию новых техник атак.
Дружба ИТ и ИБ
Зарождающийся тренд сотрудничества между ИТ-департаментами и департаментами ИБ на этапе реагирования на инциденты характерен для зрелых компаний и встречается в единичных случаях. Чтобы своевременно и правильно отразить кибератаку, мы рекомендуем CISO выстроить эффективное взаимодействие этих двух отделов. ИТ-службы отвечают за поддержание работоспособности внутренних сервисов, поэтому они должны быть заинтересованы в том, чтобы остановить хакера, не меньше, чем специалисты по защите. При необходимости администраторы обязаны подключаться к реагированию и работать в связке как со штатными специалистами, так и с представителями организации, приглашенной для расследования или ретроспективного анализа.
Спад атак через зависимости в продуктах возможен через два года
Компаниям, особенно из финансового сектора, необходимо обратить пристальное внимание на угрозу, связанную с распространением вредоносных пакетов под видом легитимных компонентов ПО с открытым исходным кодом. Разработчики должны отслеживать зависимости в своем коде и проверять заимствованный код на наличие закладок и уязвимостей, в частности репозитории PyPI и NPM. В ближайшие два года этот тренд замедлится. Во-первых, для обнаружения подозрительных и вредоносных пакетов вендоры разработали специальные сервисы. Кроме того, они самостоятельно уведомляют авторов, если выявляют зловреды в их пакетах. Во-вторых, вендоры участвуют в создании систем детектирования вредоносных пакетов для публичных репозиториев.
Атаки в преддверии и в ходе президентских выборов
Если в 2024 г. сохранится текущая напряженная геополитическая ситуация, то во время выборов президента РФ можно ожидать атаки на инфраструктуру организаций (в том числе объекты КИИ), которые будут обеспечивать проведение электронного голосования. Также мы не исключаем увеличения доли фишинговых атак и массовых рассылок на эту тему.
Новое воплощение угрозы скачивания пиратского софта
Использование нелицензионных программ всегда несет в себе риск заражения ВПО любой сложности: от майнера до руткита. Однако наметилась новая мировая тенденция: вирусописатели с разрешения владельцев популярных торрент-трекеров специально загружают вредоносные программы для поражения устройств обычных пользователей. Один из случаев подобной кооперации, в ходе которого было заражено 250 тыс. устройств в 164 странах мира, мы расследовали в октябре 2023 г. В будущем этот тренд будет набирать обороты.
Во время выборов президента РФ можно ожидать атаки на инфраструктуру организаций (в том числе на объекты КИИ), которые будут обеспечивать проведение электронного голосования. Также мы не исключаем увеличения доли фишинговых атак и массовых рассылок на эту тему.
- Привилегии администратора домена или аналогичные.
- Устанавливаемые программой границы, в рамках которых исследователям разрешается искать уязвимости.
- Атака с внедрением ошибок — метод атаки, а также тестирования, заключающийся в анализе реакции системы на операции создания искусственных сбоев.
- Атака по сторонним каналам — метод атаки, в ходе которой злоумышленник атакует не напрямую, а перехватывает побочные сигналы, извлекая из них нужную ему информацию.
- Мы проанализировали информацию, полученную по результатам более чем 100 проектов по расследованию инцидентов, а также по ретроспективному анализу инфраструктуры, которые проводились с первого квартала 2021 г. по третий квартал 2023 г. в различных компаниях на территории РФ и СНГ.
- Достаточно длительное пребывание злоумышленников в инфраструктуре жертвы, как правило, с целью непрерывной выгрузки конфиденциальной информации.