Group-IB - CyberSec trendovi i očekivanja 2019/2020

Pogledajte koje su trenutne pretnje i šta nas sve čeka u 2020!

Group-IB - CyberSec trendovi i očekivanja 2019/2020

Bliži se kraj godine što znači da je vreme za sumiranje CyberSec trendova u 2019, a na osnovu toga se mogu napraviti i određena predviđanja za budućnost. U nastavku donosimo pregled i očekivanja iz ugla Group-IB, kompanije koja se specijalizovala za rešenja za detekciju i prevenciju sajber napada, online prevara i IP zaštitu.

Vodeći i najopasniji trend u 2019. je korišćenje sajber oružja u vojnim operacijama. Internacionalni konflikti su poprimili nove forme, a centralno mesto zauzima sajber aktivnost. Napadi na kritičnu infrastrukturu i ciljana destabilizacija interneta u nekim zemljama stvara novo tlo za sajber napade. Zbog toga je danas sajber bezbednost važnija nego ikad pre - kako na nivou države, tako i na nivou kompanija i pojedinaca.

1. Vojne operacije pomoću sajber oružja

U prvoj polovini 2019, izvedene su 3 ovakve vojne. U martu je izvršen uspešan napad na hidrocentralu u Venecueli zbog koje veliki deo zemlje nije imao struju nekoliko dana. Veruje se da iza napada stoji pokušaj opozicionih snaga da destabilizuju vladu.

Kao odgovor na sajber napad, u maju je izreaelska vojska izvršila vazdušni napad na zgradu u kojoj je navodno bilo sedište sajber operacija Hamasa. U pitanju je opasan presedan i prvi put u istoriji imamo slučaj da je na sajber napad odgovoreno raketama.

Zgrada u pojasu Gaze iz koje su navodno vršeni sajber napadi

Slika 1. Zgrada u pojasu Gaze iz koje su navodno vršeni sajber napadi. Izvor slike: Group-IB.

U junu je izvršen sajber napad na iranski računarski sistem koji kontroliše lansiranje raketa i projektila kao odmazda za obaranje američkog drona.

Napadački alati korišćeni u ovim napadima nisu identifikovani, ali je jasno da je u mnogim zemljama kritična infrastruktura kompromitovana i da napadači deluju neprimetno sve dok ne bude kasno.

2. Destabilizacija interneta na državnom nivou

Svi nivoi komunikacione infrastrukture mogu biti kompromitovani.

U današnjem vremenu, najviše socijalne i ekonomske štete možete naneti tako što ćete ljudima i kompanijama uskratiti internet pristup. Imajući to u vidu, zemlje koje prave centralizovanu kontrolu pristupa internetu su najranjivije i mogu biti prve mete ovakvih napada.

Ranjivi ruteri koje iznajmljuju kompanije i pojedinci predstavljaju posebnu pretnju za telekomunikacioni sektor. Nebezbedna podešavanja i neredovno ažuriranje dovodi do povećanih rizika i stvaranja malicioznog saobraćaja, što napadačima daje dodatnu „municiju“.

Poslednjih godina, napadači su testirali napade na različitim nivoima komunikacione strukture. Do ovog trenutka, zabeleženi su uspešni napadi na ruterske sisteme i BGP napadi, napadi na DNS root server administratore, nacionalne domen administratore i registrante domena, napadi preuzimanja DNS-a i napadi na lokalne sisteme filtriranja i blokiranja saobraćaja. Kritična infrastruktura će i u budućnosti biti na meti sajber kriminalaca.

3. Ekspanzija 5G mreže i prateći izazovi

Širenje 5G mreža otvara nove šanse za napadače, što je po pravilu slučaj sa svakom novom tehnologijom. Nivo sajber bezbednosti 5G provajdera odlučujuće će uticati na njihov poslovni (ne)uspeh. Rast 5G mreža će povećati šanse običnim sajber kriminalcima da uspešnu izvedu DDoS napade, manipulišu saobraćajem i distribuiraju malver.

5G ilustracija

Slika 2. 5G mreža - ilustracija. Izvor slike: Group-IB.

Za nekoliko godina, telekomunikacione kompanije će muku mučiti da detektuju hardverski i softverski backdoor u 5G infrastrukturi. Mnogi od njih pružaju bezbednosne usluge državnim organizacijama i firmama, tako da će napadači kojima je meta neka od tih organizacija napad vršiti preko provajdera.

4. Skrivene pretnje povezane sa državno sponzorisanim grupama

U periodu koji je obuhvaćen istraživanjem, zabeležena je aktivnost 38 ovakvih grupa (7 novih). To ne znači da su druge poznate grupe prekinule aktivnosti, već da su njihove kampanje najverovatnije ostale skrivene od javnosti. Na primer, u sektoru energetike otkrivene su samo 2 grupe - Industroyer i Triton (Trisis), a to se desilo slučajno, zbog greške napadača. Velika je verovatnoća da postoji značajan broj drugih, sličnih pretnji koje nisu detektovane i koje predstavljaju tempiranu bombu.

Treba imati u vidu da državno sponzorisane grupe koje su javnosti poznate uglavnom su vezane za zemlje u razvoju. Još uvek nemamo informacijama o ovakvim napadima iza kojih stoje razvijene zemlje.

Kada je u pitanju energetski sektor, IT mreže će i u budućnosti biti glavni vektor napada. Pristup mreži je ključan za špijunažu i prikupljanje podataka za izvođenje sabotaža infrastrukturnih postrojenja. Nakon kompromitovanja IT mreže, sledeća na redu je OT mreža. Detekcija kompromitovanja OT mreže moguća je u samo 2 slučaja - ako je namera napada sabotaža ili ako napadači naprave grešku. Kada planiraju velike akcije, napadači se često trude da deluju tiho i ostanu ispod radara. Napadi na logističku mrežu će predstavljati poseban problem za energetski sektor zbog velikog broja provajdera hardvera i softvera koji se nalaze u lancu nabavke, što povećava šansu da napadom na nekoga iz lanca bude ugroženi i njegovi partneri.

Takođe, očekuje se da će najveća pretnja stići iz razvijenih zemalja. Napadači iz takvih zemalja imaju bolju opremu, zbog čega se njihove aktivnosti dosta ređe detektuju.

5. Uzvraćanje udarca - međusobni napadi državno sponzorisanih grupa

Iran, Kina i Rusija su doživele ovakve napade, a neke od ukradenih informacija u javnost su pustile grupe koje se predstavljaju kao hakeri aktivisti.

U 2019, videli smo nekoliko slučajeva u kojima su se napadači predstavili kao hakeri aktivisti ili bivši pripadnici napadačkih grupa i otkrili informacije o napadačkim alatima drugih grupa. U principu, to je bila osveta za neke od ranijih napada, a napadači su postajali žrtve.

6. Ciljani napadi - ruske grupe pomeraju fokus ka inostranim bankama

Trenutno najveću opasnost po finansijski sektor predstavlja 5 napadačkih grupa: Cobalt, Silence, MoneyTaker (Rusija), Lazarus (Severna Koreja) i SilentCards (nova grupa iz Kenije). Ciljani napadi na ruske banke su čak 14 puta manji u posmatranom periodu, a glavni razlog je promena fokusa napadačkih grupa sa ruskih na inostrane banke.

SilentCards je nova grupa koja izvodi ciljane napade po Africi. Iako su im tehničke veštine na dosta nižem nivou nego kod ostalih grupa, izvršili su puno uspešnih napada.

FastCash metod krađe novca, koji je prvi put primećen 2016, i dalje je aktuelan, a iza takvih napada stoji Lazarus grupa. Silence je jedina grupa koja je izvodila napade preko bankomata. Pored toga, Silence i SilentCards su koristili procesiranje kartica, dok se Lazarus oslanjao na SWIFT i u 2 napada u Indiji i Malti ukrao 16 miliona dolara.

Grupe sa ruskog govornog područja (Silence, MoneyTaker i Cobalt) će najverovatnije nastaviti širenje aktivnosti izvan Rusije. Za povlačenje novca napadaće sisteme za procesiranje kartica i ubacivati trojance u bankomate. Verovatno se više neće baviti SWIFT prevarama (jedino će Lazarus od pomenutih grupa nastaviti sa SWIFT i ATM Switch napadima).

Fokus SilentCards grupe će verovatno i dalje biti Afrika. Moguće je da će proširiti listu meta i započeti napade na druge privredne sektore, prvenstveno kroz ransomware napade.

7. Trojanci za PC i Android postepeno nestaju

22 trojanca za PC i Android više nije aktivno, a novih ima samo 7.

Ovo je samo nastavak ranije započetog trenda nestajanja trojanaca za PC. Hakeri u Rusiji kao glavnoj zemlji za nastanak novih trojanaca su prestali da ih razvijaju. Sada je Brazil vodeća zemlja za nove trojance, ali ih napadači uglavnom koriste lokalno.

Jedini trojanac koji napadači konstatno unapređuju je Trickbot. Koristi se za ciljane napade na banke, kao i za špijuniranje državnih agencija.

Mobilni telefoni

Slika 3. Android telefoni - ilustracija.

Trojanci za Android nestaju sporije nego oni za PC, ali u svakom slučaju broj novih je značajno manji od onih koji se nestali sa scene. Bankarski malver je evoluirao od presretanja SMS poruke do automatskog transfera sredstava preko mobilne aplikacije za e-banking. Ova nova karakteristika se zove ATS (sistem za automatski transfer). Broj aktivnih trojanaca će se i dalje smanjivati zbog uvođenja bezbednosnih mera i manjih stopa zarada napadača.

8. Evolucija socijalnog inženjeringa

Socijalni inženjering bez malvera je pretnja koja je u porastu. Napadači koriste lažne naloge na društvenim mrežama, telefonske prevare sa dobro pripremljenom pričom, podatke o žrtvama iz dostupnih baza podataka kako bi bili uverljiviji. Kao relativno nova pojava odnosno deo socijalnog inženjeringa je kontrola telefona preko RAT aplikacija koju žrtva instalira na nagovor napadača.

Socijalni inženjering bez korišćenja malvera ili phishing sajtova i dalje je vrlo popularan. Kriminalci odavno koriste telefon, SMS poruke i društvene mreže za komuniciranje sa žrtvama, od kojih uspevaju da izvuku neophodne informacije ili da im instaliraju RAT (remote access tool) na računare. Međutim, potpuno nova pojava je što su napadači u prethodnoj godini uspevali da prevare žrtve da instaliraju RAT alat na mobilni telefon.

Tipičan scenario prevare izgleda ovako:

  • Haker zove žrtvu predstavljajući se kao zaposleni u banci i obaveštava ga da je neko pokušao da se uloguje na njegov bankovni nalog ili da ukrade novac.

  • Haker obaveštava klijenta da IT security timu treba njegova pomoć kako bi rešili problem.

  • Od žrtve se traži da odmah instalira RAT alat kako bi se "zaštitio".

  • Kada dobije kontrolu nad uređajem, haker skida novac preko e-banking aplikacije.

Sajber kriminalci tokom poziva koriste različite trikove kako bi delovali uverljivije i stekli poverenje žrtve:

  • Obavljaju poziv preko zvaničnih brojeva, što im omogućavaju specijalne aplikacije.

  • Pružaju korisniku informacije o istoriji transakcija, mestu stanovanja itd. Takve informacije se mogu kupiti na darknet forumima.

9. Rast tržišta kreditnih kartica zahvaljujući JS snifferima

Pad zarade od bankarskih trojanaca za PC i Android napadači su nadomestili korišćenjem efikasnije metode - JS sniferima. U pitanju je korišćenje Java Script aplikacija za presretanje bankarskih informacija koje korisnici unose na kompromitovanim sajtovima. Trenutno ima više JS snifera nego bankarskih trojanaca za PC i Android. Broj kompromitovanih kartica ovim alatima je 38% veći nego ranije. Očekuje se da će ovo biti pretnja sa najvećim rastom u budućnosti, a pogađaće pretežno zemlje gde 3D Secure sistem nije rasprostranjen.

Najveći slučajevi curenja podataka sa kreditnih kartica u prethodnom periodu vezuju se za kompromitovanje sistema američkih maloprodavaca. SAD je ubedljivo na prvom mestu po procentu kompromitovanih kreditnih kartica u svetu - čak 93% svih kompromitovanih kartica izdato je kod njih.

10. Napadi na osiguravajuće kuće, konsalting firme i građevinske kompanije

Nova grupa koju je Group-IB detektovao je RedCurl. Glavni cilj grupe je sajber špijunaža i finansijska dobit. Kada ukradu poverljiva dokumenta, instaliraju minere u kompromitovanom sistemu. Ističu se po izuzetno uspešnim phishing napadima sa specijalno kreiranim email porukama za svaku kompaniju koju targetiraju. Koriste jedinstveni prilagođeni trojanac koji komunicira sa C2 serverom preko legitimnih servisa, zbog čega je malicioznu aktivnost jako teško detektovati.

Kompletan Group-IB izveštaj možete preuzeti ovde.