Kaspersky Security Bulletin. Prognozy na 2017 rok

Mija kolejny rok i je艣li chodzi o istotne wydarzenia dotycz膮ce bezpiecze艅stwa informacji, tworz膮 one doskona艂y materia艂 na ksi膮偶k臋 historyczn膮. Dramat, intryga i wyzysk stanowi艂y plag臋 2016 roku. Podsumowuj膮c niekt贸re z bardziej godnych uwagi historii, po raz kolejny pr贸bowali艣my wybiec w przysz艂o艣膰, przewiduj膮c, jak b臋dzie kszta艂towa艂 si臋 krajobraz zagro偶e艅 w 2017 r. Prognozy, kt贸re przedstawimy, opieraj膮 si臋 na trendach zaobserwowanych w trakcie naszych bada艅. Mamy nadziej臋, 偶e nasze obserwacje b臋d膮 inspiruj膮ce zar贸wno dla badaczy jak i os贸b przygl膮daj膮cym si臋 scenie analizy zagro偶e艅. 

 

predictions_2017_eng_1_auto.jpg

Nasza kronika

Nasze zesz艂oroczne prognozy okaza艂y si臋 trafne, a niekt贸re z nich spe艂ni艂y si臋 wcze艣niej ni偶 przewidywali艣my. Dla tych, kt贸rzy nie pami臋taj膮, o czym pisali艣my w zesz艂ym roku, przypominamy poni偶ej kilka wa偶niejszych prognoz: 

Ataki APT: Przewidywali艣my mniejszy nacisk na przetrwanie oraz wi臋ksz膮 tendencj臋 do ukrywania si臋 poprzez pozostawanie na widoku poprzez stosowanie w atakach ukierunkowanych szkodliwego oprogramowania komercyjnego. Tak te偶 si臋 sta艂o. 艢wiadczy o tym zar贸wno wzrost ilo艣ci szkodliwego oprogramowania bezplikowego lub rezyduj膮cego w pami臋ci jak r贸wnie偶 niezliczona liczba odnotowanych atak贸w ukierunkowanych na aktywist贸w oraz firmy, w kt贸rych wykorzystywano unikatowe szkodliwe oprogramowanie, takie jak NJRat oraz Alienspy/Adwind.

Oprogramowanie ransomware: Rok 2016 mo偶na og艂osi膰 rokiem oprogramowania ransomware. Szkodliwe oprogramowanie finansowe zorientowane na wy艂udzenia sprowadza艂o si臋 praktycznie do oprogramowania ransomware, a skuteczniejsze kampanie wy艂udze艅 wykorzystywa艂y zasoby do tworzenia szkodliwego oprogramowania z mniej dochodowych kampanii. 

Wi臋cej atak贸w na banki: Wskazuj膮c na gro藕b臋 wzrostu przest臋pczo艣ci finansowej na najwy偶szym poziomie, nasze przypuszczenia dotyczy艂y atak贸w na takie instytucje jak gie艂da. Jednak prognoz臋 t臋 potwierdzi艂y ataki na sie膰 SWIFT, kt贸re spowodowa艂y milionowe straty poprzez wykorzystanie "sprytnego", odpowiednio umieszczonego szkodnika.

Ataki internetowe: Obszar niespe艂niaj膮cych norm urz膮dze艅 po艂膮czonych z internetem, do niedawna cz臋sto ignorowany, w ko艅cu zacz膮艂 rzutowa膰 na nasze 偶ycie za spraw膮 "nieprzyjemnego" botnetu IoT, kt贸ry spowodowa艂 przerwy w dzia艂aniu popularnych serwis贸w internetowych oraz utrudni艂 偶ycie tym, kt贸rzy byli zale偶ni od okre艣lonego dostawcy us艂ug DNS.

Kompromitacja: Kompromitacja i szanta偶 zaznaczy艂y si臋 do艣膰 mocno, strategiczne i masowe ujawnianie informacji wywo艂ywa艂y problemy osobiste, polityczne i dotycz膮ce reputacji.  Musimy przyzna膰, 偶e skala i ofiary niekt贸rych z tych wyciek贸w by艂y dla nas prawdziwym zaskoczeniem.

predictions_2017_eng_2_auto.jpg

Co przyniesie rok 2017?

