Podľa zistení spoločnosti Kaspersky Lab priniesol tento rok zásadný zlom v detekcii hrozieb. Takzvané indikátory kompromisov (IoC), ktoré sa doteraz využívali ako účinné nástroje pri odhaľovaní pôvodcu infekcie, dnes už prestávajú fungovať.
Tento fakt významne ovplyvní vývoj v oblasti výskumu a analýzy hrozieb v roku 2017, čo potvrdzujú aj práve publikované Predpovede hrozieb na rok 2017 od spoločnosti Kaspersky Lab.
Globálny výskumný a analytický tím expertov Kaspersky Lab, známy aj ako GReAT, každoročne vydáva predpovede hrozieb na nasledujúci rok, založené na ich rozsiahlych zisteniach a expertíze z predchádzajúceho obdobia. Zoznam pre rok 2017 okrem iného zahŕňa aj vplyv unikátnych a na objednávku vytvorených nástrojov; narastajúci počet falošných stôp, ktoré majú odviesť pozornosť od identity útočníka; krehkosť cez internet prepojeného sveta; či zneužitie kybernetických útokov ako zbrane nebezpečnej informačnej vojny.
Oslabenie indikátorov kompromisov
Indikátory kompromisov (IoC) boli dlho považované za najúčinnejší spôsob zdieľania určitých prvkov charakteristických pre niektoré typy známych malvérov, na základe ktorých vedeli bezpečnostné programy rozpoznať aktívne nákazy. Situácia sa však radikálne zmenila po zisteniach expertného tímu GReAT pri analýze nedávnej hrozby (z kategórie pokročilých) známej ako ProjectSauron. Analýza tejto skupiny viedla k odhaleniu na objednávku vytvorenej malvérovej platformy, ktorá obsahovala unikátne prvky pre každú jednu obeť. To úplne odrovnalo dovtedy spoľahlivo zavedené indikátory kompromisov, ktoré v takomto prípade nie je možné aplikovať pre žiadnu ďalšiu obeť bez použitia iných opatrení, akými sú napr. silné pravidlá Yara.
Vzostup rýchlo miznúcich infekcií
V roku 2017 očakávajú experti Kaspersky Lab častejší výskyt malvérov usídlených v pamäti zariadenia a naprogramovaných tak, aby boli okamžite po prvom reštarte zamazané. Predpokladá sa, že práve tento typ malvérov bude čoraz viac využívaný na útoky na obzvlášť citlivé prostredia, pri ktorých majú útočníci eminentný záujem na tom, aby boli zahladené akékoľvek stopy či podozrenia vedúce k odhaleniu infekcie.
„Situácia sa vyvíja veľmi dramaticky. Úplne bezmocné však neostanú ani bezpečnostné riešenia. Domnievame sa, že práve nastal ten správny čas na rozsiahlejšie uplatnenie účinných pravidiel Yara. Tie umožnia analytikom dokonale preskenovať systém organizácie, sledovať a identifikovať prvky aj neaktívnych binárnych súborov, či dokonca skenovať v pamäti fragmenty známych útokov. Efemérne, resp. rýchlo miznúce, infekcie len zdôrazňujú potrebu proaktívnych a sofistikovaných opatrení v pokročilých anti-malvérových riešeniach,“ konštatoval Juan Andrés Guerrero-Saade, Senior Security Expert tímu GReAT, Kaspersky Lab.
Prehľad najdôležitejších Predpovedí hrozieb na rok 2017:
- Skutočná pravda utopená v mori operácií pod „falošnými vlajkami“: Kybernetické útoky budú zohrávať čoraz významnejšiu úlohu na poli medzinárodných vzťahov. Dohady o tom, kto je pôvodcom akcie, sa stanú stredobodom záujmu a budú určovať ďalší smer politického vývoja. Snaha o vypátranie pôvodcu akcie (atribúciu) môže mať za následok aj ovládnutie infraštruktúry alebo vlastníckych práv na otvorenom trhu kriminálnikmi, príp. aj rozsiahle rozptýlenie podvodných alebo manipulatívnych operácií (tzv. false flags) s cieľom ešte viac „zakaliť“ vody skutočných atribútov.
