Group-IB, международная компания, специализирующаяся на предотвращении кибератак, проанализировала ключевые изменения, произошедшие на глобальной карте киберугроз. Самой пугающей тенденцией 2019 года эксперты компании считают использование кибероружия в открытых военных операциях. В новом отчете Hi-Tech Crime Trends 2019-2020 анализируются атаки на различные индустрии и объекты критической инфраструктуры, а также кампании, направленные на дестабилизацию сети Интернет в отдельных странах. Авторы отчета исследовали активность наиболее опасных как киберкриминальных групп, так и прогосударственных атакующих, целью которых является шпионаж и саботаж. В целом, 38 групп, спонсируемых государствами, были активны за исследуемый период, из них 7 новые.
Ежегодный отчет Group-IB был представлен в рамках международной конференции CyberCrimeCon’2019 в Сингапуре. Шестой Hi-Tech Crime Trends впервые четко поделен на основные атакуемые индустрии и традиционно охватывает период H2 2018 H1 2019 по сравнению с H2 2017 H1 2018. Аналитики Group-IB выделяют ряд ключевых тенденций развития высокотехнологичных преступлений, подчеркивая, что 2019-й год открывает новую эпоху проведения кибератак.
Технический директор, руководитель Threat Intelligence, сооснователь Group-IB
Противостояние государств: шпионаж и саботаж
В 2019 году тема кибербезопасности вышла на первый план в мировой политической повестке. Блэкаут в Венесуэле, открытые военные операции в киберпространстве между конфликтующими государствами, а также нарушение работы сети Интернет в отдельно взятых странах это крайне опасные прецеденты, способные привести к социальному и экономическому ущербу, а также дестабилизации ситуации в государствах.
За вторую половину 2018 и первую половину 2019 года эксперты по кибербезопасности обнаружили большое количество ранее неизвестных групп, спонсируемых государствами. Внимание аналитиков Group-IB было сосредоточено на активности 38 хакерских групп, из них 7 новых, целью которых является шпионаж. Одна из групп была раскрыта Group-IB в конце 2019 года, она получила имя RedCurl. Ее целями являются страховые, консалтинговые и строительные компании в разных странах мира, в том числе и в России. RedCurl отличает качество таргетированных фишинговых атак и использование легитимных сервисов, что значительно затрудняет ее детектирование в инфраструктуре компании.
Многие APT-группы, анализируемые в отчете, ведут свои операции уже несколько лет, но долгое время оставались незамеченными. Некоторые из них атакуют схожие цели, что приводит к конкуренции между ними и более быстрому обнаружению их действий. Одной из тенденций в активном противостоянии атакующих стало использование обратного взлома (Hacking back), когда жертвами становятся сами нападающие. Этот прием запрещен для использования частными компаниями.
Дестабилизация сети Интернет
Казавшиеся нереалистичными сценарии отключения страны от Интернета становятся все более вероятными. Для проведения атаки, способной нарушить стабильность работы глобальной сети в отдельно взятой стране, требуется длительная подготовка, однако анализируемые в отчете Group-IB атаки доказывают, что технически это возможно. Регистраторы доменных имен это часть критической инфраструктуры страны. Так как нарушение их работы влияет на функционирование глобальной сети, они являются объектом атак со стороны проправительственных атакующих. Как показали прошедшие месяцы, наиболее опасными стали взломы типа DNS Hijaсking, вследствие проведения которых атакующие могли управлять DNS-записями для MITM-атак, а также манипуляции с трафиком и атаки типа BGP Hijaсking в ходе которых осуществляется перехват маршрута и перенаправление трафика отдельных префиксов автономной системы через стороннее оборудование. Основные способы использования BGP Hijaсking шпионаж и нарушение работоспособности крупных телекомоператоров.
Телекоммуникационный сектор: готовы ли операторы к 5G?
Group-IB выделяет 9 групп (APT10, APT33, MuddyWater, HEXANE, Thrip, Chafer, Winnti, Regin и Lazarus), которые представляли угрозу для телекоммуникационного сектора в указанный период. Уходящий год показал, что отрасль телеком является одной из приоритетных для прогосударственных групп: скомпрометировав оператора, атакующие получают возможность развивать атаки в его клиентах с целью шпионажа или саботажа.
Распространение технологии 5G становится новым драйвером угроз в этой индустрии. Архитектурные особенности 5G (в отличие от 1/2/3/4G) заключаются в том, что сверхскорости и другие преимущества новой технологии, реализуются в большей степени за счет программных платформ, а не оборудования. Это означает, что все угрозы для серверных и программных решений становятся актуальными для операторов 5G. Среди них: атаки, связанные с BIOS/UEFI, side channel и supply chain. Также, благодаря большому количеству подключенных устройств и широкой полосе пропускания значительно увеличатся мощность и частота DDoS-атак.