Budz膮ce strach ataki APT

Wzrost liczby tworzonych na zam贸wienie i pasywnych implant贸w

Jakkolwiek trudno jest przekona膰 firmy i du偶e przedsi臋biorstwa, aby stosowa艂y 艣rodki bezpiecze艅stwa, trzeba umie膰 przyzna膰, kiedy 艣rodki te zaczynaj膮 by膰 niewystarczaj膮ce lub zawodz膮. Wska藕niki infekcji s膮 doskona艂膮 metod膮 rozpowszechniania cech znanego szkodliwego oprogramowania, takich jak hashe, domeny czy cechy wykonywania, kt贸re pozwalaj膮 ofiarom rozpozna膰 aktywn膮 infekcj臋. Jednak coraz wyra藕niejsza cz臋艣膰 ugrupowa艅 cyberszpiegowskich zabezpiecza si臋 przed tymi og贸lnymi metodami - co pokaza艂a niedawna kampania ProjectSauron APT, wykorzystuj膮ca specjalnie stworzon膮 platform臋 szkodliwego oprogramowania, w kt贸rej ka偶da funkcja by艂a dopasowywana do indywidualnej ofiary, co uniemo偶liwia艂o wykrycie innych infekcji. Nie znaczy to jednak, 偶e potencjalne ofiary nie mog膮 ju偶 nic zrobi膰. Wskazuje jednak na konieczno艣膰 szerszego stosowania dobrych regu艂 Yara, kt贸re pozwalaj膮 przeprowadzi膰 skanowanie w ca艂ym przedsi臋biorstwie, zbada膰 i zidentyfikowa膰 cechy w nieu偶ywanych binariach i przeskanowa膰 pami臋膰 pod k膮tem fragment贸w znanych atak贸w.

ProjectSauron uwydatni艂 r贸wnie偶 inny wyrafinowany trend, kt贸ry stanie si臋 jeszcze bardziej widoczny, a kt贸ry dotyczy "pasywnego implantu." Oparty na sieci backdoor, kt贸ry egzystuje w pami臋ci lub jest sterownikiem na bramie internetowej, kt贸ry otwiera tylne drzwi, czeka spokojnie, a偶 magiczne bajty obudz膮 jego funkcjonalno艣膰. Do momentu obudzenia przez swojego "pana" pasywne implanty nie zdradz膮 si臋 niczym, co wskazywa艂oby na aktywn膮 infekcj臋, przez co istnieje niewielkie prawdopodobie艅stwo, 偶e zostan膮 wykryte przez kogokolwiek, poza osobami najbardziej paranoicznymi, lub w ramach szerszego dzia艂ania reakcji na incydent. Nale偶y pami臋ta膰, 偶e implanty te nie posiadaj膮 predefiniowanej infrastruktury kontroli (command-and-control), z kt贸r膮 mo偶na by je skorelowa膰. Jest to zatem narz臋dzie dla najbardziej ostro偶nych os贸b atakuj膮cych, kt贸re musz膮 zapewni膰 dost臋p do atakowanej sieci w ka偶dej chwili. 

 

predictions_2017_eng_3_auto.jpg

Ulotne infekcje

PowerShell sta艂 si臋 wymarzonym narz臋dziem administrator贸w systemu Windows, jednocze艣nie przyci膮ga r贸偶nej ma艣ci tw贸rc贸w szkodliwego oprogramowania zainteresowanych ukradkow膮 implementacj膮 oraz mo偶liwo艣ciami rekonesansu, kt贸re nie zostan膮 zarejestrowane przez standardowe konfiguracje. Szkodliwe oprogramowanie dla PowerShella przechowywane w pami臋ci lub w rejestrze mo偶e "mie膰 u偶ywanie" we wsp贸艂czesnych systemach Windows. Id膮c dalej, spodziewamy si臋 "ulotnych" infekcji: szkodliwego oprogramowania rezyduj膮cego w pami臋ci, kt贸rego celem jest og贸lny rekonesans oraz gromadzenie danych uwierzytelniaj膮cych nie za艣 przetrwanie. W wysoce wra偶liwych 艣rodowiskach ukradkowi cyberprzest臋pcy zadowol膮 si臋 mo偶liwo艣ci膮 dzia艂ania do ponownego uruchomienia, kt贸re usunie ich infekcj臋 z pami臋ci, co pozwoli unikn膮膰 podejrze艅 lub potencjalnej straty operacyjnej na skutek wykrycia ich szkodliwego oprogramowania przez ofiary lub badaczy. Ulotne infekcje podkre艣l膮 potrzeb臋 proaktywnej i wyrafinowanej heurystyki w zaawansowanych rozwi膮zaniach antywirusowych (patrz: Kontrola systemu).

