Наша команда глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского» следит за деятельностью более 900 APT-групп. В конце года мы подводим итоги, анализируя самые сложные и изощренные атаки, сформировавшие ландшафт угроз. Это помогает нам прогнозировать новые тенденции и лучше понимать, каким будет этот ландшафт в следующем году.
В этой статье из серии Kaspersky Security Bulletin мы анализируем тенденции уходящего года, проверяем, сбылись ли наши прогнозы, и делимся ожиданиями на 2025 год.
Оглавление
Обзор прошлогодних прогнозов
Больше изобретательных атак на мобильные, носимые и умные устройства
В прошлом году мы обнаружили кампанию «Операция Триангуляция», в которой использовалась уникальная цепочку атаки, включающая эксплойты для продуктов Apple, в частности устройств на базе iOS и watchOS. Эти эксплойты полагались на множество уязвимостей в таких компонентах, как WebKit и ядро XNU, а также в процессоре Apple.
Как и предполагалось, атаки с использованием эксплойтов для устройств Apple продолжились и в 2024 году. К примеру, в январе компания сообщила, что в кибератаках могла использоваться уязвимость CVE-2024-23222 в движке браузера Safari, позволяющая удаленно выполнять код. Этой осенью Apple опубликовала информацию о двух новых эксплойтах, которые, вероятно, использовались в реальных атаках: CVE-2024-23225 в ядре XNU и CVE-2024-23296 в RTKit.
Устройства на базе Android также по-прежнему остаются выгодной целью для APT-групп. В ноябре компания Google сообщила о двух уязвимостях, которые «могли эксплуатироваться в отдельных целевых атаках»: CVE-2024-43093 и CVE-2024-43047. Примечательно, что вторая уязвимость, как и один из эксплойтов из кампании «Операция Триангуляция», связана с ошибками в процессоре. Таким образом, мы видим, что APT-группы все чаще сосредотачиваются на уязвимостях в аппаратных компонентах мобильных устройств.
Вердикт: прогноз сбылся ✅
Новые ботнеты на базе потребительских и корпоративных приложений и устройств
Мировое сообщество специалистов по кибербезопасности активно занимается нейтрализацией командных серверов, поэтому злоумышленникам, в том числе APT-группам, становится все сложнее использовать свою инфраструктуру для долгосрочной вредоносной деятельности. В ответ на действия ИБ-исследователей некоторые APT-группы начали создавать собственные ботнеты для проведения кибератак.
Например, в январе этого года правительство США уничтожило ботнет, состоящий из скомпрометированных роутеров с ОС Ubiquiti Edge и управляемый группой Sofacy (также известной как APT28). Устройства изначально были заражены Moobot — вредоносным ПО на базе Mirai, которое использовалось для внедрения дополнительных скриптов, проведения координированных целевых атак, сбора учетных данных, проксирования трафика, создания обратных SSH-туннелей, хостинга фальшивых стартовых страниц и управления другими удаленными системами, зараженными Python-бэкдором.
В 2024 году мы также заметили, что несколько китаеязычных групп использовали ботнеты для целевых атак. Один из таких ботнетов, обнаруженных в этом году, — Quad7. Он был установлен на скомпрометированные роутеры группой Storm-0940 для проведения атак типа password spraying (проверки распространенных паролей на большом количестве учетных записей). Еще один пример — KV-Botnet, развернутый на уязвимых межсетевых экранах, роутерах и IP-камерах. Он использовался для сокрытия вредоносной деятельности группы Volt Typhoon, которая им управляла.
Вердикт: прогноз сбылся ✅
Станет больше успешных атак с выполнением кода на уровне ядра (руткиты режима ядра снова в деле)
Каждый раз, когда злоумышленник взламывает компьютер, он стремится максимально расширить свои привилегии. В частности, в ходе целевых атак злоумышленники часто хотят заполучить доступ к ядру. После этого они смогут отключать или обходить меры безопасности, а также внедрять руткиты для скрытого выполнения вредоносных действий.
