10 главных киберугроз 2024 года

[Man]

Введение​

Цель этого блога — осветить глобальные тенденции кибербезопасности 2024 года, которые защитники могут изучить, чтобы подготовиться к угрозам 2025 года. В десятке главных киберугроз 2024 года было несколько интересных тем, таких как агрессивные кампании кибершпионажа со стороны России и Китая, новые случаи спонсируемой государством киберпреступности со стороны Ирана и Северной Кореи, новаторские атаки с использованием программ-вымогателей и многочисленные примечательные события, вызывающие сбои.

#1 Кампания «Снежинка»​

В этом году Snowflake стал центром исторической кампании по утечке данных. Snowflake — это облачный сервис, позволяющий компаниям хранить огромные наборы данных. В мае до 165 клиентов получили доступ к своим базам данных и украли их, используя действительные учетные данные для входа. В июне украденные данные были предложены в англоязычном сообществе киберпреступников, известном как BreachForums, которое было восстановлено после того, как ФБР закрыло его в начале года. Последствия кампании Snowflake были ошеломляющими. Общеизвестное воздействие включает 110 миллионов клиентов AT&T, 30 миллионов клиентов Santander, 560 миллионов клиентов Ticketmaster, 380 миллионов клиентов Advance Auto Parts и 190 миллионов клиентов LendingTree.

Собственное расследование Snowflake показало, что нарушения были частью целенаправленных усилий, направленных на пользователей с однофакторной аутентификацией. Киберпреступники использовали утечку учетных данных, полученных с помощью вредоносного ПО для кражи информации. Исключается, была ли атака вызвана скомпрометированными учетными данными нынешних или бывших сотрудников Snowflake или уязвимостью в продукте.

Но есть и хорошие новости. Киберпреступники, стоявшие за атакой, были пойманы. В ноябре власти США предъявили обвинения Коннору Муке и Джону Биннсу за кампанию Snowflake.

#2 Бич программ-вымогателей​

Программы-вымогатели оставались постоянной угрозой для организаций по всему миру еще год и, вероятно, еще много лет. Однако в феврале аптеки по всей территории США столкнулись с проблемами с выдачей рецептов из-за атаки программы-вымогателя ALPHV/BlackCat, затронувшей многомиллиардный медицинский конгломерат Change Health, который занимается обработкой половины всех медицинских претензий в США.

Последствия этого инцидента были колоссальными. Пострадало до 100 миллионов человек, и компания, к сожалению, решила заплатить ошеломляющий выкуп в размере 22 миллионов долларов США. Но то, что сделало этот инцидент одним из худших в году, так это то, что по состоянию на июль стоимость атаки вымогателя на Change Health составила от 2,3 до 2,45 миллиардов долларов США — одна из самых больших сумм в истории для атак любого рода против одной организации.

Плюс, в этом году был побит рекорд по самому высокому выкупу. Сообщается, что банда вымогателей Dark Angels получила умопомрачительный выкуп в размере 75 миллионов долларов США. Bloomberg сообщил, что компания, которая предположительно заплатила этот астрономический выкуп, — это Cencora, американская фармацевтическая компания, выручка которой в 2023 году составила 262 миллиарда долларов США.

#3 Проблема с разбросанными пауками сохраняется​

Scattered Spider — одна из крупнейших англоязычных групп киберпреступников, чья структура больше похожа на сообщество, чем на несколько тесно работающих вместе людей. Начиная с 2022 года атаки, связанные с Scattered Spider, стали все более известными: от Twilio до Reddit, Coinbase, и, наконец, MGM и Caesars в конце 2023 года. Однако в этом году Scattered Spider продолжили свои атаки, но несколько участников были пойманы и арестованы.

В сентябре Transport for London (TfL) сообщила, что подверглась кибератаке на свои системы, которая затронула данные клиентов, некоторые системы обработки платежей и некоторые из их потоков данных в реальном времени. Этот инцидент получил дополнительную огласку из-за масштабных операций по восстановлению. TfL пришлось сбросить пароли 30 000 сотрудников лично и провести проверку личности для доступа к приложениям и данным TfL.

