Продолжился рост активности китайскоговорящих хакеров. Основными игроками тут стали группировки, получившие названия ShaggyPanther и CardinalLizard. Основной целью первых являются государственные организации Тайваня и Малайзии, вторых — различные компании Малайзии, Филиппин, Монголии и России. Эксперты допускают вероятность связи CardinalLizard с ранее известными китайскоговорящими киберпреступниками, активность которых наблюдается с 2014 года. Ещё одна китайскоязычная группировка, IronHusky, переместила фокус с российских военных учреждений на Монголию. В конце января хакеры из этой группы атаковали монгольские правительственные организации перед их встречей с Международным валютным фондом.

Высокую активность сохранили и корейскоговорящие группировки. Например, хакеры из Kimsuky дополнили свой арсенал абсолютно новым набором инструментов, который был разработан для кибершпионажа и использовался в кампаниях целевого фишинга. Среди их основных целей —аналитические центры и политические учреждения Южной Кореи. Не менее активны были атакующие из Bluenoroff — подразделения другой известной корейскоговорящяй группировки Lazarus. Набор их целей теперь включает криптовалютные компании и POS-устройства.

Зарегистрировано было и несколько целевых атак в Южной Азии. Например, военные учреждения Пакистана оказались под ударом новой группировки Sidewinder. По мнению экспертов, она активна по меньшей мере с 2012 года и может иметь индийское происхождение.

Также «Лаборатория Касперского» зафиксировала всплеск активности хакеров на Ближнем Востоке. Например, группировка StrongPity организовала ряд новых атак через сети интернет-провайдеров. Другая киберкриминальная группа, Desert Falcons, снова начала атаковать устройства на Android с помощью вредоносного ПО, использовавшегося ими ещё в 2014 году.

В то же время, как отмечают эскперты, некоторые хорошо известные группировки за отчётный период не проявили почти никакой активности.

«За первые три месяца года мы засекли сразу несколько новых кибергруппировок разного уровня продвинутости. Однако в целом они использовали довольно распространённые и доступные инструменты. В то же время мы не обнаружили значимой активности со стороны многих ранее известных группировок. Можно предположить, что они сделали перерыв, чтобы переосмыслить стратегию и провести внутреннюю реорганизацию для будущих атак», — отметил Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».

Исследование «Лабораторией Касперского» о целевых атаках основано на данных из 27 приватных отчётов о киберинцидентах, которые составили эксперты «Лаборатории Касперского» за первый квартал 2018 года. Все они включают индикаторы заражения и YARA-правила, которые помогают при расследовании инцидентов и позволяют быстрее выявлять родственные им атаки в будущем.

Также «Лаборатория Касперского» сообщила о намерении открыть в Цюрихе первый центр прозрачности (Transparency Center), о создании которых компания объявила при анонсировании своей глобальной программы информационной открытости (Global Transparency Initiative) в октябре 2017 года. В центре прозрачности независимые сторонние эксперты и партнёры антивирусного вендора смогут провести аудит исходного кода продуктов «Лаборатории Касперского» (включая код обновлений ПО и антивирусных баз), а также убедиться в отсутствии какого-либо внешнего вмешательства и недокументированных функций в технологиях компании.
В заявлении «Лаборатории Касперского», в частности говорится, что компания всегда придерживалась принципов доверенной разработки, и новые шаги, которые она делает в связи с открытием Transparency Center в Швейцарии, направлены на то, чтобы сделать саму компанию и все её процессы ещё более прозрачными для её текущих и будущих клиентов и широкой общественности.

«Мы работаем в стремительно меняющейся индустрии и просто обязаны соответствовать ожиданиям и потребностям наших клиентов и партнёров. Одной из таких потребностей является полное доверие. Именно поэтому мы приняли решение трансформировать инфраструктуру компании и перенести часть наших ключевых рабочих процессов в Швейцарию. Мы надеемся, что этот шаг послужит примером нашим коллегам в индустрии, и доверие станет ключевым фактором для всех игроков на рынке кибербезопасности», — заявил генеральный директор «Лаборатории Касперского» Евгений Касперский.

