Security Analyst Summit

Security Analyst Summit (SAS) — ежегодная конференция для специалистов по кибербезопасности, организуемая «Лабораторией Касперского». Первая конференция состоялась в 2009 году как собрание собственных исследователей и аналитиков по безопасности, в дальнейшем на неё стали приглашать спикеров и гостей из других компаний[1]. Конференцию проводят ежегодно в разных странах с приглашением отраслевых экспертов, представителей органов правопорядка, журналистов. Организатор — команда «Глобального Центра Исследования Угроз (GReAT)» Kaspersky Lab, партнёры — технологические компании и профильные СМИ. На SAS регулярно проходили презентации важных для отрасли исследований и профильные дискуссии: исследования Equation Group, Desert Falcons, StripedFly, атаки TetrisPhantom и Operation Triangulation, раскрытие группы Carbanak и нового шпионского ПО от Hacking Team.

Структура конференции

SAS — симпозиум, посвящённый обсуждению актуальных угроз в сфере кибербезопасности, исследований и новых технологий защиты. Он включает доклады экспертов, панельные дискуссии, практические тренинги и соревнования в формате Capture The Flag (CTF)[2]. Участие в конференции возможно по приглашению. Большинство участников специалисты по практической безопасности (от исследователей киберугроз и разработчиков антивирусного ПО до сотрудников отделов ИБ в крупных компаниях), сотрудники правоохранительных органов различных государств, представители академического и неправительственного секторов. Например, на конференции SAS 2018 в Канкуне присутствовало около 320 человек из более чем 30 стран[3].

Доклады и технические исследования затрагивают продвинутые киберугрозы, деятельность APT-групп, целевые атаки, безопасность критической инфраструктуры и промышленных систем (ICS/OT), атаки на интернет вещей (IoT) и их предотвращение, угрозы для цепочек поставок и безопасность ПО с открытым исходным кодом, инциденты с программами-шифровальщиками и методы защиты от них, уязвимости нулевого дня и эксплойты, анализ даркнета, роль искусственного интеллекта и машинного обучения в кибербезопасности. На SAS 2025 были доклады о кибербезопасности автомобилей, использовании видеорегистраторов в кибератаках, уязвимостях в автопроме и исследованиях таргетированных кампаний[2].

В рамках SAS традиционно проводятся финалы международных соревнований Capture The Flag (CTF) для экспертов в области кибербезопасности. Участники соревнуются в решении прикладных задач, связанных с поиском уязвимостей, криптографией, анализом вредоносного ПО и другими аспектами ИБ. Отборочный этап проводится онлайн (например, в формате Jeopardy, где участники решают задачи из разных областей ИБ и получают «флаги» за правильные ответы), финальный — непосредственно на SAS и с призовым фондом (в 2025 году — 18 тыс. долларов)[2].

Ключевые доклады и исследования

Значительная часть программы SAS в разные годы посвящена презентации результатов новых расследований кибератак и APT-групп.