В ближайшие годы на распределение долей рынка 5G между ключевыми игроками будет влиять, в том числе, уровень их кибербезопасности. А все недостатки и нарушения работоспособности будут использоваться в конкурентной борьбе. MSP-операторы, которые оказывают услуги по обеспечению безопасности коммерческих и госпредприятий могут быть использованы атакующими в целях проникновения в защищаемые ими сети.
Энергетический сектор: скрытая угроза
Отчет «Hi-Tech Crime Trends 2019-2020» описывает 7 групп (LeafMiner, BlackEnergy, Dragonfly, HEXANE, Xenotime, APT33 и Lazarus), специализирующихся, в основном на шпионаже, а в отдельных случаях -выводе из строя инфраструктуры или отдельных систем объектов энергетики в разных странах. Так, в 2019 году группа Lazarus атаковала энергетическую ядерную корпорацию в Индии, что привело к отключению второго энергоблока. Нетипичный выбор жертвы позволяет сделать вывод об интересе к таким атакам со стороны военных ведомств недружественных стран. Со времен Stuxnet основным полигоном для испытаний инструментов является Ближний Восток. Вектором проникновения в изолированные сегменты OT-сети является компрометация ИТ-сети с помощью вредоносных программ и техник, включая «Living off the land».
За исключением приведенного примера, инструменты этих групп остаются скрытыми. За последние годы выявлено только два фреймворка, которые способны влиять на технологические процессы, Industroyer и Triton (Trisis). Оба они были раскрыты в результате ошибок атакующих, что позволяет сделать вывод о существовании значительно большего количества тщательно маскируемых и еще не обнаруженных угроз. Среди атак, характерных для энергетической отрасли, эксперты Group-IB выделяют supply chain атаки через поставщиков программного и аппаратного обеспечения. Прежде всего, скомпрометированы будут управляющие компании, а через них пойдет развитие атаки на энергетические объекты.
Банковский сектор: русскоязычные хакеры переключилась на международные цели
Взлом банков во всем мире является прерогативой русскоговорящих хакеров: они по-прежнему составляют большинство среди атакующих групп. В 2018-м году к «русскоязычной тройке» Cobalt, Silence и MoneyTaker, а также северо-корейской Lazarus добавилась новая группа SilentCards из Кении. По-прежнему только Cobalt, Silence и MoneyTaker обладают троянами, которые позволяют управлять диспенсером банкомата и выводить деньги. При этом за исследуемый период через банкоматы атаковали только хакеры Silence, через карточный процессинг Silence и SilentCards, через SWIFT Lazarus (2 успешных хищения: в Индии и на Мальте на общую сумму 16 млн долл).
Только северокорейская APT-группа применяет метод хищения FastCash. За всеми атаками этого типа стоит группа Lazarus. Silence снизили активность по собственным фишинговым рассылкам и начали приобретать доступ в целевые банки у других хакерских групп, в частности, у ТА505. На данный момент, SilentCards является наименее технически подготовленной среди указанных групп и пока успешно совершает целевые атаки только на банки в Африке.
Использовав российский рынок как тестовый полигон, «русскоязычная тройка» продолжает географическую экспансию. С июля прошлого года трижды были атакованы цели в Индии (Silence, Lazarus), в во Вьетнаме (Lazarus), в Пакистане (Lazarus), на Мальте (Lazarus), в Тайланде (Lazarus), в Чили (Lazarus, Silence), во Вьетнаме (Lazarus), в Кения (SilentCards), в России (MoneyTaker, Cobalt, Silence), в Болгарии (Cobalt, Silence), а также по одной атаке Silence провела в Коста-Рике, Гане и Бангладеш.
Для вывода денег эти группы по-прежнему будут использовать атаки на систему карточного процессинга и трояны для банкоматов. SWIFT будет намного реже попадать в фокус этих групп. Lazarus останется единственной группой, которая будет совершать хищения через SWIFT и ATM Switch. Успешные атаки на банки будут завершаться выводом инфраструктуры из строя для сокрытия следов. Предположительно SilentCards пока останется локальной группой и будет атаковать банки в Африке. Скорее всего, она расширит список целей за счет других отраслей, где основным вектором будет вымогательство за счет применения программ шифровальщиков.
В открытом формате международная конференция CyberCrimeCon проводится в Сингапуре впервые. Отчет Group-IB «Hi-Tech Crime Trends» выпускается в течение 6 лет и интегрирует данные собственных расследований компании и реагирований на киберинциденты по всему миру. Благодаря применению уникальных инструментов слежения за инфраструктурой киберпреступников, а также тщательному изучению исследований команд, занимающихся кибербезопасностью в разных странах, команда Group-IB Threat Intelligence ежегодно находит и подтверждает общие паттерны, формирующие целостную картину развития киберугроз в мире. На этой основе формулируются прогнозы, которые сбывались каждый год в течение всего времени существования отчета «Hi-Tech Crime Trends».