17-летний подросток из Уолсолла, Великобритания, был арестован через несколько дней после атаки в связи с кибератакой на TfL, сообщило Национальное агентство по борьбе с преступностью Великобритании (NCA). Незадолго до атаки на TfL 17-летний подросток из Уолсолла также был арестован в связи с атакой на MGM, приписываемой Scattered Spider. За этим последовали обвинения еще пяти членов Scattered Spider — четверым из США и одному из Великобритании — Министерством юстиции США. Однако в мае ФБР выступило с заявлением, что Scattered Spider (также известная как The Com) состоит примерно из 1000 человек. Так что, похоже, они вряд ли исчезнут в ближайшее время.

#4 Бэкдор XZ Utils​

В марте вредоносный бэкдор был обнаружен в широко используемой библиотеке программного обеспечения для сжатия данных XZ Utils. Red Hat предупредила, что он может присутствовать в экземплярах Fedora Linux. Debian Unstable и Kali Linux также указали, что они были затронуты. Вредоносный код был признан уязвимостью, отслеживался как CVE-2024-3094 и получил оценку CVSS 10/10.

Позже выяснилось, что бэкдор в XZ Utils был сложной многолетней кампанией, включающей компрометацию цепочки поставок открытого репозитория исходного кода. Однако, к счастью для нас, Андрес Фройнд обнаружил его достаточно рано, чтобы предотвратить широкомасштабную эксплуатацию до того, как он попал в миллионы систем по всему миру. Бэкдор затронул только новейшие дистрибутивы Linux, которые сразу же подхватили последние версии XZ Utils.

Вредоносное ПО было разработано для изменения работы демонов сервера OpenSSH и вмешивается в аутентификацию в sshd. По сути, оно позволяло несанкционированный удаленный доступ к уязвимой системе. Бэкдор также не «звонил домой», а был разработан для ожидания подключения оператора к целевой машине через SSH и аутентификации с помощью закрытого ключа.

Сообщается, что злоумышленник, известный просто как Цзя Тан, провел два года, вежливо и с энтузиазмом добровольно помогая писать код для XZ Utils и других известных проектов с открытым исходным кодом. Они внесли 6000 изменений кода по крайней мере в семь проектов в период с 2021 по февраль 2024 года. Затем в январе 2023 года код Цзя Тана начал интегрироваться в XZ Utils, и в течение следующего года они в значительной степени взяли под контроль проект у его первоначального сопровождающего Лассе Коллина.

Терпение плюс сложность бэкдора заставили многих поверить, что деятельность JiaTan была частью долговременной спонсируемой государством кампании. Отсутствие какого-либо другого онлайн-присутствия, связанного с Jia Tan, указывает на то, что аккаунт был придуманной персоной с единственной целью, которая была посвящена созданию истории доверия в рамках подготовки к саботажу XZ Utils.

На YCombinator и Openwall также ведутся интересные обсуждения всей этой ситуации.

#5 Дерзкие российские шпионские кампании​

В течение 2024 года несколько известных спонсируемых российским государством группировок, создающих постоянные угрозы (APT), продолжали проводить кампании по кибершпионажу, нацеленные на правительственные структуры Украины и государств-членов НАТО, а также на технологические компании, предположительно потому, что они являются вышестоящими целями, предоставляющими услуги их конечной цели — правительственным и военным сетям.

В январе Центр реагирования на угрозы безопасности Microsoft (MSRC) сообщил, что их корпоративная система электронной почты была взломана шпионами, работающими на Службу внешней разведки России (СВР), также известными как COZY BEAR (APT29 или Midnight Blizzard). Вторжение началось с медленного и медленного распыления паролей против «устаревшей непроизводственной тестовой учетной записи клиента», принадлежащей Microsoft. Позже в октябре СВР была уличена в другой кампании по отправке файлов конфигурации .RDP в качестве вложений в фишинговых письмах.