  • Careto («The Mask»). В 2014 году Kaspersky рассказала о кампании Careto (ее также называют The Mask), нацеленной на испаноязычные страны. «Лаборатория Касперского» впервые публично представила информацию о Careto на конференции SAS в Пунта-Кане[4]. Атака, по сообщениям, длилась много лет и затронула государственные и энергетические структуры в более чем 30 странах. Исследователи отмечали, что Careto — одна из самых сложноустроенных кибершпионских операций[5].
  • Equation Group. В 2015 году команда GReAT представила анализ атак и вредоносного ПО группировки Equation, одной из самых продвинутых APT. Equation использовала в том числе вредоносный код на уровне прошивки жёстких дисков и атаковала сотни компьютеров в десятках стран[6]. Доклад по Equation вызвал резонанс в профессиональном сообществе и СМИ[7][8].
  • Carbanak. В 2015 году исследователи Kaspersky совместно с правоохранительными органами раскрыли киберпреступную группу Carbanak, ограбившую около 100 банков по всему миру. Сведения о атаках были представлены на SAS в Канкуне 2015, в том числе об «ограблениях» на общую сумму до $1 млрд. Доказано, что злоумышленники заражали корпоративные сети банков и совершали нелегитимные денежные переводы[9].
  • Деанонимизация хакеров. В 2015 году на SAS были представлены исследования по деанонимизации киберпреступников с помощью анализа их поведения в сети. Компания Recorded Future показала, как злоумышленники, даже использующие Tor, оставляли в интернете столько следов, что их можно было связать с реальными личностями. В частности, с помощью анализа общих данных утечек атакующих Recorded Future показала, что информация о бывших хакерах, включая электронные адреса и пароли, легко находилась в открытых источниках[10].
  • Moonlight Maze. Операция конца 1990-х Moonlight Maze в 2016 году вновь стала предметом анализа на SAS. Новое расследование, представленное профессором Томасом Ридом, связало известную операцию Moonlight Maze с современными атаками группы Turla[11]. Moonlight Maze — одна из первых выявленных киберкампаний, вероятно спонсируемых на государственном уровне (атаковала Пентагон, НАСА, энергетические объекты США), и её изучение послужило основой для понимания современных угроз[12].
  • Атака через CCleaner. В 2018 году команда Avast представила на SAS доклад о результатах своего расследования компрометации утилиты CCleaner. Специалисты обнаружили бэкдор ShadowPad в инфраструктуре разработчиков CCleaner и представили подробности в докладе на SAS в Канкуне. Атака затронула миллионы пользователей, в докладе были раскрыты технические детали кампании, в том числе связь с группой Axiom (предположительно связанной с APT17)[13].
  • Утечки данных через сервисы мультисканирования. Представители Swisscom AG рассказали об угрозах безопасности, возникающих из-за того, что в сервисы сканирования вредоносного ПО попадают конфиденциальные данные (личные, государственные, служебные, коммерческие). Такие сервисы фактически превратились в хранилища чувствительных бизнес-данных, создавая новый класс рисков для корпоративной безопасности[14].
  • Уязвимости в робототехнике. Исследование команды MalCrawler на SAS 2018 продемонстрировало проблемы безопасности в промышленных роботизированных системах: многие промышленные роботы используют устаревшие ОС (например, Windows XP) и системы управления, доступные по умолчанию без пароля, а программы управления роботами остаются «открытыми» для взлома. В результате промышленные объекты оказываются уязвимы к атаке на «аварийное отключение» (например, Triconex/Triton)[15].
  • ShadowHammer. В 2019 году «Лаборатория Касперского» раскрыла атаку на цепочку поставок ShadowHammer: вредоносный код был встроен в официальные обновления ASUS Live Update и доставлен на 500 000–1 000 000 компьютеров, при этом атака была точечно направлена на примерно 600 систем. Анализ показал высокий уровень подготовки к операции с использованием скомпрометированных цифровых сертификатов ASUS[16]; выводы «Лаборатории Касперского» были также подтверждены компанией Symantec.
  • Operation Triangulation. Сложная шпионская атака на устройства iOS с использованием нескольких уязвимостей нулевого дня. Известные случаи компрометации охватывают период с 2019 по 2024 год. ПО Triangulation позволяло шпионам получать полный контроль над iPhone жертв без взаимодействия с пользователем. Описание этой схемы и использованных аппаратных уязвимостей появилось в отчётах «Лаборатории Касперского» и обзоре Dark Reading. Журналисты отмечали, что Triangulation обходила большинство защитных механизмов iPhone, опираясь на недокументированные функции ОС и оборудования[17]. Исследование представлено на SAS в Таиланде в 2023 году[18].
  • Вредоносное ПО под видом криптоигр. Эксперты Kaspersky GReAT в 2024 году выявили сложную кампанию группировки Lazarus, в которой вредоносное ПО распространялось под видом криптовалютной игры. По данным исследования, атакующие использовали интерес пользователей к криптоактивам и игровым проектам для заражения систем и последующего шпионажа. Аналитики отмечали высокий уровень маскировки и многоэтапность атаки[19].
  • Новое шпионское ПО от Hacking Team. В 2025 году исследователи зафиксировали использование шпионских инструментов Dante, связанных с итальянской компанией Memento Labs, которая возникла при реорганизации Hacking Team. Кампания эксплуатировала через уязвимость нулевого дня в Chrome[20].

Известные участники и спикеры

Кэти Муссурис (Katie Moussouris)

Американский исследователь в области компьютерной безопасности, создатель программы bug bounty в Microsoft, основатель Luta Security. Выступала на SAS с докладом о программе вознаграждения за поиск уязвимостей (bug bounty)[21].

Чарли Миллер и Крис Валасек (Charlie Miller & Chris Valasek)

Известные исследователи автомобильной безопасности. Выступали на конференции Kaspersky Security Analyst Summit в 2016 году. Их доклад был посвящён уязвимостям в системе Uconnect автомобиля Jeep Cherokee, которые позволили исследователям удалённо взломать транспортное средство[22][23].

Брюс Шнайер (Bruce Schneier)

Криптограф с международным признанием, эксперт по кибербезопасности и общественной политике. На SAS выступал с программным докладом, а также участвовал в дискуссии с баронессой Полин Невилл-Джонс, бывшей министром информационной безопасности Соединенного Королевства, о правах граждан и государственной киберразведке.

Ева Гальперин (Eva Galperin)

Ева Гальперин, директор по кибербезопасности в Electronic Frontier Foundation (EFF), выступала на саммите Kaspersky Security Analyst Summit (SAS) в 2018 году. Её доклад был посвящён исследованиям вероятной ливанской хакерской группы, спонсируемой государством, известной как Dark Caracal[24].

Мэтт Тейт (Matt Tait)

Исследователь в области киберугроз и анализа вредоносных программ, бывший сотрудник GCHQ и хакер Google. В 2018 году выступил с основным докладом, посвящённым теме дезинформации в общем ландшафте киберугроз[3].

