À la fin de l'année, Kaspersky Lab publie un ensemble traditionnel de rapports, résumant l'année sortante et prédisant le développement des cybermenaces pour la prochaine. Aujourd'hui est un bref extrait des documents, dont les versions complètes peuvent être lues à partir des liens:
Nous décrivons les principaux thèmes: l'évolution des attaques ciblées, l'émergence de nouveaux groupes APT avec un arsenal malveillant assez simple (mais efficace); l'utilisation de l'IoT pour des attaques ciblées et pour la masse; une diminution du nombre d'attaques visant l'extraction de crypto-monnaie suite à une baisse du taux de change. Orientations pour le développement des cybermenaces: attaques difficiles à détecter sur le matériel avec le plus large accès possible, évolution du phishing utilisant les données personnelles des victimes, tentatives de compromettre le système de protection des appareils mobiles.
Dans un
examen des principaux événements de 2018, les experts de Kaspersky Lab accordent une attention particulière aux attaques contre les périphériques réseau et l'Internet des objets. Un exemple illustratif
est la campagne Slingshot. Les attaquants ont utilisé des vulnérabilités dans les routeurs Mikrotik (dont beaucoup ont été écrits sur cette année, par exemple
ici et
ici ). Les routeurs traditionnellement piratés sont utilisés pour collecter des données, des DDoS, des attaques sur d'autres appareils vulnérables et rediriger les utilisateurs vers des pages de phishing. Dans ce cas, le routeur a été cassé afin d'attaquer son administrateur au moment de la visite de l'interface Web de l'appareil, avec un compromis supplémentaire sur l'ensemble du réseau d'entreprise. Le problème ne se limite pas aux routeurs, il est possible d'augmenter la fréquence des attaques sur les infrastructures stratégiques (entreprises ou états entiers) - les réseaux cellulaires (comme cela s'est déjà produit dans le cas de la campagne
Regin ) ou les centres de données.
Les menaces potentielles contre l'infrastructure et les terminaux sont les attaques Spectre et Meltdown, et pas seulement. L'utilisation de vulnérabilités dans les hyperviseurs et de code malveillant dans UEFI permet également théoriquement d'obtenir le plus large accès possible aux ordinateurs, aux serveurs et à leur contenu, et de telles attaques seront extrêmement difficiles à détecter. Pour le moment, cette menace dans son ensemble reste théorique: des attaques utilisant le même Spectre / Fusion dans la faune n'ont pas encore été observées.
Les experts de Kaspersky Lab prédisent la fin d'une ère de grandes campagnes APT, mais plutôt dans le contexte de la possibilité d'attribuer diverses attaques à un groupe spécifique. Après qu'un grand nombre d'APT aient été révélés par des experts en sécurité, les organisateurs d'attaques coordonnés chercheront à utiliser des méthodes de piratage plus secrètes et avancées, tout en n'abandonnant pas les méthodes déjà éprouvées (et détectables). En termes simples, les attaques ciblées sont mises en service, les "tâches" sont distribuées à différents "sous-traitants", les combiner selon certains signes et caractéristiques du code malveillant utilisé par le serveur de commandes deviendra plus difficile. En Asie et au Moyen-Orient, il existe également de nombreuses attaques ciblées qui utilisent des outils largement disponibles, et plus vous allez loin, plus il sera difficile de déterminer qui attaque, pourquoi et comment cela pourrait être lié à d'autres campagnes malveillantes.
Enfin, les experts prêtent attention aux fuites de données personnelles des utilisateurs, qui étaient nombreuses cette année, et le principal «newsmaker» sur ce sujet a été le réseau social Facebook. Il existe de nombreuses applications d'informations privées, mais on peut également supposer l'utilisation de données obtenues sur le marché noir pour un phishing plus efficace et ciblé. Si vous regardez encore plus loin dans le futur, alors vous présenter de manière plus convaincante comme une autre personne sera «aidé» par les technologies d'apprentissage automatique. Il s'agit d'un tel aspect social du domaine de la sécurité de l'information, lorsque vous ne pouvez plus déterminer avec garantie avec qui vous communiquez sur le réseau, par téléphone ou même par liaison vidéo.
Enfin, les chercheurs ont évalué les perspectives de piratage des appareils mobiles. Dans les campagnes malveillantes, elles sont de plus en plus ciblées, car un piratage réussi donne parfois accès à une quantité beaucoup plus importante de données personnelles que le piratage de l'ordinateur d'une victime. Dans le même temps, si vous regardez la fréquence des exploits appliqués aux vulnérabilités de tout type de logiciel (de bureau ou mobile), la part des exploits pour Android diminue.
Cela est probablement dû à une fermeture plus rapide des vulnérabilités sur les appareils réels en raison de la distribution régulière des correctifs. Néanmoins, la recherche de moyens efficaces pour pirater les appareils mobiles se poursuit, non seulement pour Android, mais aussi pour iOS. Dans l'écosystème Apple, par exemple,
une vulnérabilité a été
découverte cette année dans l'interface du programme d'inscription des appareils pour configurer et gérer les appareils d'entreprise. La possibilité de pirater iOS avec accès à l'appareil a également été activement discutée, et en été, Apple a même
limité l' accès au téléphone via le port Lightning une heure après le verrouillage de l'appareil. Des attaques à grande échelle contre les appareils mobiles ne sont pas attendues en 2019, mais les tentatives de contournement des systèmes de protection se poursuivront.
L'efficacité des attaques utilisant l'accès à l'infrastructure physique est décrite dans une étude récente de la campagne DarkVishnya: une enquête sur une série d'incidents cybernétiques a conduit à chaque fois à la découverte d'un «cheval de Troie Raspberry Pi» dans l'infrastructure de l'entreprise.Ne sous-estimez pas les logiciels malveillants traditionnels. Selon Kaspersky Lab, en 2018, des cyberattaques ont été détectées sur 30% des ordinateurs, près de 22 millions d'objets malveillants uniques ont été détectés. Dans les statistiques de Kaspersky Lab, nous attirons l'attention sur deux points intéressants. Premièrement, le nombre d'attaques à l'aide de chevaux de Troie bancaires, visant directement à voler de l'argent sur les comptes des victimes, augmente:
Le nombre d'utilisateurs attaqués par des chevaux de Troie bancaires a dépassé le nombre d'attaques utilisant des chiffreurs. Deuxièmement, il est intéressant de regarder les statistiques des tentatives d'infecter des ordinateurs avec des logiciels malveillants avec un mineur de crypto-monnaie intégré:
8,5% de toutes les attaques utilisant des logiciels malveillants représentent un minage cryptographique non autorisé. C'est beaucoup, mais encore plus intéressant est la coïncidence du nombre d'attaques avec la dynamique du cours des principales crypto-monnaies: une baisse de leur valeur a également affecté l'intensité des attaques. Plus de statistiques sur les mineurs de crypto sont dans une publication
séparée . Une prévision de menace de crypto-monnaie est donnée
ici .
En plus des principaux rapports sur les liens au début de l'article, Kaspersky Lab a également publié deux documents spécialisés avec des prévisions du développement des cybermenaces pour l'
industrie et le secteur
financier . Tous les rapports (y compris les versions des années précédentes) sont compilés
ici .
Avertissement: Les opinions exprimées dans ce résumé reflètent généralement la position de Kaspersky Lab, mais un résumé sans avertissement n'est pas un résumé. Chers éditeurs, nous recommandons toujours de traiter toutes les opinions avec un scepticisme sain.