Positive Technologies на AVAR 2023: преимущества open source и детали новых атак Space Pirates

Positive Technologies приняла участие в 26-й международной конференции по кибербезопасности AVAR 2023, которая проходит в Дубае с 28 ноября по 1 декабря. Специалисты экспертного центра безопасности компании (PT Expert Security Center) поделились опытом развития проектов на основе open source (на примере безагентной песочницы DRAKVUF) и подробно рассказали о новой волне атак группировки Space Pirates.

Поведенческий анализ в операционных системах Linux — сложная задача из-за большого разнообразия дистрибутивов, отсутствия удобных инструментов и неполноты данных, которые эти инструменты предоставляют. Все это позволяет злоумышленникам легко оставаться невидимыми для средств защиты, включая песочницы. Алексей Колесников, специалист отдела обнаружения вредоносного ПО, PT Expert Security Center, рассказал о преимуществах проекта DRAKVUF с открытым исходным кодом с точки зрения фундаментального анализа вредоносного ПО и о проблемах, с которыми столкнулись специалисты при разработке решения на уровне гипервизора.

«DRAKVUF изначально был небольшим исследовательским проектом, который вырос благодаря усилиям комьюнити и превратился в полноценный бизнес-проект. Мы с коллегами в него также серьезно вложились: за все время при участии специалистов компании были разработаны и переработаны десятки плагинов как для Windows, так и для Linux. Сегодня эта технология уже хорошо себя показала в нашем собственном продукте, работает бесперебойно, фундаментально и качественно лучше аналогов», — отметил Алексей Колесников.

Денис Кувшинов и Станислав Раковский из отдела исследования киберугроз, PT Expert Security Center, в своем докладе рассказали о новой волне атак хакерской группировки Space Pirates.

«Группировка по-прежнему нацелена на шпионаж и кражу конфиденциальной информации, но масштаб ее интересов расширился. По нашим данным, в 2022–2023 годах Space Pirates успешно атаковала по меньшей мере 16 организаций в России, включая госсектор, ВПК и ракетно-космическую отрасль, — рассказал Денис Кувшинов. — Тактики группировки в этот период практически не поменялись, однако она улучшила свои старые инструменты и разработала новые, реализующие нестандартные техники (как, например, Voidoor), а также, вероятно, эксплуатировала уязвимости, которые мы раньше не наблюдали».

В 2023 году Positive Technologies стала первой российской организацией, принятой в Азиатскую ассоциацию исследователей антивирусных технологий (AVAR), одно из наиболее авторитетных в мире объединений экспертов по ВПО. Ассоциация была создана в 1998 году как независимая некоммерческая организация для предотвращения распространения вредоносных программ и минимизации причиняемого ими ущерба путем развития взаимодействия между азиатскими специалистами по защите от ВПО. Сегодня AVAR объединяет экспертов из 17 стран Азиатско-Тихоокеанского региона.

В последние годы в странах Азии, ставших глобальными лидерами в области внедрения технологических инноваций, возросла и необходимость в разработке и реализации устойчивых стратегий кибербезопасности. Именно поэтому в 2023 году эксперты Positive Technologies провели сразу несколько исследований актуальных киберугроз для Азии с акцентом на шести странах — Китае, Индии, Таиланде, Малайзии, Вьетнаме и Индонезии — и на двух важных регионах — Ближний Восток и Персидский залив.

Основная цель этих исследований — глубже изучить ландшафт кибербезопасности в Азии (на которую в 2022 году пришлась почти треть общемирового числа атак), использовать эти знания для совершенствования технологий защиты информации и предложить рекомендации по повышению киберустойчивости организаций в регионе и мире.