predictions_2017_eng_4_auto.jpg

Szpiegostwo staje si臋 mobilne

Wiele ugrupowa艅 cyberprzest臋pczych stosowa艂o w przesz艂o艣ci implanty mobilne, w tym: SofacyRedOctober oraz CloudAtlas, jak r贸wnie偶 klienci HackingTeam oraz pakietu szkodliwego oprogramowania dla systemu iOS - NSO Pegasus. By艂o to jednak uzupe艂nienie kampanii, kt贸re w g艂贸wnej mierze opiera艂y si臋 na zestawach narz臋dzi dla desktop贸w. W zwi膮zku z brakiem entuzjazmu dla wdra偶ania technologii dla system贸w operacyjnych przeznaczonych dla urz膮dze艅 stacjonarnych oraz ze wzgl臋du na fakt, 偶e coraz wi臋ksza cz臋艣膰 cyfrowego 偶ycia przeci臋tnego u偶ytkownika zostaje przeniesiona do "jego kieszeni", spodziewamy si臋 wzrostu liczby kampanii szpiegostwa mobilnego. Czynnikiem sprzyjaj膮cym takim kampaniom b臋dzie z pewno艣ci膮 trudno艣膰 w uzyskaniu narz臋dzi kryminalistycznych dla najnowszych mobilnych system贸w operacyjnych.

predictions_2017_eng_5_auto.jpg

Przysz艂o艣膰 atak贸w finansowych

S艂yszeli艣my, 偶e chcia艂by艣 obrabowa膰 bank...

Informacje o tegorocznych atakach na sie膰 SWIFT wywo艂a艂y poruszenie w ca艂ej bran偶y us艂ug finansowych ze wzgl臋du na ich skal臋 - straty oszacowano na wiele milion贸w dolar贸w. Takie posuni臋cie stanowi艂o naturaln膮 ewolucj臋 dla takich graczy jak gang Carbanak a tak偶e innych interesuj膮cych ugrupowa艅 cyberprzest臋pczych. Jednak tego rodzaju incydenty nadal stanowi膮 "robot臋" ugrupowa艅 cyberprzest臋pczych w stylu APT posiadaj膮cych pewien rozmach i ugruntowane mo偶liwo艣ci. Z pewno艣ci膮 nie oni jedyni s膮 zainteresowani napadem na bank w celu zdobycia poka藕nej kwoty.

W zwi膮zku ze wzrostem zainteresowania ze strony cyberprzest臋pc贸w, oczekujemy wy艂onienia si臋 po艣rednik贸w w atakach na system SWIFT w ugruntowanym podziemiu wielopoziomowej dzia艂alno艣ci przest臋pczej. Przeprowadzenie takiego napadu wymaga wst臋pnego dost臋pu, wyspecjalizowanego oprogramowania, cierpliwo艣ci i - wreszcie - zorganizowania pranie brudnych pieni臋dzy. Ka偶dy z tych krok贸w stwarza mo偶liwo艣膰 dzia艂aj膮cym ju偶 przest臋pcom 艣wiadczenia swoich us艂ug za op艂at膮, jednak brakuj膮cym ogniwem jest wyspecjalizowane szkodliwe oprogramowanie umo偶liwiaj膮ce przeprowadzenie atak贸w SWIFT. Spodziewamy si臋 "utowarowienia" tych atak贸w za po艣rednictwem oferowania na sprzeda偶 wyspecjalizowanych zasob贸w na podziemnych forach lub za po艣rednictwem modelu "jako us艂uga".