В 2024 году техника Bring Your Own Vulnerable Driver (BYOVD), основанная на внедрении уязвимого легитимного драйвера, осталась самым популярным методом получения доступа к ядру и стала применяться даже чаще, чем в предыдущие годы. Так, во втором квартале 2024 года мы зафиксировали рост использования BYOVD на 23%. Вероятно, он связан с отсутствием эффективных методов борьбы с этой техникой в операционных системах. В Windows есть список запрещенных уязвимых драйверов, но он обновляется редко (1–2 раза в год), что позволяет злоумышленникам эксплуатировать уже известные уязвимые драйверы.
Поскольку некоторые защитные решения пытаются предотвратить использование уязвимых драйверов, злоумышленники адаптируются, находя уязвимости в уже установленных в Windows драйверах, чтобы получить привилегии для действий в пространстве ядра. К примеру, в этом году группа Lazarus использовала уязвимость CVE-2024-21338 в драйвере AppLocker для развертывания руткита FudModule.
Вердикт: прогноз сбылся ✅
Рост числа атак, финансируемых государствами
С каждым годом количество атак, проводимых опытными злоумышленниками, продолжает расти, и 2024 год не стал исключением. В первой половине этого года мы зафиксировали рост на 25% числа APT-атак. В течение года мы освещали наиболее интересные из этих атак в нашем блоге.
Примечательно, что, по нашим наблюдениям, количество продвинутых атак не просто увеличилось — возросла и их организационная сложность. Это особенно заметно в случае с майскими атаками APT-группы Lazarus на криптовалютных инвесторов.
Атаки были тщательно спланированы: злоумышленники украли исходный код игры, связанной с криптовалютой, продвигали поддельные сайты игры в социальных сетях и воспользовалась эксклюзивной цепочкой эксплойтов нулевого дня для заражения целей, посещающих эти сайты. Подготовка, вероятно, длилась несколько месяцев, что объясняет столь высокий организационный уровень атак.
Вердикт: прогноз сбылся ✅
Хактивисты в кибервойне: новая реальность геополитических конфликтов
Как мы и ожидали, в этом году наблюдался рост числа атак хактивистских групп, особенно связанных с российско-украинским конфликтом и противостоянием Израиля и ХАМАС. В контексте российско-украинского конфликта мы сообщали о нескольких хактивистских группах, среди которых стоит выделить Twelve, Head Mare и Crypt Ghouls. В целом хактивисты в российско-украинском конфликте становятся более опытными и предпочитают атаковать крупные государственные, промышленные и энергетические организации, что делает их атаки более заметными для обычных людей.
Подобную тактику мы наблюдали и у хактивистов, действующих в зоне конфликта между Израилем и ХАМАС. Примером может стать недавняя DDoS-атака на израильские платежные терминалы. Интересно, что цели кибератак, связанных с этим конфликтом, вышли далеко за его пределы. Например, в этом году пропалестинская хактивистская группа BlackMeta атаковала сайт Internet Archive, никак не связанный с конфликтом.
Вердикт: прогноз сбылся ✅
Атаки на цепочки поставок как услуга
В этом году мы не видели атак на цепочки поставок, которые нанесли бы серьезный ущерб. Однако примечательной была атака с использованием бэкдора XZ Utils, которой мы посвятили серию из трех публикаций в нашем блоге. Бэкдор затронул несколько популярных дистрибутивов Linux, и, если бы его не обнаружили члены сообщества, последствия могли бы быть куда серьезнее — возможно, создатели бэкдора стали бы продавать APT-группам доступ к сетям скомпрометированных компаний.
Вердикт: прогноз не сбылся ❌
Целевые фишинговые операции на основе генеративного ИИ
С появлением генеративного ИИ многие злоумышленники, как финансово мотивированные, так и спонсируемые государствами, начали использовать эту технологию для повышения эффективности своих атак. Особенно это заметно в фишинговых атаках, где генеративный ИИ позволяет создавать грамотно оформленные и визуально привлекательные фишинговые письма.