В ноябре исследователи из Volexity раскрыли на CyberWarCon комплексное расследование кампании кибершпионажа против американской организации, приписываемой шпионам, работающим на российское военное разведывательное агентство (ГРУ), также известное как FANCY BEAR (APT28 или Forest Blizzard). Volexity обнаружила, что ГРУ взломало сеть WiFi одной организации, которая находилась физически напротив их предполагаемой цели, и использовало ее для взлома своей предполагаемой цели через близлежащее соединение WiFi. Этот необычный тип вторжения был назван атакой ближайшего соседа и встречается очень редко, но мы можем увидеть больше таких случаев в ближайшие годы.

Также в этом году CISA и UK NCSC опубликовали официальное предупреждение о EMBER BEAR (Cadet Blizzard), относительно новой группе ГРУ, которая отделена от известных противников ГРУ, таких как FANCY BEAR и Sandworm. Эта новая группа ГРУ, EMBER BESR, часто нацеливалась на украинское правительство и телекоммуникационные организации, но, как сообщается, нацелилась на организации критической национальной инфраструктуры (CNI) по всей Европе и Америке.

#6 Взлом китайских телекоммуникационных сетей​

В 2024 году китайские APT-атаки были причастны к нескольким крупным кампаниям по вторжению, в частности, направленным против телекоммуникационного сектора по всему миру.

В сентябре The Wall Street Journal сообщил, что новая APT-группа, связанная с Китаем, под названием Salt Typhoon, скомпрометировала несколько американских телекоммуникационных компаний. Американские провайдеры широкополосного доступа, сети которых, как сообщается, были взломаны, включают Verizon, AT&T, Lumen и T-Mobile, и, как утверждается, это привело к слежке за нижестоящими целями, такими как системы прослушки телефонных разговоров правоохранительных органов США, используемые для судебного надзора. Сообщается, что атаки также коснулись президентских кампаний в США.

В начале 2024 года правоохранительные органы США провели стратегическое уничтожение ботнета Volt Typhoon, состоящего из скомпрометированных маршрутизаторов SOHO. Однако уничтожение было недолгим, поскольку исследователи наблюдали, как злоумышленники восстановили его в ноябре. Сообщается также, что Volt Typhoon взломал Singapore Telecommunications (Singtel) в середине 2024 года.

В ноябре CrowdStrike поделилась новым отчетом о LIMINAL PANDA, еще одной группе угроз, связанной с Китаем и нацеленной на телекоммуникационные технологии. Сообщается, что LIMINAL PANDA обладает обширными знаниями о взаимосвязях между поставщиками телекоммуникационных услуг, протоколами глобальной системы мобильной связи (GSM), а также целевой информацией о мобильных абонентах, метаданными вызовов и текстовыми сообщениями (SMS).

Другие заметные факты деятельности китайских APT-групп, выявленные в 2024 году, включают утечки от подрядчика Министерства общественной безопасности Китая (MPS) под названием I-SOON, а также новаторский отчет компании Sophos о Тихоокеанском регионе , посвященный пятилетней контрнаступательной операции против китайского подразделения по разработке эксплойтов.

#7 Киберпреступность, спонсируемая государством Ирана​

Одним из самых интересных отчетов этого года в августе поделились власти США, которые подчеркнули, что киберпреступники, связанные с иранским правительством, получают доступ к сетям, а затем сотрудничают с русскоязычными аффилированными лицами, занимающимися вымогательством, с целью получения выкупа.

Власти США заявили, что отслеживают эту кампанию с 2017 года и что эти иранские киберпреступники известны под многими именами, включая Pioneer Kitten, Fox Kitten, UNC757, Parisite, RUBIDIUM и Lemon Sandstorm. Эти киберпреступники были связаны с иранской компанией Danesh Novin Sahand, вероятно, как с ИТ-компанией-прикрытием для их операций.

Иранские противники создали в 2023 году на русскоязычных форумах киберпреступников персону под названием «Br0k3r», которая публиковала ссылки на рынок Tor с одним поставщиком под названием «Br0k3r's Shop» для продажи первоначального доступа к партнерам по вымогательству. Сообщается, что иранские противники, стоящие за Br0k3r, напрямую сотрудничали с партнерами по вымогательству, такими как NoEscape, RansomHouse и ALPHV/BlackCat, для шифрования сетей жертв в обмен на процент от выкупа.