predictions_2017_eng_6_auto.jpg

Odporne systemy p艂atnicze

Poniewa偶 systemy p艂atnicze sta艂y si臋 jeszcze popularniejsze i powszechnie stosowane, spodziewali艣my si臋 wi臋kszego zainteresowania nimi ze strony przest臋pc贸w. Wydaje si臋 jednak, 偶e implementacje s膮 szczeg贸lnie odporne, poniewa偶 nie odnotowano 偶adnych powa偶niejszych atak贸w.  Chocia偶 klienci mog膮 poczu膰 ulg臋, pow贸d do zmartwienia maj膮 sami dostawcy system贸w p艂atniczych, poniewa偶 cyberprzest臋pcy uderzaj膮 w tych ostatnich poprzez bezpo艣rednie ataki na infrastruktur臋 system贸w p艂atniczych. Niezale偶nie od tego, czy ataki te spowoduj膮 bezpo艣rednie straty finansowe czy jedynie przestoje i zak艂贸cenia, spodziewamy si臋, 偶e rozpowszechnienie wykorzystywania tych system贸w przyci膮gnie do nich wi臋ksz膮 uwag臋 cyberprzest臋pc贸w.

predictions_2017_eng_7_auto.jpg

Nieuczciwe, k艂amliwe ransomware

Jakkolwiek wszyscy nienawidzimy (nie bez powodu) oprogramowania ransomware, wi臋kszo艣膰 szkodnik贸w tego typu polega na nietypowym zaufaniu mi臋dzy ofiar膮 a osob膮 atakuj膮c膮. Proceder ten opiera si臋 na zasadzie, 偶e osoba atakuj膮ca b臋dzie przestrzega艂a cichej umowy zawartej z ofiar膮, zgodnie z kt贸r膮 po otrzymaniu zap艂aty zostan膮 zwr贸cone "zablokowane" pliki. Cyberprzest臋pcy wykazywali zadziwiaj膮ce pozory profesjonalizmu je艣li chodzi o spe艂nienie swoich zobowi膮za艅, dzi臋ki czemu proceder ten m贸g艂 istnie膰. Jednak, poniewa偶 rosn膮ca popularno艣膰 ransomware powoduje, 偶e na 艣cie偶k臋 t臋 decyduj膮 si臋 wkroczy膰 przest臋pcy "ni偶szej klasy", prawdopodobnie pojawi si臋 coraz wi臋cej oprogramowania "ransomware", w kt贸rym nie zobaczymy ju偶 tej swoistej gwarancji jako艣ci czy og贸lnych umiej臋tno艣ci kodowania pozwalaj膮cych dotrzyma膰 obietnic臋.    

Przewidujemy pojawienie si臋 "amatorskiego" oprogramowania ransomware, kt贸re blokuje pliki lub dost臋p do systemu lub po prostu kasuje pliki, zmusza ofiar臋 do zap艂acenia okupu, nie dostarczaj膮c niczego w zamian. Pod tym wzgl臋dem ransomware niewiele b臋dzie si臋 r贸偶ni艂 od atak贸w, kt贸rych celem jest wyczyszczenie danych, i spodziewamy si臋, 偶e ekosystem zwi膮zany z tym oprogramowaniem odczuje skutki "kryzysu zaufania". By膰 mo偶e nie zniech臋ci to wi臋kszych, bardziej profesjonalnych grup do kontynuowania swoich kampanii wy艂udzaj膮cych, ale mo偶e spowodowa膰, w obliczu coraz wi臋kszej epidemii ransomware, porzucenie nadziei, 偶e skuteczn膮 rad膮 dla ofiar takich atak贸w jest "po prostu zap艂a膰 okup".

predictions_2017_eng_8_auto.jpg

Du偶y czerwony przycisk

Nies艂awny szkodnik Stuxnet by膰 mo偶e otworzy艂 puszk臋 Pandory, realizuj膮c potencja艂 atak贸w na systemy przemys艂owe, niemniej by艂 on stworzony z my艣l膮 o d艂ugotrwa艂ym sabota偶u bardzo konkretnych cel贸w. Chocia偶 infekcja rozprzestrzeni艂a si臋 w skali globalnej, szkody uboczne zosta艂y ograniczone i nie dosz艂o do przemys艂owego Armagedonu. Od tego czasu ka偶da pog艂oska czy doniesienie o wypadku przemys艂owym lub niewyja艣nionej eksplozji b臋dzie stanowi膰 o艣 teorii cybersabota偶u.

