Альянсы хактивистов, ИИ и вредоносное ПО на новых языках: «Лаборатория Касперского» представила прогноз развития сложных кибератак в 2025 году
Эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») прогнозируют, что в 2025 году альянсы хактивистов продолжат расширяться. Стратегия обмениваться инструментами и доступом к вредоносной инфраструктуре (например, командно-контрольным серверам и сайтам для распространения вредоносного ПО) сделала хактивизм сильнее, поэтому можно ожидать более организованные и эффективные кампании, в том числе с применением шифровальщиков.
APT-группы будут чаще проводить атаки, используя устройства интернета вещей (IoT). С ростом популярности умных устройств, таких как камеры, выключатели и розетки, появляется множество новых подключений к интернету, каждое из которых может быть уязвимым. Рост числа мобильных приложений для управления этими устройствами создаёт дополнительный риск. С таким многообразием доступных программ проверять их подлинность становится сложно, и злоумышленники могут загружать в официальные магазины приложений поддельные версии, которые позволят им получить контроль над IoT-устройствами. Риски компрометации цепочки поставок в этой сфере также вызывают обеспокоенность: злоумышленники могут внедрить вредоносное ПО на этапе производства, как это случалось с некоторыми ТВ-приставками на базе Android.
Рост числа атак на цепочки поставок в проектах с открытым исходным кодом. Многие ключевые проекты с открытым исходным кодом поддерживаются лишь несколькими разработчиками, а иногда и одним, что делает их уязвимыми для сложных целевых атак. Количество атак на цепочки поставок, возможно, и не возрастёт, но станет больше случаев обнаружения инцидентов.
Зловреды на языках C++ и Go. Поскольку проекты с открытым исходным кодом всё чаще используют C++ и Go, атакующим придётся адаптировать своё вредоносное ПО под эти популярные языки. В 2025 году всё больше кибергрупп и отдельных злоумышленников будут переходить на новые версии C++ и Go, чтобы воспользоваться популярностью этих языков в проектах с открытым исходным кодом. Они станут основными при разработке вредоносных программ, кроме того, злоумышленники будут использовать их уязвимости для проникновения в системы и обхода защиты.
Более активное применение ИИ. Использование больших языковых моделей (LLM) станет обычной практикой для злоумышленников аналогично тому, как специалисты по безопасности всё чаще внедряют ИИ и машинное обучение в свои стратегии кибербезопасности. Скорее всего, злоумышленники будут применять LLM на этапе разведки для автоматизации поиска уязвимостей и сбора информации о нужных им технологиях, чтобы быстрее находить слабые места у своих целей. Атакующие также будут чаще использовать ИИ для создания вредоносных скриптов и генерации команд на этапе посткомпрометации, чтобы проще добиваться своих целей. Злоумышленники могут создавать локальные LLM или маскировать свои действия на общедоступных платформах, используя несколько учётных записей, тщательно составляя запросы и минимизируя информацию, передаваемую таким платформам, как Google, OpenAI и Microsoft.
Дипфейки. Кибергруппы будут использовать эту технологию всё чаще, чтобы выдавать себя за нужных им лиц и создавать убедительные обращения или видеозаписи с целью обмана сотрудников, кражи конфиденциальной информации и других злонамеренных действий.
Бэкдоры в моделях ИИ. Широкое распространение готовых моделей искусственного интеллекта с открытым исходным кодом увеличивает риск их заражения троянцами или бэкдорами. В 2025 году, вероятно, кибергруппы будут пытаться компрометировать популярные модели искусственного интеллекта и открытые наборы данных, внедряя в них вредоносный код или необъективные данные. Такие вредоносные версии могут широко распространяться, а обнаружить их будет сложно.
Рост популярности эксплойтов типа Bring Your Own Vulnerable Driver (BYOVD) в сложных целевых атаках. Техника BYOVD стала одной из наиболее популярных у злоумышленников в 2024 году. С её помощью они эксплуатируют уязвимости в драйверах для повышения привилегий, обхода защиты и развёртывания сложных полезных нагрузок как в атаках с использованием шифровальщиков, так и в APT-кампаниях. Ожидается, что тенденция к использованию техники BYOVD сохранится и в 2025 году. С развитием навыков злоумышленников в эксплуатации уязвимостей в низкоуровневых компонентах сложность таких атак, вероятно, увеличится. Возможно, появятся более продвинутые вариации этой техники, например с применением устаревших или сторонних драйверов, которые обычно не так тщательно проверяются на наличие уязвимостей.
«Одной из самых известных кампаний этого года стало внедрение бэкдора в XZ — популярный инструмент сжатия с открытым исходным кодом, часто встречающийся в Linux-дистрибутивах. Злоумышленники применили методы социальной инженерии, чтобы получить постоянный доступ к среде разработки этого программного обеспечения, и оставались незамеченными на протяжении нескольких лет. Эта кампания демонстрирует необходимость вести более тщательный мониторинг содержимого проектов с открытым исходным кодом. Кроме того, злоумышленники продолжат эксплуатировать множество незащищённых IoT-устройств, многие из которых полагаются на устаревшие библиотеки с известными уязвимостями, что делает их лёгкой мишенью для взлома», — комментирует Игорь Кузнецов, директор Kaspersky GReAT.
Полную версию прогнозов можно прочитать на Securelist: https://securelist.ru/ksb-apt-predictions-2025/111090/.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз Kaspersky GReAT основан в 2008 году. В его задачи входит поиск и исследование наиболее сложных атак, кампаний кибершпионажа, новых методов заражения, эксплойтов, использующих уязвимости нулевого дня. Сегодня в команде центра более 40 экспертов, работающих по всему миру — в Европе, России, Северной и Южной Америке, Азии, на Ближнем Востоке. Они известны своими достижениями в расследовании наиболее сложных атак, включая кампании кибершпионажа и киберсаботажа.