Один из примечательных случаев использования ИИ в целевой атаке — неудачная попытка компрометации компании KnowBe4, предположительно, группой Lazarus, когда хакеру удалось обмануть отдел кадров компании с помощью ИИ в процессе найма. В частности, в заявлении на работу злоумышленник использовал стоковую фотографию, отредактированную с помощью ИИ, чтобы она выглядела более реалистичной. Хотя ему удалось обмануть отдел кадров, устроиться на работу и получить доступ к внутренней сети, дальнейшие попытки взлома были быстро обнаружены центром мониторинга и реагирования компании.
Вердикт: прогноз сбылся ✅
Вырастет число наемных хакеров
Хотя в мире crimeware появилось несколько новых групп наемных хакеров, среди них нет выдающихся коммерчески мотивированных злоумышленников, которые проводили бы сложные кибератаки, аналогичные вредоносным кампаниям APT-групп.
Вердикт: прогноз не сбылся ❌
Новые атаки через MFT-системы
В прошлом году инциденты с системами MFT (Managed File Transfer, управляемый обмен файлами), такими как MOVEit и GoAnywhere, нанесли значительный ущерб пострадавшим организациям. Хотя эти атаки произошли год назад, компании все еще ощущают их последствия. Например, несколько дней назад на даркнет-форуме были опубликованы персональные данные сотрудников Amazon, предположительно похищенные в результате атаки через уязвимость в MOVEit.
В этом году эксперты по кибербезопасности также выявили использование нескольких уязвимостей в системах MFT. Одна из них — CVE-2024-0204, позволяющая обходить аутентификацию в GoAnywhere MFT. Другой пример — CVE-2024-5806, аналогичная уязвимость в MOVEit Transfer. Однако сообщество специалистов по кибербезопасности было лучше подготовлено к защите систем MFT, поэтому последствия атак на основе этих уязвимостей оказались менее серьезными, чем в прошлом году.
Вердикт: прогноз сбылся частично
Прогнозы по продвинутым угрозам на 2025 год
Альянсы хактивистов продолжат расширяться
В последние годы хактивистские группы начали тесно связывать свою деятельность с социально-политическими конфликтами. Если раньше их атаки были направлены на привлечение внимания, то теперь они преследуют более серьезные цели, например взлом спутниковых систем навигации.
В этом году хактивизм продолжил развиваться: группы начали объединяться в альянсы и создавать форумы с общими целями. Эти альянсы могут действовать в интересах сторон военных конфликтов, как, например, сообщество Holy League, которое, как утверждается объединило 70 активных хакерских групп, однако геополитика — не единственная причина для сплочения злоумышленников. Причиной появления хактивистских союзов также может стать череда неожиданных событий, как, например, арест генерального директора Telegram Павла Дурова — тогда хактивисты совместными усилиями взломали множество французских веб-сайтов.
Хотя общая цель объединяет и мотивирует злоумышленников, не менее важен обмен инструментами и доступом к вредоносной инфраструктуре, благодаря которому они могут достигать более амбициозных результатов.
Эта стратегия сделала хактивизм сильнее, поэтому можно ожидать более организованные и эффективные кампании, в том числе с применением шифровальщиков. В некоторых случаях атаки хактивистов могут помочь выявить проблемы с недостаточным финансированием безопасности в целевых организациях.
APT-группы будут чаще проводить атаки через устройства интернета вещей (IoT)
Быстрое распространение IoT-устройств, количество которых, по прогнозам, вырастет с 18 млрд сегодня до 32 млрд к 2030 году, приносит не только инновации, но и новые проблемы с безопасностью. С ростом популярности умных устройств, таких как камеры, выключатели и розетки, появляется множество новых подключений к интернету, каждое из которых может быть уязвимым.
Управление многими IoT-устройствами реализовано через удаленные серверы, и зачастую неясно, какие меры безопасности применяют компании, обслуживающие эти серверы, и насколько их инфраструктура уязвима к атакам. Кроме того, в ряде случаев IoT-устройства базируются на встроенных системах с прошивкой, которую можно легко проанализировать на наличие уязвимостей. Многие старые устройства полагаются на устаревшие библиотеки с известными уязвимостями, что делает их легкой мишенью для взлома.