A zatem wypadek przemys艂owy wywo艂any przez cybersabota偶 z pewno艣ci膮 nie wykracza poza sfer臋 mo偶liwo艣ci. Poniewa偶 infrastruktura krytyczna oraz systemy produkcyjne nadal s膮 po艂膮czone z internetem, i cz臋sto s膮 w niewielkim stopniu zabezpieczone lub w og贸le nie posiadaj膮 ochrony, te kusz膮ce cele wci膮偶 b臋d膮 ostrzy艂y apetyt posiadaj膮cych dobre zasoby cyberprest臋pc贸w, kt贸rzy chc膮 wywo艂a膰 zam臋t. Nale偶y zauwa偶y膰 w tym miejscu, 偶e abstrahuj膮c od aspektu zwi膮zanego z wywo艂ywaniem niepokoju, tego rodzaju ataki b臋d膮 wymaga艂y pewnych umiej臋tno艣ci i intencji. Ataki cyberszanta偶u b臋d膮 towarzyszy艂y rosn膮cym napi臋ciom geopolitycznym oraz zorientowaniu grup cyberprzest臋pczych o ugruntowanej pozycji na ukierunkowan膮 destrukcj臋 lub zak艂贸cenie istotnych us艂ug.

 

predictions_2017_eng_9_auto.jpg

Przepe艂niony internet odp艂aca si臋

Innymi s艂owy pomocny go艣膰

Od dawna wieszczyli艣my, 偶e s艂abe zabezpieczenia Internetu Rzeczy (lub Zagro偶e艅) w ko艅cu si臋 na nas zemszcz膮 i oto nadszed艂 ten czas. Jak mogli艣my przekona膰 si臋 ostatnio w przypadku botnetu Mirai, s艂abe zabezpieczenia urz膮dze艅 niepotrzebnie wyposa偶onych w dost臋p do internetu daj膮 przest臋pcom mo偶liwo艣膰 siania zam臋tu w niemal bezkarny spos贸b. Chocia偶 dla niekt贸rych nie b臋dzie to 偶adn膮 niespodziank膮, kolejny krok mo偶e okaza膰 si臋 szczeg贸lnie interesuj膮cy, poniewa偶 przewidujemy, 偶e hakerzy z samozwa艅czej stra偶y obywatelskiej mog膮 wzi膮膰 sprawy w swoje r臋ce. 

Idea 艂atania znanych i zg艂oszonych luk w zabezpieczeniach otaczana jest swoist膮 czci膮 jako usankcjonowanie ci臋偶kiej (i cz臋sto niewynagradzanej) pracy badaczy bezpiecze艅stwa. Poniewa偶 producenci urz膮dze艅 Internetu Rzeczy nadal wypuszczaj膮 niezabezpieczone urz膮dzenia, kt贸re powoduj膮 problemy na szerok膮 skal臋, hakerzy z samozwa艅czej stra偶y obywatelskiej mog膮 postanowi膰 dzia艂a艅 na w艂asn膮 r臋k臋. A jaki spos贸b jest lepszy ni偶 odbicie problemu do samych producent贸w poprzez masowe "psucie" tych podatnych na ataki urz膮dze艅. Poniewa偶 botnety IoT nadal s膮 wykorzystywane do rozpowszechniania atak贸w DDoS oraz spamu, odpowied藕 immunologiczna ekosystemu mo偶e polega膰 na tym, 偶e urz膮dzenia te zaczn膮 by膰 ca艂kowicie wy艂膮czane, ku rozgoryczeniu klient贸w i producent贸w. By膰 mo偶e czeka nas Internet Zepsutych Urz膮dze艅.

 

predictions_2017_eng_10_auto.jpg

Milcz膮ce migaj膮ce pude艂ka

Ugrupowanie ShadowBrokers opublikowa艂o szeroki wachlarz dzia艂aj膮cych exploit贸w dla zap贸r sieciowych wielu r贸偶nych producent贸w. Nied艂ugo po tym pojawi艂y si臋 doniesienia o wykorzystaniu tych exploit贸w na wolno艣ci, podczas gdy producenci pr贸bowali rozgry藕膰 wykorzystane luki w zabezpieczeniach i opublikowa膰 艂aty. Jednak zakres skutk贸w tego incydentu nie jest jeszcze znany. Co zdo艂ali uzyska膰 cyberprzest臋pcy przy pomocy tych exploit贸w? Jakie implanty mog膮 pozostawa膰 w ukryciu w podatnych na ataki urz膮dzeniach? 

