Прогноз по угрозам на 2013 год от Лаборатории Касперского


KasperskyLabs1. Целевые атаки и кибершпионаж
Целевые атаки стали заметным явлением в последние два года. Такие атаки проводятся с целью проникнуть в корпоративную сеть конкретной организации и зачастую связаны со сбором конфиденциальных данных, на которые имеется спрос на чёрном рынке. В основном целевые атаки являются весьма изощрёнными, однако в большинстве случаев все начинается с "человеческого фактора" — сотрудников организации обманом заставляют раскрыть информацию, чтобы затем с ее помощью получить доступ к корпоративным ресурсам.

Росту числа таких атак способствует огромный объем информации, публикуемой онлайн, и все более активное использование социальных медиа в бизнес-целях. Особенно уязвимыми оказываются сотрудники "публичных" должностей — например, в сфере продаж или маркетинга. Можно ожидать, что в 2013 году кибершпионаж будет становиться все более распространенным явлением. Целевые атаки являются проблемой лишь для крупных организаций, особенно для тех, что обеспечивают работу критически важных объектов инфраструктуры своих стран. Однако мишенью злоумышленников может оказаться любая организация. Абсолютно все предприятия имеют дело с информацией, способной заинтересовать киберпреступников. При этом похищенные данные зачастую используются для того, чтобы подобраться к другим компаниям.


2. "Хактивисты" наступают
Кража средств с банковских счетов или похищение конфиденциальных данных с целью наживы — не единственные мотивы для проведения атак. Иногда целью служит привлечение внимания общественности к политической или социальной проблеме. В 2012 году в подобных атаках недостатка не было. Например:

  • DDoS-атаки группы Anonymous на веб-сайты правительства Польши, сообщившего о своем намерении поддержать Международное соглашение по борьбе с контрафактной продукцией;
  • взлом официального сайта Формулы-1 после разгона массовых антиправительственных протестов в Бахрейне;
  • взлом сайтов нефтяных компаний в знак протеста против бурения в Арктике;
  • атака на веб-сайт Saudi Aramco;
  • взлом французского веб-сайта лотереи Euromillions в знак протеста против азартных игр.


Растущая зависимость общества от интернета делает любые организации потенциальными жертвами атак такого рода, поэтому "хактивизм" продолжится в 2013 году и далее.


3. Кибератаки, финансируемые государствами
Stuxnet стал первым случаем, когда весьма сложное вредоносное ПО использовалось для проведения целевых атак на ключевые производственные объекты. Мы вступаем в эпоху "холодной кибервойны", когда страны могут воевать друг с другом, не будучи связанными существующими ограничениями на применение обычного, традиционного оружия.

Можно ожидать, что в дальнейшем кибероружие появится у большего числа стран и будет применяться как для кражи информации, так и для проведения диверсий. Немаловажным фактором здесь служит значительно большая доступность разработки такого оружия по сравнению с обычным.

Довольно скоро к подобным кибератакам будут прибегать страны, не имеющие статуса национальных государств. При этом косвенный ущерб может быть нанесен объектам, на которые атака не была направлена изначально. Жертвами таких атак могут стать центры управления энергетическими и транспортными системами, финансовые и телекоммуникационные системы, а также другие критически важные объекты инфраструктуры.


4. Использование средств слежения правоохранительными органами
В последние годы атаки киберпреступников становятся все более изощренными. Это бросает вызов специалистам по борьбе с киберугрозами и правоохранительным органам разных стран. В своем стремлении угнаться за технологическим развитием киберпреступности защитники правопорядка вторгаются в сферы, где отсутствует устоявшаяся правоприменительная практика.

Сюда же можно отнести использование современных технологий для слежки за лицами, подозреваемыми в преступной деятельности. Эта проблема отнюдь не нова — достаточно вспомнить полемику вокруг кейлоггера Magic Lantern, разработанного ФБР, и "федерального трояна" (BundesTrojan). Более свежий пример — горячая дискуссия, развернувшаяся после появления сообщений о том, что британская компания пыталась продать режиму Хосни Мубарака (Египет) программу для мониторинга под названием Finfisher, а также о том, что индийское правительство обратилось к ведущим производителям (в т.ч. Apple, Nokia и Research in Motion) с просьбой предоставить тайный доступ к мобильным устройствам пользователей.