Рост числа мобильных приложений для управления этими устройствами создает дополнительный уровень риска. С таким многообразием доступных приложений проверять их подлинность становится сложно, и злоумышленники получают шанс внедрить поддельные приложения, которые дадут им контроль над IoT-устройствами. Риски компрометации цепочки поставок также вызывают обеспокоенность: злоумышленники могут внедрить вредоносное ПО на этапе производства, как это случалось с некоторыми ТВ-приставками на базе Android.
Основная проблема здесь — отсутствие механизмов защиты. Состояние IoT-устройств и даже просто их наличие в инфраструктуре сложно отслеживать, и специалистам по ИБ приходится работать практически вслепую. По сравнению с прошлым годом ситуация не улучшилась, и можно ожидать, что злоумышленники продолжат эксплуатировать множество незащищенных IoT-устройств.
Рост числа атак на цепочку поставок в проектах с открытым исходным кодом
Одной из самых известных кампаний этого года стало внедрение бэкдора в XZ — популярный инструмент сжатия с открытым исходным кодом, часто встречающийся в Linux-дистрибутивах. Злоумышленники применили методы социальной инженерии, чтобы получить постоянный доступ к среде разработки этого программного обеспечения, и оставались незамеченными на протяжении нескольких лет. Этот случай подчеркивает основные проблемы современной экосистемы программ с открытым исходным кодом, где многие ключевые проекты поддерживаются лишь несколькими разработчиками, а иногда и одним, что делает их уязвимыми для сложных атак APT-групп, спонсируемых государствами.
Случай с XZ привлек внимание специалистов по кибербезопасности и организаций в смежных областях к необходимости более тщательного мониторинга содержимого проектов с открытым исходным кодом. Хотя количество атак на цепочки поставок, возможно, и не возрастет, мы определенно увидим больше случаев обнаружения уже состоявшихся атак.
Появление зловредов на языках C++ и Go для адаптации к экосистеме программ с открытым исходным кодом
Поскольку проекты с открытым исходным кодом все чаще используют C++ и Go, злоумышленникам придется адаптировать свое вредоносное ПО под эти популярные языки. В 2025 году мы можем ожидать, что все больше APT-групп и злоумышленников перейдут на новые версии C++ и Go, чтобы воспользоваться их популярностью в проектах с открытым исходным кодом.
Языки программирования C++ и Go станут основными при разработке вредоносных программ, опередив остальные. Злоумышленники будут использовать как их сильные стороны, так и уязвимости для проникновения в системы и обхода защиты.
Более активное использование ИИ группами, действующими при государственной поддержке
В прошлом году мы предсказали, что APT-группы будут стараться повысить эффективность целевого фишинга с помощью ИИ. Через некоторое время после этого компания OpenAI сообщила о блокировании учетных записей злоумышленников, финансируемых государствами, и подчеркнула, что APT-группы уже используют большие языковые модели (LLM) для целевого фишинга, перевода текстов, генерации скриптов и исследования данных из открытых источников для создания более совершенного контента для целевых атак. Наше недавнее исследование показало, что группа Lazarus использовала сгенерированные изображения для продвижения поддельного игрового сайта, эксплуатировавшего уязвимость нулевого дня в Chrome для кражи криптовалюты.
Мы считаем, что использование LLM станет обычной практикой для злоумышленников аналогично тому, как специалисты по безопасности все чаще внедряют ИИ и машинное обучение в свои стратегии кибербезопасности. Скорее всего, злоумышленники будут применять LLM на этапе разведки для автоматизации поиска уязвимостей и сбора информации о нужных им технологиях, чтобы быстрее находить слабые места в своих целях. Они также будут чаще использовать ИИ для создания вредоносных скриптов и генерации команд на этапе посткомпрометации, чтобы повысить шансы на успех.
Вероятно, что злоумышленники будут пытаться делать все это втайне от OpenAI и других подобных компаний. Для этого они могут создавать локальные LLM или маскировать свои действия на общедоступных платформах, используя несколько учетных записей, тщательно составляя запросы и минимизируя информацию, передаваемую таким платформам, как Google, OpenAI и Microsoft.