Напомним, что в середине сентября прошлого года Министерство внутренней безопасности США (DHS) запретило федеральным органам использовать программное обеспечение «Лаборатории Касперского». В качестве причины названо то, что российский производитель антивирусов якобы сотрудничает со службами разведки и другими структурами РФ. Новая инициатива «Лаборатории Касперского» как раз и призвана опровергнуть подобные заявления.

Один из его пунктов призывает страны ЕС провести всеобъемлющий аудит устройств, средств связи и ПО «с целью исключения потенциально опасных программ и устройств, а также ввести запрет на использование продуктов, вредоносность которого является подтвержденной – таких как продукты «Лаборатории Касперского».

Ранее российская компания демонстрировала полную открытость в ответ на подозрения в причастности к кибершпионажу. Она, в частности, объявила о программе создания центров прозрачности по всему миру, где представители клиентов и государственных органов могут ознакомиться с кодами продуктов и лично убедиться в отсутствии какой-либо угрозы. Но на сей раз реакция «Лаборатории Касперского» оказалась жесткой, и это легко понять. Утверждения Европарламента являются абсолютно бездоказательными. Более того, они прямо противоречат прежним заключениям того же Европарламента.

Не далее как в апреле нынешнего года в ходе работы над проектом резолюции представитель Комиссии по иностранным делам отвечал на вопрос о слухах, связывающих «Лабораторию Касперского» с похищением секретных данных. И заявил, что никаких доказательств этому нет. Остается лишь гадать, как можно было после этого заявить, что вредоносность продуктов российской компании является подтвержденной.

Резолюция Европарламента вызвала резко негативную реакцию специалистов по кибербезопасности во всем мире. Так, авторитетный ресурс Bleeping Computer назвал решение европейских депутатов «уму непостижимым». Сам Евгений Касперский подчеркнул, что компания на протяжении 20 лет тесно сотрудничала с европейскими
правоохранителями в борьбе с киберпреступностью и прямо способствовала аресту множества преступников. И нынешнее решение Европарламента нельзя рассматривать иначе как приглашение киберпреступников в Европу.

Российская компания приостанавливает сотрудничество с Европейскими правоохранительными органами, включая Европол. Также «Лаборатория Касперского» временно выходит из проекта NoMoreRansom, одним из основателей которого она является. В рамках этого проекта специалисты по кибербезопасности и правоохранительные органы борются с одной из главных современных угроз кибербезопасности – распространением зловредов-шифровальщиков.

К слову, все тот же Европарламент не так давно называл этот проект примером успешного частно-государственного сотрудничества в сфере кибербезопасности. «Лаборатория Касперского» не намерена пересматривать свое решение до тех пор, пока не получит внятных разъяснений о причинах недружественных действий со стороны властей ЕС – либо до пересмотра резолюции, безосновательно очерняющей репутацию компании.

Анализ периметра защищённости IT-систем организаций различного размера выявил наличие в них внушительного количества критических уязвимостей, связанных с использованием в компаниях устаревших версий программного обеспечения. Так, в 75 % предприятий экспертами «Лаборатории Касперского» была обнаружена незакрытая уязвимость (MS17-010), используемая известными шифровальщиками WannaCry и NotPetya/ExPetr, причём тестирование проводилось уже после публикации информации об этой бреши. В ряде организаций критические обновления ОС Windows не были установлены даже спустя семь-восемь месяцев после их публикации. В целом устаревшее ПО было обнаружено на сетевом периметре в 86 % протестированных компаний и во внутренней сети в 80 % организаций.
Отдельное внимание исследователями было уделено оценке безопасности корпоративных веб-приложений, которые в 2017 году использовались киберпреступниками для преодоления сетевого периметра организации в 73 % случаев. Анализ защищённости таких систем показал, что наиболее уязвимыми являются приложения государственных учреждений (все проанализированные приложения содержали уязвимости высокой степени риска), а наименее уязвимыми — приложения электронной коммерции (28 % приложений с уязвимостями высокой степени риска). Наиболее часто в приложениях встречались такие уязвимости как раскрытие чувствительных данных (24 %), межсайтовое выполнение сценариев (24 %), непроверенные переадресации и пересылки (14 %), недостаточная защита от атак методом перебора пароля (14 и словарные учётные данные пользователя (13 %).