Интересным наблюдением ФБР было то, что эти противники, как сообщается, не раскрывали свое иранское происхождение своим партнерам по вымогательству и намеренно неопределенно говорят о своей национальности. Эти противники также были исторически связаны с кампаниями взлома и утечки, нацеленными на израильские компании, такие как Pay2Key с конца 2020 года.

Последний ключевой аспект этих иранских киберпреступных кампаний заключается в том, что они, вероятно, изначально украли конфиденциальную информацию из этих сетей, чтобы предоставить ее иранскому правительству. Маловероятно, что последующая деятельность программ-вымогателей будет разрешена, поскольку, как сообщается, злоумышленники выразили обеспокоенность по поводу того, что иранское правительство отслеживает их криптовалютные транзакции, связанные с их атаками.

#8 Кампании по получению доходов в Северной Корее​

Кибероперации Корейской Народно-Демократической Республики (КНДР) были весьма активными в 2024 году. Они продолжают запускать операции по получению дохода без каких-либо признаков замедления, включая кампании по краже криптовалюты, атаки на цепочки поставок программного обеспечения, кампании по удаленному использованию ИТ-работников и атаки программ-вымогателей.

В марте 2024 года Организация Объединенных Наций сообщила, что расследует 58 кибератак, приписываемых северокорейским хакерам, которые привели к краже 3 миллиардов долларов США за шестилетний период. В апреле 2024 года ZachXBT, исследователь криптовалют, раскрыл результаты своего расследования более 25 кампаний, приписываемых Северной Корее в период с 2020 по 2023 год, которые привели к краже в общей сложности 200 миллионов долларов США.

Атаки на цепочки поставок ПО из Северной Кореи продолжились в 2024 году, о чем британский NCSC предупреждал в ноябре 2023 года. Злоумышленникам из Северной Кореи приписывалось отравление пакетов Python и пакетов NPM для доставки вредоносного ПО разработчикам ПО. Нацеливаясь на экосистему ПО с открытым исходным кодом, злоумышленники могут ждать, пока их жертвы сами придут к ним. Эта тактика больше похожа на вредоносную рекламу и атаки типа «водяной».

В августе 2024 года Министерство юстиции США объявило, что закрыло «ферму ноутбуков», которая приносила доход правительству Северной Кореи. Она использовалась, чтобы обмануть ничего не подозревающие американские и британские предприятия, заставив их нанимать удаленных ИТ-работников для получения зарплаты и уклонения от международных санкций. Северокорейским удаленным ИТ-работникам удалось получить сотни тысяч долларов каждому, что в совокупности принесло сотни миллионов долларов каждый год. Также сообщается, что тысячи северокорейских ИТ-работников были отправлены жить за границу, в основном в Китай и Россию. Эти операции включают использование созданной злоумышленниками цифровой инфраструктуры, такой как электронная почта, социальные сети, платежная платформа и учетные записи на сайтах по трудоустройству, а также поддельные веб-сайты, прокси-серверы.

Спонсируемые северокорейским государством кампании по вымогательству, похоже, усилились в 2024 году после того, как Palo Alto Networks (PAN) обнаружила связь между Jumpy Pisces (также известными как Andariel и Onyx Sleet) и вымогателем PLAY. Этот противник был исторически связан с семействами вымогателей Maui и H0lyGh0st в предыдущие годы. В мае 2024 года Microsoft также раскрыла связь между другой северокорейской группой, которую они называют Moonstone Sleet, и вымогателем FakePenny.

#9 Атаки, разрушающие ICS​

В 2024 году несколько раз наблюдались разрушительные атаки на промышленные системы управления (ICS). Согласно отчету журнала Wired Magazine, группа хактивистов, известная как Cyber Army of Russia Reborn (CARR), по меньшей мере трижды брала на себя ответственность за атаки на ICS американских и европейских водоканалов и гидроэлектростанций. CARR публиковала в Telegram видеозаписи экранных записей своих манипуляций с человеко-машинными интерфейсами (HMI). В частности, жертвами CARR стали несколько американских водоканалов в Техасе, одна польская станция очистки сточных вод и, как сообщается, небольшая французская водяная мельница, которую хакеры называли французской гидроэлектростанцией.