APT-группы будут пользоваться дипфейками
Особое внимание следует уделить растущей угрозе дипфейков, которые быстро совершенствуются и несут серьезные риски. Ранее видеозаписи, фотографии и голосовые сообщения обычно считались надежными источниками информации. Однако с развитием и ростом доступности технологий дипфейков доверие к таким материалам постепенно падает. В 2024 году дипфейки использовались в крупных мошеннических схемах. Например, в одной из них злоумышленники взяли видео с YouTube с участием генерального директора компании, сымитировали его голос с помощью ИИ, чтобы создать эффект реального видеозвонка. В другом случае ИИ помог сфабриковать видео с участниками онлайн-встречи на основе общедоступных роликов, чтобы обманом заставить сотрудника гонконгской компании перевести мошенникам около 25,5 млн долларов США.
Эффективность таких атак объясняется особенностями человеческой психологии: услышав знакомый голос, люди инстинктивно начинают доверять говорящему. Ранее возможность имитации голоса никогда не считалась серьезной угрозой, поэтому такой вид обмана остается убедительным. Однако технологии искусственного интеллекта полностью изменили восприятие подобных рисков. Сегодня дипфейки можно создавать за считаные минуты, используя всего несколько образцов видео и голоса, которые можно легко найти в соцсетях или добыть другими способами.
Хотя до сих пор мы наблюдали копирование голоса с помощью ИИ в рамках мошеннических схем, в дальнейшем мы ожидаем, что APT-группы будут использовать эту технологию все чаще, чтобы выдавать себя за нужных им лиц и создавать убедительные обращения или видеозаписи с целью обмана сотрудников, кражи конфиденциальной информации и других злонамеренных действий.
Бэкдоры в моделях ИИ
Повсеместное внедрение моделей искусственного интеллекта в разных отраслях делает их все более привлекательной целью для злоумышленников, в том числе спонсируемых государством. Широкое распространение готовых моделей искусственного интеллекта с открытым исходным кодом увеличивает риск их заражения троянцами или бэкдорами.
В 2025 году мы, вероятно, увидим попытки APT-групп скомпрометировать популярные модели искусственного интеллекта и открытые наборы данных путем внедрения в них вредоносного кода или необъективных данных, которые могут широко распространяться, а обнаружить их будет сложно.
Рост популярности эксплойтов типа Bring Your Own Vulnerable Driver (BYOVD) в APT-кампаниях
Как уже упоминалось, техника BYOVD стала одной из тенденций 2024 года. Этот метод позволяет злоумышленникам эксплуатировать уязвимости в драйверах для повышения привилегий, обхода защиты и развертывания сложных полезных нагрузок как в атаках с использованием шифровальщиков, так и в APT-кампаниях.
Драйверы являются важным связующим звеном между аппаратным и программным обеспечением, но уязвимости в них могут открыть огромную брешь для проникновения злоумышленников, особенно если соответствующий эксплойт работает на уровне ядра. Уязвимые драйверы позволяют злоумышленникам выполнять вредоносный код с высокими привилегиями, открывая возможности для долгосрочного шпионажа, кражи данных и проникновения в сеть. Хотя некоторые поставщики систем безопасности предлагают механизмы для предотвращения таких атак, традиционные методы не всегда справляются с ними из-за их сложности. Драйверы являются легитимным программным обеспечением, зачастую необходимым для работы системы, и трудно отличить их нормальное использование от злонамеренного, а также ограничить их работу только легитимными целями.
Ожидается, что тенденция к использованию техники BYOVD сохранится и в 2025 году. С развитием навыков злоумышленников в эксплуатации уязвимостей в низкоуровневых компонентах сложность таких атак, вероятно, увеличится. Мы можем столкнуться с более продвинутыми вариациями этой техники, например с применением устаревших или сторонних драйверов, которые обычно не так тщательно проверяются на наличие уязвимостей.
Securelist