Использование средств слежения правоохранительными органами поднимает вопросы, связанные с соблюдением гражданских прав и неприкосновенностью тайны частной жизни. Поскольку правоохранительные органы и правительства стран стараются быть на шаг впереди киберпреступников, можно ожидать, что применение подобных инструментов, а также полемика по этому поводу, в будущем будут продолжаться.


5. Облачно, вероятны вредоносные атаки
Использование облачных сервисов в ближайшие годы будет расширяться. Их развитию способствуют два фактора:

  • значительная экономия средств для любого бизнеса за счёт эффекта масштаба при хранении данных или хостинге приложений в облаке.
  • гибкость: данные доступны в любое время, из любой точки мира, с любого устройства.


Однако, по мере расширения использования облачных сервисов будет расти и количество нацеленных на них угроз. Это связано с тем, что:

  • Облачные центры обработки данных — привлекательная мишень для киберпреступников. За "облаком" стоят реальные физические серверы, на которых хранятся данные. С точки зрения киберпреступников они представляют собой потенциальную единую точку отказа. На таких серверах размещены большие объемы личных данных, которые, в случае успешной кибератаки на провайдера, могут целиком попасть в руки киберпреступников.

  • Велика вероятность того, что в будущем киберпреступники будут чаще использовать облачные сервисы для размещения и распространения вредоносных программ, как правило, с использованием "угнанных" аккаунтов.

  • Обращение к данным, хранимым в "облаке", происходит с устройств, находящихся в реальном физическом мире. Получив доступ к такому устройству, киберпреступники получают доступ и к данным, не зависимо от их месторасположения.


Широкое использование мобильных устройств, представляет значительные преимущества для бизнеса, но при этом повышает уровень риска. Доступ к данным, хранящимся в "облаке", возможен с мобильных устройств, которые зачастую не так надежно защищены, как обычные узлы сети. К тому же одно и то же мобильное устройство используется, как в личных целях, так и для решения бизнес-задач.


6. Кто украл мою частную жизнь
Утрата неприкосновенности тайны частной жизни — предмет горячих дебатов в IT-индустрии. Интернет проник во все сферы нашей жизни. Многие ежедневно используют всемирную паутину для совершения банковских операций и покупок, а также для общения. Каждый раз, когда мы заводим новую учётную запись, мы вынуждены сообщить о себе определенную информацию. Этим пользуется множество компаний, активно собирающих данные о своих клиентах.

Личные данные подвергаются опасности в том случае, когда злоумышленники получают доступ к компьютерным системам компаний-поставщиков товаров и услуг. Сейчас практически каждую неделю происходит взлом сайта компании или утечка личных данных ее клиентов. Дальнейшее развитие облачных сервисов, несомненно, лишь усугубит эту проблему.

Компании собирают информацию о клиентах, зачастую без ведома последних. Эти данные затем используются для рекламы и продвижения товаров и услуг, и не всегда понятно, как отказаться от участия в этом процессе. В будущем ценность личных данных, как для легального бизнеса, так и для киберпреступников, будет лишь возрастать, а вместе с этим будет расти потенциальная угроза для тайны частной жизни.


7. Кому верить
Мы склонны доверять веб-сайтам, имеющим сертификат безопасности, выданный известным центром сертификации, а также приложениям, подписанным с помощью действительного цифрового сертификата. Теперь киберпреступники не только фабрикуют фальшивые сертификаты для вредоносного ПО (так называемые самозаверенные сертификаты), но и успешно взламывают серверы центров сертификации, чтобы затем заверять крадеными сертификатами свой код. Использование поддельных и краденых сертификатов неизбежно будет продолжаться и далее.

В последние годы к набору технологий для обеспечения IT-безопасности добавились так называемые "белые списки". Теперь дело не ограничивается сканированием программ на наличие вредоносного кода — они также проверяются по базам известного легитимного ПО. Поэтому, если вредоносные программы каким-то образом проникнут в "белые списки", защитные решения перестанут их детектировать.