Места проведения SAS

Год Даты Место проведения (город, страна)
2009 Июнь Дубровник, Хорватия
2010 Май Лимасол, Кипр
2011 Июнь Малага, Испания
2012 Февраль Канкун, Мексика
2013 Февраль Пуэрто-Рико, США
2014 Февраль Пунта-Кана, Доминиканская Республика
2015 Февраль Канкун, Мексика
2016 Февраль Тенерифе, Испания
2017 2–6 апреля Сен-Мартен, Карибы
2018 7–11 марта Канкун, Мексика
2019 Апрель Сингапур
2020 28–30 апреля Онлайн
2021 28–29 сентября Онлайн
2022 11-14 апреля Онлайн
2023 25–28 октября Пхукет, Таиланд
2024 22–25 октября Бали, Индонезия
2025 26–29 октября Као Лак, Таиланд

Примечания

  1. 20 лет на страже информации. ИТ Медиа | ИТ-рынок (2 сентября 2017). Дата обращения: 14 января 2026.
  2. 1 2 3 Компьютерра. «Лаборатория Касперского» открыла прием заявок на конференцию SAS 2025. Компьютерра (29 апреля 2025). Дата обращения: 14 января 2026.
  3. 1 2 Who's Afraid of Kaspersky? (амер. англ.). VICE (22 мая 2018). Дата обращения: 14 января 2026.
  4. Spanish-language cyber espionage campaign unveiled - The Last Watchdog — The Last Watchdog (амер. англ.) (10 февраля 2014). Дата обращения: 14 января 2026.
  5. Joseph Menn, Jim Finkle. Researchers uncover cyber spying campaign dubbed 'The Mask'. Reuters.
  6. Kim Zetter. Suite of Sophisticated Nation-State Attack Tools Found With Connection to Stuxnet (амер. англ.) // Wired. — ISSN 1059-1028.
  7. Денис Макрушин. Carbanak и Equation - малварь на миллиард долларов. Хакер.
  8. Хакеры шпионили за Россией и Ираном. Коммерсантъ (17 февраля 2015). Дата обращения: 14 января 2026.
  9. Lennon, Mike. Hackers Hit 100 Banks in 'Unprecedented' $1 Billion Cyber Heist: Kaspersky Lab (амер. англ.). SecurityWeek (15 февраля 2015). Дата обращения: 14 января 2026.
  10. Franceschi-Bicchierai, Lorenzo. Small-Time Hackers Can Be Deanonymized Even When Using Tor (амер. англ.). VICE (22 апреля 2015). Дата обращения: 14 января 2026.
  11. Andy Greenberg. Russian Hackers Are Still Using a Backdoor From the 90s (амер. англ.) // Wired. — ISSN 1059-1028.
  12. Paganini, Pierluigi. Joining the dots between the ancient Moonlight Maze and the Turla APT (амер. англ.). Security Affairs (4 апреля 2017). Дата обращения: 14 января 2026.
  13. Chinese APT Backdoor Found in CCleaner Supply Chain Attack. Dark Reading (англ.). Архивировано 7 января 2026. Дата обращения: 14 января 2026.
  14. Malware Scanning Services Containers for Sensitive Business Information (англ.). Архивировано 27 марта 2025. Дата обращения: 14 января 2026.
  15. Programs Controlling ICS Robotics Are ‘Wide Open’ to Vulnerabilities (англ.). Threatpost (20 марта 2018). Дата обращения: 14 января 2026.
  16. Uchill, Joe. Hacker group invades ASUS computers through official updates (англ.). Axios (25 марта 2019). Дата обращения: 22 января 2026.
  17. 'Operation Triangulation' Spyware Attackers Bypass iPhone Memory Protections. Dark Reading (англ.). Архивировано 27 ноября 2025. Дата обращения: 14 января 2026.
  18. Операция Триангуляция: как экспертам «Лаборатории Касперского» удалось обойти защиту злоумышленников. securitymedia.org (11 марта 2023). Дата обращения: 14 января 2026.
  19. Эксперты Kaspersky GReAT обнаружили сложную кампанию группы Lazarus. РБК Компании. Дата обращения: 14 января 2026.
  20. Шпионский софт Dante от Memento Labs впервые засветился в кибератаках. Anti-Malware.ru (27 октября 2025). Дата обращения: 14 января 2026.
  21. Bugging the Bug Market (англ.). Threatpost (10 февраля 2014). Дата обращения: 14 января 2026.
  22. Security Analyst Summit 2016: Взломать за 60 секунд (англ.). Издательство «Открытые системы». Дата обращения: 14 января 2026.
  23. U.S. Gives Cybersecurity Advice to Critical Infrastructure Operators—But No Rules - IEEE Spectrum (англ.). spectrum.ieee.org. Дата обращения: 14 января 2026.
  24. Andy Greenberg. Hacker Eva Galperin Has a Plan to Eradicate Stalkerware (амер. англ.) // Wired. — ISSN 1059-1028.
Эта статья взята у (из) Википедия. Текст лицензируется по Creative Commons Attribution-Share Alike 4.0. К медиа файлам могут применятся дополнительные условия.