Интересно, что Mandiant связал CARR с Sandworm, подразделением ГРУ, известным своими атаками на украинские ICS. Важно отметить, что Sandworm никогда не нацеливал напрямую на американскую сеть с разрушительной кибератакой, насколько нам известно. Тем не менее, некоторые американские компании пострадали от атаки вымогателя NotPetya в 2017 году, но это произошло косвенно и через самораспространяющийся код.

Одной из ключевых связей между CARR и Sandworm было то, что Google обнаружил, что учетные записи YouTube, созданные для CARR, были доступны с IP-адреса, который, как известно, контролируется Sandworm. Другая связь заключалась в том, что после атак Sandworm на украинские цели, включающих кражу данных и вредоносное ПО для удаления данных, украденные данные публиковались в учетной записи CARR Telegram. Mandiant оценила, что российское ГРУ, вероятно, было вовлечено в создание CARR и некоторые из них управляли им. Кроме того, в июле 2024 года Министерство финансов США ввело санкции против двух членов CARR.

В апреле 2024 года Драгос обнаружил вредоносное ПО FrostyGoop, нацеленное на ICS в Украине. Сообщается, что FrostyGoop использовался в атаке на украинскую муниципальную районную энергетическую компанию, что привело к двухдневному сбою в работе системы отопления более 600 многоквартирных домов в Украине.

Как отметил SANS, это сделало вредоносное ПО FrostyGoop последним вредоносным ПО ICS, которое достигло реального воздействия и первым, которое сделало это, манипулируя протоколом ModbusTCP. Из-за широкого внедрения ModbusTCP, FrostyGoop представляет собой серьезную угрозу для различных секторов критической национальной инфраструктуры (CNI), таких как энергетика, водоснабжение и водоотведение, производство, транспорт, нефть и газ и т. д. Кроме того , способ работы вредоносного ПО, который заключался в отправке команд ModbusTCP непосредственно из инфраструктуры противника, устранил необходимость размещения вредоносного ПО на активах в целевой сети, тем самым избежав будущего обнаружения, анализа и судебной экспертизы.

#10 Крах CrowdStrike​

Единственное событие, оказавшее наибольшее глобальное влияние в этом году, технически не было кибератакой, но спровоцировало каскадное разрушительное событие, вызванное программным обеспечением CrowdStrike для обнаружения и реагирования на конечные точки (EDR) для операционной системы (ОС) Windows.

Крах CrowdStrike (ласково называемый WannaStrike или Синим Соколом Смерти) сводится к неспособности тестировать исправления перед их развертыванием и чрезмерной зависимости от одного программного обеспечения. Проблема программного обеспечения CrowdStrike была единой точкой отказа для многих организаций по всему миру, особенно для стран Северной Америки и Европы, где находится большинство клиентов CrowdStrike.

Крах CrowdStrike также имеет значительные последствия для Директивы NIS2 Европейского союза и Регламента DORA. Обе структуры кибербезопасности подчеркивают операционную устойчивость, сохранение безопасности цепочек поставок и реагирование на инциденты. Во всех этих областях были проблемы, выявленные широкомасштабными последствиями крушения. Инцидент будет иметь значительные последствия для того, как организации внедряют изменения для выполнения этих требований.

После новостей о сбое различные киберпреступники также воспользовались ситуацией, запустив фишинговые кампании, зарегистрировав вредоносные домены и распространив вредоносное ПО. Многие отправляли мошеннические письма, выдавая себя за службу поддержки CrowdStrike. Несмотря на усилия CrowdStrike по предоставлению законных исправлений, киберпреступники использовали эту возможность для отправки нежелательных сообщений во время сбоев в работе ИТ.

Заключение 2024 года​

Этот год был насыщенным.