Существует несколько путей попадания вредоносных программ в "белые списки". Вредоносная программа может быть заверена краденым сертификатом. Если в "белые списки" автоматически добавляется ПО, подписанное данным центром сертификации, то вредоносная программа может быть включена в категорию доверенных. При другом сценарии киберпреступники (или кто-то внутри компании) могут получить доступ к директории или базе данных, содержащей "белые списки", и добавить туда вредоносное ПО. Инсайдер всегда представляет серьезную угрозу безопасности данных — как в физическом, так и в цифровом мире


8. Кибервымогательство
В 2012 году выросло количество троянов-вымогателей шифрующих данные на жёстком диске или блокирующих доступ к системе на компьютерах жертв, а затем требующие заплатить выкуп. До недавних пор этот вид киберпреступности, в основном, ограничивался территорией России и других постсоветских государств. Теперь кибершантаж стал общемировым явлением, хотя его форма при этом несколько изменилась. Например, в России трояны, блокирующие доступ к системе, часто сообщают, что они якобы обнаружили на компьютере жертвы нелицензионное ПО, и требуют заплатить за нарушение авторских прав.

В Европе, где пиратское ПО менее распространено, такой подход недостаточно эффективен, поэтому здесь трояны-вымогатели выводят на экран всплывающее окно с сообщением (якобы от правоохранительных органов), что на компьютере жертвы обнаружена детская порнография или другой незаконный контент. За этим следует требование выплатить штраф. Подобные атаки легко проводить, а недостатка в потенциальных жертвах не наблюдается. В 2013 году следует ожидать роста числа вредоносных программ такого типа.


9. Зловреды для Mac OS
Компьютеры Mac не обладают абсолютным иммунитетом к вредоносным программам. Конечно, по сравнению с объемом вредоносного ПО, нацеленного на Windows, количество зловредов для Mac OS незначительно. С другой стороны, в последние 2 года оно неуклонно растёт. Со стороны пользователей Mac было бы наивно полагать, что они защищены от атак киберпреступников на все 100%.

Речь идет не только о массовых угрозах (таких как ботнет Flashfake, состоявший из 700 000 заражённых компьютеров Mac), но и с целевыми атаками на конкретных пользователей или группы пользователей Mac. Таким образом, угрозы для Mac вполне реальны, и в дальнейшем их число, скорее всего, будет только расти.


10. Мобильные зловреды
Последние полтора года количество мобильных зловредов резко возросло. При этом более 90% из них нацелены на устройства на базе Android. ОС Android отвечает всем "требованиям" киберпреступников - она популярна и для нее легко писать программы, которые пользователи могут с легкостью загружать из любых источников. Поэтому разработка вредоносных приложений для Android, скорее всего, будет продолжаться с той же интенсивностью.

На сегодняшний день большинство мобильных зловредов создаются с целью получить доступ к устройствам. В ближайшем будущем ожидается появление вредоносных программ, эксплуатирующих уязвимости в операционной системе, и использование drive-by загрузок. Велика вероятность разработки первого массового червя для Android, распространяющегося через текстовые сообщения со ссылками на копию зловреда, размещенную в каком-нибудь онлайн-магазине приложений. В 2013 году, скорее всего, также столкнемся с новыми мобильными ботнетами — аналогами созданного в первом квартале 2012 года при помощи бэкдора RootSmart.

Напротив, iOS — это закрытая система с жесткими ограничениями, допускающая загрузку и использование приложений из единственного источника — AppStore. Это позволяет значительно повысить уровень безопасности, т.е., чтобы заразить вредоносным кодом устройства на базе iOS, вирусописателям приходится искать способы "протащить" свой код в AppStore. Появление в этом году приложения Find and Call доказывает, что шансы на успех у них есть. Однако в ближайшем будущем Android, скорее всего, продолжит быть основной мишенью киберпреступников. (Приложение Find and Call ставило под удар тайну частной жизни пользователей, а также их личные данные и репутацию. Оно загружало из мобильного устройства на удаленный сервер базу контактов, адреса из которой затем использовались для рассылки SMS-спама).


11. Уязвимости и эксплойты.
Одним из ключевых способов, используемым киберпреступники для установки вредоносного ПО на компьютеры пользователей, является эксплуатация незакрытых уязвимостей в приложениях. В данный момент более 50% атак направлены на Java-уязвимости, а 25% — на уязвимости в Adobe Reader.

Это неудивительно, поскольку большинство киберпреступников интересуются уязвимостями в популярных приложениях, редко обновляемых пользователями. Это даёт злоумышленникам время, необходимое для достижения своих целей. Java-приложения не только установлены на большом числе компьютеров, но и обновления для них устанавливаются по требованию, а не автоматически.

В связи с этим в будущем году киберпреступники продолжат эксплуатировать уязвимости в Java. По всей вероятности, Adobe Reader также будет "популярен" среди киберпреступников, однако в меньшей степени, поскольку в последних версиях этой программы реализована автоматическая установка обновлений.