В 2018 бизнес столкнется с самообучающимися массированными кибератаками

В 2018 бизнес столкнется с самообучающимися массированными кибератаками

В 2018 бизнес столкнется с самообучающимися массированными кибератаками

На протяжении ближайших нескольких лет количество направлений атак продолжит расти. В то же время возможности комплексного отслеживания и управления современными инфраструктурами снизятся.

Наблюдаются такие тенденции, как распространение подключенных устройств, имеющих доступ к персональным и финансовым данным, и появление новых подключений между самыми разными объектами — от скоплений устройств IoT и важных инфраструктур автомобилей, домов и офисов до комплексов «интеллектуальных городов». Эти тенденции способствуют появлению новых возможностей для киберпреступников и других злоумышленников. Последние достижения в таких сферах, как разработка искусственного интеллекта, активно используются на рынке киберпреступности в целях создания более эффективных атак. Согласно нашему прогнозу, в 2018 г. эта тенденция усилится.

Дерек Мэнки (Derek Manky), специалист по вопросам мировой безопасности, компания Fortinet: «Инновационные технологии, которые способствуют развитию виртуальной экономики, в то же время создают почву как для конструктивной, так и для злонамеренной деятельности в сфере информационной безопасности. Вследствие стремительного распространения подключенных устройств в настоящее время возникают гиперподключенные инфраструктуры. Обеспечить их безопасность чрезвычайно нелегко, что создает благоприятные условия для деятельности киберпреступников. Кроме того, злоумышленники задействуют технологии автоматизации и искусственного интеллекта для непрерывной разработки огромного количества новых угроз, охватывающих все направления. Такие атаки, как WannaCry и NotPetya, служат предостережением о потенциальных масштабных нарушениях и негативных экономических последствиях, связанных с вымогательством и блокировкой доступа к интеллектуальной собственности и коммерческим услугам. Эффективное противодействие интеллектуальным атакам будущего возможно только за счет внедрения подхода к защите инфраструктур, в основе которого лежит система безопасности, поддерживающая автоматизацию, интеграцию и стратегическую сегментацию».

Также будут наблюдаться иные деструктивные явления, описанные ниже.

