Ведущие эксперты в области ИБ рассказали, как злоумышленники атаковали российские компании в 2022 году, выделили ключевые тенденции отрасли и дали прогнозы на следующий год.
На Standoff 10 ведущие эксперты в области ИБ рассказали, как злоумышленники атаковали российские компании в 2022 году, выделили ключевые тенденции отрасли и дали прогнозы на следующий год. Своим видением поделились представители компаний Positive Technologies, «Тинькофф Банк», «ЕВРАЗ» и Group-IB. В числе главных трендов 2022 года были названы атаки через цепочки поставок (supply chain attack) и внешние зависимости, в том числе в опенсорсных инструментах. В 2023 году эксперты прогнозируют вторую волну кибератак на российский сегмент интернета, которые будут уже не массовыми, а целенаправленными, сложными и хорошо подготовленными. Также ожидается эксплуатация уязвимостей нулевого дня в OC Astra Linux и появление вредоносного ПО, заточенного под Linux-системы, развитие концепции security by design и процессов безопасной разработки (DevSecOps).
Начальник отдела обеспечения безопасности информационных систем блока вице-президента по ИТ компании «ЕВРАЗ» Андрей Нуйкин считает, что отечественный бизнес и государственные предприятия постепенно переходят в новую реальность, где объем кибератак будет стабильно высоким, но резкие всплески, подобные тем, что случились весной 2022 года, повторяться не будут. «В этом году кратно выросло число атак с применением вредоносного ПО и методов социальной инженерии, например фишинга. Кроме того, изменились и сами атаки: мы стали фиксировать инциденты, которых раньше не было совсем, или они встречались в малом количестве, в частности DDoS-атаки», — рассказал Андрей.
Многократное увеличение числа DDoS-атак подтверждает и Дмитрий Гадарь, директор департамента ИБ «Тинькофф Банка». Среди тенденций 2022 года в банковской сфере он также отметил беспрецедентный рост количества атак через цепочки поставок и через внешние зависимости (создание в исходном коде продуктов хакерских «закладок», которые через обновления или пакеты могут дойти до клиентов и сделать их уязвимыми: например, встраивание вредоносного кода в библиотеки, модули MPM и npm-пакеты для JavaScript). «Банковская отрасль в России была и продолжает оставаться наиболее подготовленной к кибератакам, так как Центробанк обязывает финансовые организации внедрять различные средства контроля безопасности и пристально следит за исполнением этого требования. Поэтому от шторма кибератак в основном пострадали третьи стороны — наши поставщики услуг, которые были менее защищены. Причем в случае атаки на банки через цепочку поставок ущерб может быть нанесен не только безопасности предоставляемых сервисов, но и их доступности», — говорит Дмитрий.
Помимо этого, он упомянул, что задача по установке обновлений безопасности теперь решается иначе: сначала организациям следует приостановить обновление, тщательно его проверить и затем аккуратно загрузить.
По словам Дениса Гойденко, руководителя отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies , в 2022 году изменились контекст атак и поведение злоумышленников, в то время как топ популярных техник остался прежним: это атаки через поставщиков, эксплуатация известных уязвимостей, использование различных методов социальной инженерии, а также проникновение в корпоративную сеть через неизвестные или забытые компанией активы, например серверы или средства удаленного доступа (RDP). Денис добавляет: «Сейчас злоумышленники начали бить не по выгодным с финансовой точки зрения мишеням, а по крупным и медийным компаниям. Таким способом они хотят добиться хайпа, чтобы реализованные ими атаки получили наибольшее освещение в информационном поле и о них узнали все. Как правило, этим занимаются низкоквалифицированные хакеры (иногда даже скрипт-кидди), а их атаки очень простые по исполнению. К примеру, они могут скопировать большой блок информации из открытого доступа и выложить одним архивом в паблик якобы как результат взлома. В погоне за славой такие злоумышленники стараются придать значение даже самой незначительной атаке, превратив ее в громкое событие».
Руководитель лаборатории цифровой криминалистики и исследования вредоносного кода компании Group-IB Олег Скулкин тоже обозначил этот тренд, а также выделил еще один: «Последние три-четыре месяца операторы программ-вымогателей стремятся максимально навредить жертве, разрушив ее инфраструктуру. То есть для атак они, как и прежде, используют разные виды шифровальщиков, а также локеры, которые до этого специалисты по ИБ не фиксировали в России, но никакого выкупа не требуют. Их цель — нанести репутационный ущерб бизнесу, выложив украденные данные в открытый доступ, и нарушить внутренние процессы работы компании. Чаще всего восстановить информацию не удается, так как злоумышленники уничтожают резервные копии, а отдавать ключ для расшифровки наотрез отказываются».
Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies, в свою очередь, добавил, что хактивисты, которые в начале 2022 года взламывали только самые легкодоступные цели и проводили хоть и массовые, но простейшие с точки зрения техник атаки типа «дефейс» и DDoS, за прошедшие месяцы значительно улучшили свои навыки. Совершаемые ими атаки становятся не только более сложными и комплексными, но и целевыми. Раньше такие методы были характерны для высококвалифицированных киберпреступников и APT-группировок.
«Набирает обороты тренд на усложнение кибератак. Он порожден, во-первых, тем, что многие компании, которые были взломаны ранее, радикально усилили свою защиту и стали менее уязвимы для атак. Во-вторых, если злоумышленники из раза в раз применяют один и тот же инструментарий, техники и тактики, специалистам по ИБ становится все легче их обнаруживать. Поэтому хактивистам приходится постоянно подучиваться», — рассказал Денис.
Помимо этого, эксперт отметил, что стихийный хактивизм уже выработал продвинутую организационную структуру, или киберармию, как ее называют в индустрии ИБ.
Денис Кувшинов подчеркнул еще один не менее важный тренд, появившийся в 2022 году: чтобы скрыть сетевую активность при заражении жертвы, хактивисты размещают свои контрольные серверы на популярных внешних сервисах (Telegram, Discord, Yandex Cloud или Dropbox), находящихся в российской инфраструктуре. Этим приемом ранее пользовались хакеры с высокой квалификацией и исключительно в таргетированных атаках.
Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies: «Повышение уровня компетенций хактивистов, возможно, вызовет вторую волну кибератак на отечественные компании, государственный сектор и российский сегмент интернета в целом. В отличие от атак первой волны новые атаки будут продвинутыми, таргетированными и хорошо подготовленными.
В продолжение Денис Кувшинов добавил, что в 2022 году опенсорс перестал быть неприкосновенным, хотя раньше считалось, что атаковать через зависимости в продуктах с открытым исходным кодом неэтично. В 2023 году ожидается укрепление этого тренда и появление еще большего количества вредоносных пакетов на публичных сервисах для разработчиков, таких как GitLab. По его словам, эта тенденция подстегнет развитие процессов безопасной разработки.
По прогнозу эксперта, в связи с курсом на импортозамещение можно прогнозировать тренд на обнаружение и эксплуатацию злоумышленниками уязвимостей нулевого дня в системах и приложениях, на которые сейчас переходят отечественные компании, в частности в OC Astra Linux. Также компаниям следует быть готовыми к появлению вредоносного ПО и хакерских инструментов, разработанных под эту операционную систему, и к созданию атакующими вредоносных кампаний, направленных на взлом компьютеров Linux.
Дмитрий Гадарь, директор департамента ИБ, «Тинькофф Банк»: «Количество атак, связанных с компрометацией цепочек поставок, продолжит возрастать. Больше станет DDoS-атак седьмого уровня (в 2022 году преобладали атаки третьего уровня), которые будут стараться мимикрировать под пользовательские. Такие атаки сложнее детектировать, а значит защита должна переходить с сети на уровень приложений. Приложения, в свою очередь, должны иметь возможность детектировать бот‑активность.
В следующем году будут активно развиваться концепции security by design и zero trust. В отношении первой концепции ранее можно было достаточно вольно проектировать внутренние бизнес-процессы и компенсировать недочеты в безопасности, закрывая компанию несколькими эшелонами защиты из надежных средств ИБ. Сейчас такой вариант невозможен, поэтому необходимо изначально, с первых шагов строить безопасные процессы. Концепция zero trust, приобретающая все большую актуальность, заключается в том, что организации теперь не могут доверять никому: ни внешним зависимостям, ни GitLab, ни третьим сторонам (подрядчикам, поставщикам услуг и т. д.)».
Олег Скулкин, руководитель лаборатории цифровой криминалистики и исследования вредоносного кода, Group-IB: «Злоумышленники постепенно отказываются от своего самого любимого инструмента — Cobalt Strike — и начинают экспериментировать с новыми фреймворками, например Sliver . Ждать появления в 2023 году абсолютно новых техник не стоит. Если говорить о начальных векторах атак, то в следующем году злоумышленники будут проникать в инфраструктуру потенциальных жертв путем эксплуатации уязвимостей в публично доступных приложениях. Этот тренд, наметившийся уже сейчас, заметно усилится».
Гравитация научных фактов сильнее, чем вы думаете