Abstrahuj膮c od tych konkretnych exploit贸w, wida膰, 偶e istnieje wi臋kszy problem integralno艣ci urz膮dze艅, kt贸ry wymaga dalszych bada艅 odno艣nie urz膮dze艅, kt贸re s膮 krytyczne dla "granic" sieci przedsi臋biorstwa. Pytanie, na kt贸re wci膮偶 nie ma odpowiedzi, brzmi: "dla kogo pracuje twoja zapora sieciowa"?  

predictions_2017_eng_11_auto.jpg

Kim ty do diab艂a jeste艣?

Fa艂szywe flagi i operacje psychologiczne to nasz ulubiony temat i nie jest 偶adn膮 niespodziank膮, 偶e przewidujemy wzrost kilku trend贸w w tym obszarze.

Wojny informacyjne

Cyberugrupowania takie jak m.in. Lazarus czy Sofacy stanowi艂y pionier贸w je艣li chodzi o tworzenie fa艂szywych kana艂贸w dla ukierunkowanych "zrzut贸w" informacji i wy艂udze艅. Po ich skutecznym i niezwykle popularnym wykorzystywaniu na przestrzeni kilku ostatnich miesi臋cy spodziewamy si臋 wzrostu popularno艣ci operacji w ramach wojny informacyjnej, kt贸rej celem jest manipulowanie opini膮 i og贸lny chaos wok贸艂 popularnych proces贸w. Ugrupowania cyberprzest臋pcze zainteresowane upublicznianiem zhakowanych danych maj膮 niewiele do stracenia, tworz膮c narracj臋 za po艣rednictwem istniej膮cej lub sfabrykowanej grupy haktywist贸w. W ten spos贸b odwracaj膮 uwag臋 od ataku, kieruj膮c j膮 na tre艣膰 tego rodzaju rewelacji.      

Prawdziwym zagro偶eniem jest tutaj nie w艂amanie hakerskie czy naruszenie prywatno艣ci, ale raczej to, 偶e przyzwyczajaj膮c si臋 do przyjmowania takich danych jako godnych opublikowania fakt贸w   dziennikarze i zaniepokojeni obywatele otwieraj膮 drog臋 sprytniejszym cyberprzest臋pcom, kt贸rzy chc膮 manipulowa膰 wynikiem poprzez manipulowanie danymi lub ich pomijanie. Podatno艣膰 na takie operacje w ramach wojny informacyjnej jest najwy偶sza w historii i mamy nadziej臋, 偶e zdolno艣膰 rozr贸偶niania tych rodzaj贸w informacji przewa偶y, poniewa偶 technika ta jest stosowana przez coraz wi臋ksz膮 liczb臋 graczy (lub przez tych samych gracz posiadaj膮cych wi臋cej jednorazowych masek).    

 

predictions_2017_eng_12_auto.jpg

Obietnica odstraszenia

Poniewa偶 cyberataki zaczynaj膮 odgrywa膰 wi臋ksz膮 rol臋 w relacjach mi臋dzynarodowych, atrybucja stanie si臋 g艂贸wnym czynnikiem w okre艣laniu przebiegu zabieg贸w geopolitycznych. Instytucje rz膮dowe b臋d膮 mia艂y trudny problem do przemy艣lenia - b臋d膮 musia艂y zdecydowa膰, jaki standard atrybucji b臋dzie wystarczaj膮cy dla zabieg贸w dyplomatycznych czy publicznych oskar偶e艅. Poniewa偶 dok艂adna atrybucja jest prawie niemo偶liwa bior膮c pod uwag臋 fragmentaryczn膮 widoczno艣膰 r贸偶nych instytucji publicznych i prywatnych, by膰 mo偶e "lu藕na atrybucja" oka偶e si臋 dla nich wystarczaj膮co dobra. Chocia偶 nale偶y zaleca膰 najwy偶sz膮 ostro偶no艣膰, trzeba r贸wnie偶 pami臋ta膰, 偶e bardzo wa偶ne jest to, aby przeprowadzanie cyberatak贸w nie pozostawa艂o bez konsekwencji. Naszym zadaniem jest zadbanie o to, aby odwet nie powodowa艂 dalszych problem贸w, gdy przebiegli cyberprzest臋pcy przechytrzaj膮 tych, kt贸rzy chc膮 dokona膰 atrybucji. Nale偶y r贸wnie偶 pami臋ta膰, 偶e w miar臋 jak zemsta i konsekwencje b臋d膮 stawa艂y si臋 bardziej prawdopodobne, znacznie wzro艣nie wykorzystywanie szkodliwego oprogramowania komercyjnego i opartego na otwartym 藕r贸dle, a narz臋dzia takie jak Cobalt Strike oraz Metasploit b臋d膮 stanowi艂y przykrywk臋 dla wiarygodnego "zaprzeczenia", o kt贸rym nie ma mowy w przypadku autorskiego szkodliwego oprogramowania opartego na zamkni臋tym 藕r贸dle.          