  • Распространение самообучающихся «роевых» сетей и больших групп ботов. По результатам анализа таких изощренных атак, как Hajime, Devil’s Ivy и Reaper, мы можем заявлять, что в будущем на смену ботнетам придут интеллектуальные скопления пораженных устройств — «роевые» сети. Это приведет к появлению более эффективных направлений атак. «Роевые» сети будут задействовать технологию самообучения в целях эффективного поражения уязвимых систем на беспрецедентном уровне. Устройства в составе этих сетей будут взаимодействовать друг с другом и согласованно принимать меры на основе обмена локальными данными. Помимо этого, интеллектуальные устройства-«зомби» будут самостоятельно выполнять команды без вмешательства оператора ботнета. Таким образом, количество устройств в составе «роевой» сети будет расти по экспоненте, как и в скоплениях роящихся насекомых. Эти устройства смогут одновременно атаковать множество целей, что существенно усложнит выявление и устранение угроз. Несмотря на то, что в настоящее время подобные атаки пока еще не проводятся по технологии «роя», так как их охват ограничен особенностями кода, злоумышленники могут внести изменения, направленные на повышение способности ботов к самообучению. Преступники будут использовать большие группы подконтрольных устройств (ботов) для одновременного выявления и поражения разных направлений атак. Высокая скорость осуществления этих массированных атак приведет к исчезновению момента предсказуемости, который необходим для противодействия атакам. В предыдущем квартале текущего года отдел FortiGuard Labs зафиксировал 2,9 миллиарда попыток установки связи между ботнетами. Это свидетельствует о серьезности потенциальных последствий распространения «роевых» сетей и больших групп ботов. 
  • Вымогательство в сфере коммерческого обслуживания — это доходное дело. Количество атак при помощи червей-вымогателей и других типов программ за последний год увеличилось в 35 раз, однако это еще не предел. T Вероятно, следующей целью программ-вымогателей станут поставщики облачных услуг и другие коммерческие организации, деятельность которых направлена на обеспечение регулярного поступления дохода. Поражение созданных поставщиками облачных услуг сложных гиперподключенных сетей может привести к нарушению деятельности сотен коммерческих организаций, государственных учреждений, важных инфраструктур и организаций здравоохранения. Согласно нашему прогнозу, киберпреступники начнут сочетать технологию искусственного интеллекта с методами атак, ориентированными на поиск, выявление и использование уязвимостей сред поставщиков облачных услуг по всем направлениям. Подобные атаки чреваты такими сокрушительными последствиями, как огромные убытки поставщиков облачных услуг в связи с уплатой выкупов преступникам и перерывы в обслуживании сотен и тысяч коммерческих организаций, а также десятков тысяч и даже миллионов их клиентов.
  • Изменчивое вредоносное ПО следующего поколения. В скором времени, а возможно, и в следующем году мы столкнемся с вредоносным ПО, от начала до конца разработанным при помощи машин. При создании такого ПО будут использоваться технологии автоматизированного выявления уязвимостей и комплексного анализа данных. Мы уже знакомы с полиморфным вредоносным ПО, однако вскорости ситуация примет новый оборот: злоумышленники начнут применять технологию искусственного интеллекта для создания сложных кодов, способных скрываться от обнаружения при помощи написанных машинами процедур. Используя возможности естественного развития уже существующих средств, злоумышленники будут разрабатывать специализированные эксплойты, направленные на максимально эффективное поражение определенных уязвимостей. Вредоносное ПО уже применяет модели обучения в целях обхода систем безопасности. Кроме того, ежедневно появляется более миллиона вариаций вирусов. Однако на сегодняшний день разработка этих вариаций осуществляется в соответствии с алгоритмом, результат реализации которого не отличается сложностью и не поддается контролю. За один квартал 2017 г. в отделе FortiGuard Labs было зафиксировано 62 миллиона образцов вредоносного ПО. При помощи анализа миллионов экземпляров вредоносного ПО нам удалось выявить 16 582 вариации, в основе которых лежат 2534 семейства вредоносного ПО. Каждая пятая организация сообщила о выявлении вредоносного ПО, целью которого являлись мобильные устройства. В следующем году эта проблема станет еще более актуальной в связи с повышением степени автоматизации вредоносного ПО.
  • На передний план выступают важные инфраструктуры. Поставщики важных инфраструктур по-прежнему подвергаются наиболее существенному риску в связи со стратегическими и экономическими угрозами. Речь идет об организациях, которые обеспечивают функционирование сетей высокого значения, предназначенных для защиты важнейших служб и данных. Известно, что важные инфраструктуры и сети на базе эксплуатационных технологий в большинстве своем отличаются уязвимостью, так как изначально они были изолированы от других сетей. В связи с распространением высокоскоростных цифровых подключений среди сотрудников и клиентов требования к этим сетям изменились. Появилась потребность в развертывании современных систем безопасности в сетях, рассчитанных на автономную работу. Такие факторы, как важность этих сетей и потенциально разрушительные последствия их поражения или отключения, вынуждают поставщиков важных инфраструктур вступать в своего рода гонку вооружений с государственными, преступными и террористическими организациями. В связи с высокой активностью злоумышленников, а также сближением эксплуатационных и информационных технологий обеспечение безопасности важных инфраструктур становится приоритетной задачей на 2018 г. и последующие годы. 
  • Темная паутина и экономика киберпреступности предлагают новые услуги на базе автоматизации. Одновременно с развитием сферы киберпреступности происходит и расширение темной паутины. Согласно прогнозу, в связи с деятельностью организаций в составе инфраструктуры «Преступление как услуга», использующих передовые технологии автоматизации, в темной паутине станут доступными новые услуги. Уже зафиксированы случаи выставления на продажу на рынках темной паутины современных служб, разработанных на основе технологии машинного обучения. В состав некоторых предложений, к примеру, входит служба «полной невидимости» (Fully Undetectable, FUD). При помощи этой технологии разработчики угроз за определенную плату загружают коды атак и вредоносное ПО в службу анализа. Затем они получают отчет о возможности обнаружения угрозы средствами безопасности разных поставщиков. В будущем этот цикл сократится: коды угроз, которые были выявлены в лабораториях, будут оперативно изменяться при помощи машинного обучения, что усложнит обнаружение используемых киберпреступниками средств проникновения. «Песочницы», оснащенные технологией машинного обучения, поддерживают своевременное выявление ранее неизвестных угроз и оперативную разработку мер защиты. Безусловно, аналогичный подход может использоваться иным образом: для автоматизированного сопоставления сетей, поиска целей атак и выявления наименее защищенных из них, анализа цели с последующим проведением виртуального теста на проникновение и запуском специально разработанной атаки. 

Борьба с современными угрозами: тенденции и выводы

В связи с появлением новых технологий в сфере автоматизации и искусственного интеллекта перед изобретательными киберпреступниками открываются новые возможности для нанесения ударов по виртуальной экономике. В основе средств защиты должны лежать интегрированные технологии безопасности, актуальные данные об угрозах и динамически конфигурируемые адаптивные системы сетевой безопасности. Система безопасности должна функционировать на скорости, не уступающей скоростям цифровых подключений, что требует автоматизации реагирования, применения актуальных данных и внедрения функции самообучения. Благодаря этим мерам сети станут более эффективными и независимыми в принятии решений. Такой подход не только повышает эффективность отслеживания и способствует централизации управления, но и позволяет осуществлять стратегическую сегментацию в целях обеспечения более полного охвата сетевой инфраструктуры системой безопасности. Эта концепция поддерживает оперативное выявление пораженных устройств, их изоляцию и устранение угроз в целях противодействия атакам в разных сетевых экосистемах — от конечных устройств и локальных сетевых ресурсов до облака. Кроме того, базовые меры защиты должны войти в состав основных протоколов безопасности. Это требование не всегда учитывается, однако именно его исполнение является ключевым фактором предотвращения негативных последствий, вызывающих опасения у всех нас.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

 

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

  • собирать системную информацию;
  • воровать информацию из браузеров;
  • прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
  • отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
  • делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru