Otkriće do koga je kompanija Kaspersky Lab došla u 2016. godini ukazuje na APT pretnju koja je sposobna da kreira nove karakteristike za svaku žrtvu, što znači da indikatori kompromitovanosti više ne predstavljaju pouzdan način za uočavanje infekcija – jedan je od zaključaka koji su obuhvaćeni izveštajem kompanije o sajber pretnjama za 2017. godinu.
Predikcije na godišnjem nivou priprema tim za globalno istraživanje i analizu, i one su bazirane na stručnom znanju i iskustvu članova tima. Neke od pretnji koje tim očekuje u 2017. godini uključuju korišćenje jednokratnih alata, pogrešno navođenje radi težeg otkrivanja identiteta napadača, korišćenje ranjivosti u oblasti internet stvari (Internet og Things), kao i korišćenje sajber napada kao oružja u informacionom ratu.
Smanjenje indikatora kompromitovanosti (IoC)
Indikatori kompromitovanosti su dugo bili najbolji način za deljenje informacija o karakteristikama poznatih malvera, dozvoljavajući odbrambenim mehanizmima da prepoznaju aktivnu infekciju. Otkriće do koga je došao GreAT tim kompanije Kaspersky Lab na projektu Sauron promenilo je ovo razmišljanje. Analizom ove kriminalne grupe otkriven je nagoveštaj malver platforme gde je svaka karakteristika izmenjena prilikom napada na novu žrtvu, što je indikatore učinilo nepouzdanim za detekciju.
Porast efemeralnih infekcija
U 2017. godini, kompanija Kaspersky Lab očekuje da prisustvo malvera koji automatski brišu infekciju nakon prvog resetovanja računara, kako bi izbegli detekciju i dalju istragu. Takav malver kreiran je sa ciljem da prikuplja korisničke podatke, i najverovatnije će biti neprimetno instaliran u osetljivim okruženjima.
„Ovo su dramatične promene, ali odbrambeni mehanizmi neće biti bespomoćni. Mi verujemo da je nepohodno insistirati na širem usvajanju dobrih Yara pravila. Ovo će dozvoliti istraživačima da u potpunosti skeniraju sisteme u preduzećima, kao i da i skeniraju memoriju fragmenata poznatih napada. Kratkotrajne infekcije naglašavaju potrebu za proaktivnim i sofisticiranim tehnologijama u okviru naprednih rešenja za borbu protiv malvera”, izjavio je Huan Andres Gerero Sade (Juan Andrés Guerrero-Saade), viši bezbednosni stručnjak u timu za globalno istraživanje i analizu.
Druge glavne predikcije za 2017. godinu
- Pripisivanje napada: S obzirom na to da sajber napadi igraju sve veću ulogu u međunarodnim odnosima, pripisivanje napada određenim stranama biće centralno pitanje prilikom donošenja odluka o političkim reakcijama na napade. Težnja za pripisivanjem napada mogla bi da utiče na kriminalce da ostavljaju infrasktrukturu i alate na otvorenom tržištu, ili da se odluče za korišćenje komercijalnih malvera. Ne treba zaboraviti ni pogrešno navođenje (poznatije i kao „false flags“ napad) koje unosi veliku pometnju prilikom pripisivanja napada određenoj strani.
- Porast informacionog ratovanja: U 2016. godini, svet je počeo ozbiljno da shvata korišćenje hakovanih informacija u agresivne svrhe. Broj takvih napadača će verovatno porasti u 2017. godini i postoji opasnost da će napadači koristiti spremnost ljudi da prihvate kompromitovane podatke kao istinite činjenice.
- Sajber sabotaža: S obzirom na to da su kritične infrastrukture i proizvodni sistemi povezani na internet, pri čemu često imaju veoma slabu zaštitu, napadači mogu doći u iskušenje da oštete ili napadnu ove sisteme, naročito napadači koji poseduju napredne veštine. Takođe postoji verovatnoća da će kriminalci sprovoditi ove napade tokom perioda geopolitičkih tenzija.
- Špijunaža na mobilnim uređajima: Kompanija Kaspersky Lab očekuje više špijunskih kampanja usmerenih ka mobilnim uređajima, usled činjenice da bezbednosna industrija često ne može da obezbedi potpuni pristup mobilnim sistemima kako bi prikupila sve podatke za analizu.
- Kompromitovanje sistema za plaćanje: Budući da sistemi za plaćanje postaju sve popularniji, stručnjaci kompanije očekuju da će i kriminalci imati veće interesovanje za njih.
- Manje „poverenja“ u ransomware napadače: Kompanija Kaspersky Lab smatra da će doći do porasta ransomware napada, ali da će žrtve imati manje „poverenja“ u napadače da će im vratiti fajlove nakon plaćanja. Ovo može biti prekretnica koja će uticati na korisnike da ređe plaćaju otkup.
- Kompromitovanje integriteta IoT uređaja: Budući da proizvođači IoT uređaja nastavljaju da uvode nebezbedne uređaje koji ispoljavaju brojne probleme, postoji rizik da će hakeri pokušavati da naruše integritet sve većeg broja ovih uređaja.