predictions_2017_eng_13_auto.jpg

Podwojenie stawki na fa艂szywe flagi

Wprawdzie przyk艂ady wyszczeg贸lnione w raporcie dotycz膮cym fa艂szywych flag obejmowa艂y odnotowane na wolno艣ci przypadki ugrupowa艅 APT wykorzystuj膮cych pewne elementy stosowania fa艂szywych flag, nie odnotowano w tym czasie 偶adnej "prawdziwej" operacji tego typu. M贸wi膮c o takiej operacji mamy na my艣li operacj臋 przeprowadzon膮 przez ugrupowanie cyberprzest臋pcze A, kt贸ra zosta艂a szczeg贸艂owo i ca艂kowicie zorganizowana w stylu i przy u偶yciu zasob贸w innego ugrupowania cyberprzest臋pczego B z zamiarem sprowokowania zemsty ofiary na "niewinnym" cyberugrupowaniu B. Tego rodzaju operacje nie b臋d膮 mia艂y sensu, je艣li nie b臋d膮 wywo艂ywa艂y dotkliwego odwetu. Poniewa偶 zemsta staje si臋 coraz powszechniejsza i bardziej impulsywna, oczekujemy pojawienia si臋 prawdziwych operacji typu "fa艂szywe flagi".                     

W takiej sytuacji mo偶na spodziewa膰 si臋, 偶e inwestowanie w fa艂szywe flagi b臋dzie jeszcze bardziej op艂acalne, by膰 mo偶e nawet zach臋caj膮c do "wrzucania" infrastruktury czy nawet zazdro艣nie strze偶onych autorskich zestaw贸w narz臋dzi do masowego wykorzystania. W ten spos贸b przebiegli cyberprzest臋pcy mog膮 spowodowa膰 przej艣ciowe zamieszanie zar贸wno w艣r贸d badaczy jak i ofiar, poniewa偶 tzw. dzieciaki skryptowe, haktywi艣ci oraz cyberprzest臋pcy dostan膮 nagle do r膮k autorskie narz臋dzia zaawansowanego cyberugrupowania, zapewniaj膮c tym samym os艂on臋 anonimowo艣ci w masie atak贸w i cz臋艣ciowo ograniczaj膮c mo偶liwo艣ci atrybucji organom 艣cigania.       

predictions_2017_eng_14_auto.jpg

Jaka prywatno艣膰?

Zas艂anianie

Wyeliminowanie ostatnich 艣lad贸w anonimowo艣ci w cyberprzestrzeni jest na r臋k臋 czy to dla reklamodawc贸w czy dla szpieg贸w. Dla tych pierwszych, cenn膮 technik膮 okaza艂o si臋 艣ledzenie przy u偶yciu "uporczywych" ciasteczek. Trend ten zostanie prawdopodobnie rozszerzony i po艂膮czony z widgetami i innymi nieszkodliwymi dodatkami do popularnych stron internetowych, kt贸re pozwalaj膮 firmom 艣ledzi膰 indywidualnych u偶ytkownik贸w, gdy wychodz膮 poza ich domeny, a tym samym uzyska膰 sp贸jny obraz ich zwyczaj贸w zwi膮zanych z przegl膮daniem stron internetowych (wi臋cej na ten temat poni偶ej).      

