במהלך שנת 2016 חשפה מעבדת קספרסקי מתקפת ריגול (APT) המסוגלת ליצור כלים זדוניים חדשים עבור קורבנות ספציפיים. סוג זה של התקפה חיסל את היכולת להשתמש ב”סממני פריצה” כאמצעי אמין לאיתור הדבקות – כך על פי תחזית האיומים של מעבדת קספרסקי לשנת 2017. התחזיות השנתיות נערכות על ידי צוות הניתוח והמחקר הגלובלי של המעבדה (GReAT), והן מבוססות על טווח רחב של תובנות ותחומי המומחיות של חוקרי החברה. התחזית לשנת 2017 כוללת בין היתר את השפעתם הגוברת של כלי פריצה בהתאמה אישית וכלים חד פעמיים, שימוש גובר באמצעי הטעיה להסתרת זהות תוקף, השבריריות של העולם המרושת והשימוש בהתקפות סייבר כנשק של לוחמת המידע.
שקיעתם של ה-IoC – סממני פריצה
סממני פריצה (Indicators of Compromise – IoC) היו במשך זמן רב דרך מצוינת לזיהוי והבנת המאפיינים של קוד זדוני מוכר, כשהם מאפשרים לצד המגן לזהות הדבקה פעילה של הקוד. איתורו של ProjectSauron APT על ידי צוות GReAT חשף תמונה שונה מזו שכבר הכרנו. ניתוח של פעילות הקבוצה חשף פלטפורמת קוד זדוני עצמאית בה כל מאפיין השתנה עבור כל קורבן בנפרד. בכך, הפלטפורמה מייצרת IoC שאינם מאפשרים זיהוי אמין של קורבנות נוספים, אלא אם כן הם לוו באמצעי נוסף, כגון חוקי Yara חזקים.
עלייתן של הדבקות קצרות מועד
ב-2017, צופה מעבדת קספרסקי לראות צמיחה של קוד זדוני השוכן בזיכרון (memory-resident malware) – קוד שאין לו עניין לשרוד אחרי האתחול הבא, אשר ימחק את ההדבקה מזיכרון המכשיר. קוד זדוני שכזה, המיועד לביצוע סיור שטח מקדים ואיסוף הרשאות, מתאים להפעלה בסביבות רגישות מאוד, בהן התוקפים מעוניינים להימנע מלעורר חשד או להיחשף.
- ייחוס כושל של מתקפות בשל הטעיות: בעידן שבו התקפות סייבר זוכות לתפקיד נרחב יותר ביחסים בינלאומיים, הניסיון לייחס מתקפה לגורם מסוים הופך בעיה מרכזית עבור מי שמנסים לבחור תגובה מתאימה – כגון מתקפת נגד. המאמץ לאתר את התוקפים עלול להביא לכך שיותר עבריינים יציעו מגוון רחב יותר של נוזקות מדף, יפנו לקוד זדוני מסחרי או לכלי תקיפה מבוססי קוד פתוח, או יגבירו את השימוש הנרחב ממילא בטקטיקות הטעיה (false flags) כדי לטשטש את עקבותיהם.
- צמיחת לוחמת המידע: ב-2016 התחלנו לראות שימוש גובר בהפצת מידע שדלף למטרות תוקפניות. סוג זה של התקפות צפוי להתגבר ב-2017. קיים סיכון כי תוקפים ינסו לנצל את המוכנות של אנשים לקבל מידע מניפולטיבי או סלקטיבי כעובדות.
- חשיפה מוגברת של תשתיות לפיגועי סייבר: תשתיות חיוניות ומערכות ייצור רבות מחוברות לאינטרנט, לעיתים קרובות עם מעט מאוד או כלל ללא הגנה. הפיתוי לפגוע בהן או לשבש את פעילותן עלול למשוך תוקפי סייבר, במיוחד כאלו עם כישורים מתקדמים ובמהלך תקופות של מתיחות גיאופוליטית.
- הריגול עובר למובייל: מעבדת קספרסקי צופה גידול בקמפיינים של ריגול ממוקד במובייל, כשמפעיליהם נהנים מהעובדה שתעשיית האבטחה תתקשה להשיג גישה מלאה למערכות הפעלה ניידות לצורך ניתוח פורנזי.
- מסחור של התקפות פיננסיות: מעבדת קספרסקי צופה מסחור של התקפות הדומות לפרשת SWIFT ב- 2016 – כשמשאבים מיוחדים מוצעים למכירה בפורומים מחתרתיים או נמכרים כשירות.
- איום על מערכות תשלומים: עם התרחבות השימוש והפופולאריות של מערכות תשלומים, צופה מעבדת קספרסקי גידול תואם גם בעניין שעבריינים מגלים בהן.
- לא משלמים דמי כופר: מעבדת קספרסקי צופה המשך ההתרחבות של תוכנות הכופר. עם זאת, לצד ההבנה המתגברת כי תשלום לתוקפים לא תמיד יחזיר לקורבן את המידע שאבד, צופים מומחי קספרסקי ירידה במוכנות של קורבנות לשלם את דמי הכופר.
- נטרול מוצרי IoT: על רקע התקפות ה- IoT האחרונות והעובדה שיצרני IoT רבים עדיין ממשיכים לשווק מכשירים שאינם מאובטחים, צופה מעבדת קספרסקי אפשרות כי האקרים יקחו את העניינים לידיהם וינטרלו מכשירים רבים ככל האפשר, כדי למנוע את השתתפותם של מכשירים אלו במתקפות.
- הפרסום הדיגיטלי על הכוונת: במהלך השנה הקרובה, נראה כיצד כלי מעקב ומיקוד, אשר נכנסים לשימוש נרחב בפרסום, משמשים כדי לנטר אקטיביסטים ומתנגדי משטר. באופן דומה, רשתות פרסום – אשר מספקות פרופיל מצוין של מטרות באמצעות שילוב בין IP, טביעות אצבע של דפדפן, תחומי עניין וכניסה לשירותים – ישמשו מרגלי סייבר מתקדמים המעוניינים לפגוע במטרות מדויקות.