Toate cifrele au fost în creștere: atacurile, numărul de atacatori și victimele lor. În plus, securitatea cibernetică a căpătat o mai mare importanță în bugetele de apărare, a apărut legislație nouă sau îmbunătățită în domeniu și au fost semnate acorduri internaționale și noi standarde: 2015 a redefinit regulile jocului. În acest an, au fost semnate acorduri privind securitatea cibernetică între Rusia și China, China și SUA, și Marea Britanie și China. Pe lângă angajamentul țărilor respective pentru cooperare, acordurile includ asigurarea că ambele părți vor căuta să prevină atacul reciproc.
În urmă cu un an, directorul echipei GReAT, Costin Raiu, anticipa câteva tendințe pentru 2015 – amenințări cibernetice complexe și persistente. De-a lungul anului, s-a dovedit că aceste prognoze au fost corecte:
• Evoluția tehnicilor malware. În 2015, echipa GReAT a descoperit metode nemaiîntâlnite până atunci, folosite de gruparea Equation, ale căror programe malware pot modifica sistemul de control al hard-urilor, și de către Duqu 2.0, care nu fac schimbări în hard disk sau în setările de sistem, fără să lase, practic, aproape nicio urmă în sistem. Aceste două campanii de spionaj cibernetic au depășit tot ce se cunoștea în termeni de complexitate a tehnicilor.
• Fuziunea dintre infracționalitatea cibernetică și atacurile de tip APT (Advanced Persistent Threats). În 2015, gruparea Carbanak a furat aproape 1 miliard de dolari de la instituții financiare din toată lumea, utilizând tehnici de atac cu țintă predefinită.
• Noi metode de interceptări de date – S-a descoperit că gruparea Satellite Turla folosea comunicațiile prin satelit pentru a-și gestiona infrastructura de atac.
• O cursă a înarmărilor APT – Gruparea de limbă franceză Animal Farm și cea de limbă arabă Desert Falcons au fost două dintre numeroasele amenințări cibernetice din acest an.
• Țintirea unor persoane importante prin intermediul rețelelor de hotel – Această tendință a fost modificată ulterior pentru a include orice loc unde o persoană cunoscută putea fi atacată în afara perimetrului companiei. De exemplu, programele malware Duqu 2.0 au fost legate de evenimentele grupului P5+1 și de locurile unde se țin întâlnirile la nivel înalt între liderii mondiali.
• Atacurile cu țintă precisă au fuzionat cu supravegherea în masă. Atacurile cibernetice cu țintă predefinită ale celor de la Animal Farm s-au suprapus cu atacurile DDoS (Distributed denial of service) ale aceluiași actor, o situație rar întâlnită în peisajul campaniilor cibernetice complexe.
• “Actorii” adaugă atacurile mobile în arsenalul lor. Gruparea Desert Falcons a atacat utilizatorii de sisteme Android.
Ce nu a anticipat echipa GReAT a fost faptul că în 2015 vom vedea războaie între actorii APT. În primăvară, Kaspersky Lab a înregistrat o situație neobișnuită, în care un infractor cibernetic atacă un altul. În 2014, Hellsing, o grupare mică și nespectaculoasă din punct de vedere tehnic, de spionaj cibernetic, care țintea mai ales guverne și misiuni diplomatice din Asia, a fost ținta unui atac de phishing cu țintă precisă din partea unui alt actor al amenințărilor, Naikon, și a decis să riposteze. Kaspersky Lab consideră că această situație ar putea marca apariția unei alte tendințe în activitatea cibernetică infracțională: războaiele între APT-uri.
În total, echipa GReAT de la Kaspersky Lab a emis 14 rapoarte publice asupra atacurilor de tip APT în 2015: Duqu 2.0, Darkhotel – part 2, Naikon, MsnMM Campaigns, Satellite Turla, Wild Neutron, Equation, Blue Termite, Hellsing, Carbanak, Desert Falcons, Animal Farm, Spring Dragon și Sofacy. Acești actori “vorbesc” limbi diferite: au fost identificate urme ascunse în APT-uri în limbile rusă, chineză, engleză, arabă, coreeană și franceză. Acestea au vizat instituții financiare, guverne, organizații militare și diplomatice, companii de telecomunicații și din domeniul energiei, activiști și lideri politici, mass-media, companii private și multe altele. Toate atacurile au avut loc la nivel global.