W innych cz臋艣ciach 艣wiata atakowanie aktywist贸w i 艣ledzenie aktywno艣ci na portalach spo艂eczno艣ciowych, kt贸ra "pod偶ega do niestabilno艣ci" nadal b臋dzie inspirowa艂o do niespodziewanego wyrafinowania, poniewa偶 du偶e pieni膮dze nadal trafiaj膮 do nieznanych firm posiadaj膮cych innowacyjne rozwi膮zania do 艣ledzenia dysydent贸w i aktywist贸w w ca艂ym internecie. Dzia艂ania te ujawniaj膮 zwykle du偶e zainteresowanie tendencjami dotycz膮cymi portali spo艂eczno艣ciowych ca艂ych region贸w geograficznych oraz wp艂ywem, jaki maj膮 na nie g艂osy dysydent贸w. By膰 mo偶e pojawi si臋 nawet ugrupowanie, kt贸re b臋dzie tak 艣mia艂e, 偶e w艂amie si臋 do sieci spo艂eczno艣ciowej w celu uzyskania danych osobowych oraz informacji obci膮偶aj膮cych.    

predictions_2017_eng_15_auto.jpg

Szpiegowska sie膰 reklam

呕adna technologia nie pozwala tak dobrze przeprowadzi膰 prawdziwie ukierunkowanych atak贸w jak sieci reklamowe. Ich dzia艂anie jest motywowane ca艂kowicie wzgl臋dami finansowymi. S膮 regulowane w niewielkim zakresie lub w og贸le, o czym 艣wiadcz膮 powtarzaj膮ce si臋 ataki przy u偶yciu reklam na popularne strony. Sieci reklam zapewniaj膮 doskona艂e profilowanie cel贸w poprzez po艂膮czenie adres贸w IP, "odcisk贸w palc贸w" pozostawianych w przegl膮darce oraz danych dotycz膮cych stron, kt贸re u偶ytkownik przegl膮da i do kt贸rych si臋 loguje. Tego rodzaju dane u偶ytkownika pozwalaj膮 "wybrednemu" cyberprzest臋pcy wybi贸rczo wstrzykn膮膰 lub przekierowa膰 okre艣lone ofiary do swoich szkodliwych funkcji, a tym samym unikn膮膰 w du偶ej mierze infekcji pobocznych oraz d艂ugotrwa艂ej dost臋pno艣ci szkodliwych funkcji, kt贸re zwykle zwracaj膮 uwag臋 badaczy bezpiecze艅stwa. W takiej sytuacji spodziewamy si臋, 偶e najbardziej zaawansowani przest臋pcy stosuj膮cy cyberszpiegostwo stwierdz膮, 偶e tworzenie lub przejmowanie sieci reklamowej jest niewielk膮 inwestycj膮 w stosunku do poka藕nych zysk贸w operacyjnych, kt贸ra pozwoli im atakowa膰 cele, a jednocze艣nie chroni膰 swoje najnowsze zestawy narz臋dzi.          

predictions_2017_eng_16_auto.jpg

Pojawienie si臋 hakera samozwa艅czej stra偶y obywatelskiej

Po tym jak ugrupowanie Hacking Team opublikowa艂o zhakowane informacje w 2015 roku tajemnicza grupa Phineas Fisher udost臋pni艂a sw贸j przewodnik dla przysz艂ych haker贸w, w kt贸rym podpowiada艂a, jak "unieszkodliwi膰" w sieci niesprawiedliwe organizacje oraz podejrzane firmy. Dzia艂anie to by艂o w duchu przekonania, 偶e hakerzy dzia艂aj膮cych w imi臋 dobra og贸艂u s膮 cz臋艣ci膮 pozytywnej si艂y, mimo 偶e publikacja ugrupowania HackingTeam wyposa偶y艂a aktywne ugrupowania APT w exploity dnia zerowego, a by膰 mo偶e nawet zach臋ci艂a nowych klient贸w. Wraz z nasileniem si臋 retoryki konspiracyjnej, nap臋dzanej wiar膮, 偶e wycieki i upublicznianie danych stanowi膮 spos贸b na zniwelowanie asymetrii informacyjnej, wi臋cej os贸b przy艂膮czy si臋 do ugrupowa艅 hakerskich dzia艂aj膮cych dla dobra og贸艂u w celu dokonywania "zrzut贸w" danych oraz zorganizowanych wyciek贸w skierowanych przeciwko podatnym na ataki organizacje.             

predictions_2017_eng_17_auto.jpg

殴ród艂o: Kaspersky Lab