- Vzostup informačnej vojny: V roku 2016 svet začal brať vážne zneužitie nelegálne nadobudnutých (hacknutých) informácií za účelom vyvolania konfliktu. Predpokladá sa, že tento typ útokov sa bude objavovať oveľa častejšie v budúcom roku. Hrozí, že útočníci sa budú snažiť zneužiť ochotu ľudí prijať tieto, často zmanipulované alebo účelne selektované, informácie ako fakt.
- Všadeprítomní „strážcovia dobra“ (Vigilante Hackers) – pribudnú aktivity kyberzločincov, ktorí kradnú dáta s dobrými úmyslami resp. v mene „vyššieho“ dobra.
- Nárast kybernetických sabotáží: Keďže kritické infraštruktúry a výrobné systémy zostanú aj naďalej pripojené na internet, často s minimálnou alebo žiadnou ochranou, je viac než pravdepodobné, že sa stanú terčom útokov kyberzločincov s pokročilými zručnosťami, čo môže byť nebezpečné práve v časoch rastúceho geopolitického napätia.
- Špionáž prenikne aj do mobilov: Experti Kaspersky Lab predpovedajú nárast špionážnych kampaní zameraných primárne na mobilné zariadenia, pričom využívajú fakt, že je pomerne náročné pre bezpečnostný priemysel získať plný prístup do operačného systému mobilného zariadenia za účelom uskutočnenia forénznej analýzy.
- Komodifikácia finančných útokov: Podľa predpovedí Kaspersky Lab sa tiež očakáva v budúcom roku vzostup tzv. komodifikácie útokov nasledujúcich 2016 SWIFT heists z roku 2016 – so špecializovanými zdrojmi ponúkanými na predaj na rôznych nelegálnych (čiernych) fórach alebo podľa schémy software-as-a-service (softvér ako-služba).
- Kompromis platobných systémov: S rastúcou popularitou platobných systémov rastie aj záujem kyberzločincov o nelegálne preniknutie do platobných systémov a ich zneužitie na kriminálne aktivity.
- Prelomenie „dôvery“ v ransomvér: Kaspersky Lab tiež predpovedá pokračujúcu vzostupnú tendenciu ransomvérových útokov, tentoraz však nastane zlom v doteraz platnom vzťahu medzi obeťou a útočníkom. Ten je založený na predpoklade, že po zaplatení výkupného dostane obeť naspäť svoje dáta. Zvrat však nastane v momente, keď útočníci odmietnu vrátiť ukradnuté dáta aj po získaní výkupného.
- Integrita zariadenia v preplnenom internete: Výrobcovia IoT zariadení napriek známym rizikám pokračujú v produkcii nedostatočne zabezpečených verzií, ktoré môžu spôsobiť značné škody. Hrozba v tomto prípade môže prísť od už spomínaných Vigilante hackerov (strážcov dobra), ktorí sa rozhodnú zobrať veci do vlastných rúk a znefunkčnia toľko zariadení, koľko je len možné.
- Zneužitie digitálneho reklamného priestoru: V nasledujúcom roku budeme častejšie svedkami prípadov zneužitia nástrojov cielenej reklamy na účely sledovania údajných aktivistov či disidentov. Rovnako môže dôjsť k zneužitiu reklamných sietí na kyber-špionážne aktivity. Práve tie sú totiž dobrým nástrojom na vytvorenie unikátneho profilu akéhokoľvek cieľa, keďže poskytujú kombináciu jedinečných informácií o vybranom cieli vrátane IP adries, histórie a preferencií vyhľadávaní, záujmov, aktívnych účtov a pod.