Инцидент Snowflake снова показывает, что каждая организация должна применять многофакторную аутентификацию (MFA) на каждой возможной учетной записи, а также проверять трафик для этих систем. И снова фильтрация исходящего трафика привела к тому, что многие компании были обмануты, как это было в кампании MOVEit CL0P в 2023 году.

Кампания XZ Utils выявила пугающую перспективу существования государственного противника, который проводит многолетние операции по проникновению в проекты с открытым исходным кодом и внедрению бэкдоров. Операция еще раз подчеркнула риски, связанные с включением программного обеспечения от третьих лиц без проверки целостности кода.

Нарушение Microsoft подчеркнуло, что любой организации с очень большой средой неизбежно будет трудно обеспечить полную безопасность, особенно от постоянных государственных противников, постоянно ищущих способ проникновения. За последние несколько лет Microsoft стала жертвой нескольких нарушений со стороны таких противников, как китайский Storm-0558 и LAPSUS$. Однако это был второй раз за несколько лет, когда SVR добралась до Microsoft, поскольку они также стояли за атакой на цепочку поставок SolarWinds в 2020 году. Хотя Microsoft объявила о серьезных изменениях в кибербезопасности, включая найм 34 000 инженеров, пока неизвестно, смогут ли они противостоять тому, что им уготовил 2025 год.

Кибероперации иранских и северокорейских противников в значительной степени опирались на финансово мотивированные киберпреступные кампании. Это проблема для многих организаций, поскольку это означает, что больше компаний являются потенциальными целями для их операций, поскольку они могут монетизировать доступ через первоначальные продажи доступа и атаки программ-вымогателей. Другая тревожная перспектива заключается в том, что другие страны с начинающими программами киберопераций, вероятно, последуют этому примеру.

Атаки на АСУ ТП в этом году, которые привели к киберфизическому воздействию на реальный мир, были примечательны своей наглостью и в некоторой степени своей инновационностью. Существует высокая вероятность того, что использование атак на АСУ ТП, связанных с жизнью вне земли, в пространстве АСУ ТП, а также атак на АСУ ТП, подверженные воздействию Интернета, в будущем возрастет. Традиционные инструменты безопасности конечных точек часто не могут обнаружить или смягчить такие методы атак. Одной из главных проблем, связанных с хактивистами, запускающими атаки на АСУ ТП, является то, что они с гораздо большей вероятностью приведут к физическому вреду или даже смерти гражданских лиц, если их не остановить и не смягчить.

Наконец, крах CrowdStrike продемонстрировал, что многие организации чрезмерно полагаются на одного поставщика безопасности для своего программного обеспечения EDR. Это связано с тем, что считается лучшей практикой в отрасли устанавливать программное обеспечение EDR на как можно большем количестве систем. Однако этот инцидент показал, что полная зависимость от одного поставщика для всех критических систем в конечном итоге должна была плохо закончиться, поскольку для BSOD миллионов конечных точек по всему миру потребовалось всего одно неудачное обновление.

Конец​

В целом, 2024 год был полон мегавзломов, правительственных хакерских кампаний, масштабных атак с использованием программ-вымогателей, разрушительных атак на АСУ ТП и глобальных технологических сбоев. По сравнению с 10 основными киберугрозами 2023 года, угрозы, с которыми мы столкнулись в 2024 году, возможно, стали более серьезными. Взлом Snowflake, по-видимому, превзошел атаку MOVEit 2023 года, которая также уже считалась одним из худших взломов всех времен. Шпионские кампании Китая в 2024 году были намного хуже для США, чем в 2023 году. Сама Microsoft была взломана Россией в 2024 году, а Китай в 2023 году выступил против своих клиентов. А разрушительные кампании в 2024 году стали более изощренными и безрассудными по сравнению с 2023 годом.

Противники, с которыми мы столкнулись в 2024 году как сообщество защитников кибербезопасности, не показали никаких признаков замедления или остановки, и наша технология, похоже, рушится под их атаками. Нам нужно извлечь эти уроки и извлечь из них уроки, внести изменения и подготовиться к следующей волне угроз в 2025 году — прежде чем ситуация ухудшится.

Источник