Иностранные кибершпионы и облачные воры: какие веб-инциденты потрясли Казахстан в 2023 году

4702

В новом году киберпреступники будут использовать более утонченные методы, основанные на искусственном интеллекте, прогнозируют специалисты.

Иностранные кибершпионы и облачные воры: какие веб-инциденты потрясли Казахстан в 2023 году Фото: pixabay.com

АО "Государственная техническая служба" опубликовало очередной выпуск кибердайджеста, посвященного инцидентам в области информационной безопасности (ИБ) в Казахстане за 2023 год, передает inbusiness.kz.

Прошедший год оказался богатым на события и вызовы в области информационной безопасности, с которыми сталкиваются как индивиды, так и организации. Угрозы ИБ постоянно эволюционируют, а киберпреступники находят новые способы атак, чтобы получить доступ к чувствительной информации.

ГТС вспоминает самые значимые и влиятельные инциденты в области ИБ, произошедшие в Казахстане и мире.

Обзор компьютерных инцидентов внутри страны

В начале текущего года стало известно об утечке персональных данных клиентов сети спортивных магазинов "Спортмастер" из стран СНГ. Список содержал в себе более 260 000 строк с данными граждан Казахстана. Актуальность данных охватывает период с 15.09.2012 по 18.05.2018 года. Файл содержит в себе имена, даты рождения, номера телефонов и адреса электронных почт.

В одной из организаций квазигосударственного сектора РК обнаружено заражение сети вирусом-шифровальщиком. Для дешифровки злоумышленники потребовали выплату в биткоинах. Предварительный анализ показывал, что организация не соблюдала требований постановления правительства РК от 20 декабря 2016 года № 832 "Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности".

Уязвимость одного образовательного сайта — причина компрометации 40 казахстанских сайтов. В марте 2023 года обнаружен веб-шелл на одном из интернет-ресурсов частных образовательных учреждений. Загрузка веб-шелла осуществляется из-за уязвимостей веб-приложения или неправильной конфигурации. В ходе анализа инцидента информационной безопасности выявлено более 40 интернет-ресурсов, которые находятся на данном веб-сервере и, вероятно, уже были скомпрометированы.

В инфраструктуре государственных организаций выявлены иностранные кибершпионы. В марте 2023 года АО "ГТС" совместно с КНБ РК сообщило о выявлении хакерской группировки, которая осуществляла кибершпионаж путем негласного сбора документов из инфраструктур нескольких государственных органов и организаций. Злоумышленникам удалось скомпрометировать основные элементы информационно-коммуникационных инфраструктур государственных органов и организаций, в том числе были зафиксированы факты компрометации рабочих станций руководителей. Они вели высокотехнологичный кибершпионаж, при котором государственные организации не подозревали о наличии постороннего в своей инфраструктуре. Все работало, как и прежде, антивирусное программное обеспечение выявляло только ранее известное вредоносное программное обеспечение, электронные документы на компьютерах не пропадали, инфраструктура работала стабильно, и не возникало подозрений, что некие сторонние силы крадут сведения, циркулирующие в организации. Хакеров интересовала только "чувствительная" информация, они не крали все подряд.

В мае 2023 года обнаружено 17 IP-адресов, предположительно подверженных критическим уязвимостям с идентификаторами CVE-2022-24816 и CVE-2023-25157. Обнаруженные IP-адреса принадлежат крупным компаниям квазигосударственного сектора Казахстана. GeoServer применяется в различных отраслях, таких как геология, экология, геодезия, сельское хозяйство, управление городами и др., где пространственные данные являются важными компонентами для принятия стратегических решений.

В июле 2023 года в Казахстане выявлено 17 тысяч роутеров, которые потенциально подвержены уязвимости MikroTik. 5128 роутеров имеют явные признаки ее наличия.

Известно, что для подписания запроса на получение госуслуги необходимо установить NCALayer. В сентябре текущего года выявлен фишинговый интернет-ресурс ncalayer.info/update.php, при открытии которого под видом обновления для NCALayer загружается и запускается вредоносная программа типа Trojan Downloader. Особенностью этой вредоносной программы является то, что она обладает функционалом кейлоггера, кражи данных, скрытного дистанционного управления компьютером (VNC), а также управления веб-камерой. В конечном результате злоумышленник имеет возможность считывать информацию, набираемую на клавиатуре, просматривать пароли, в т. ч. с браузеров, а также установить сторонние приложения.

В казахстанском сегменте Интернета в октябре текущего года обнаружены 27 IP-адресов, использующих продукты Citrix NetScaler ADC и NetScaler Gateway, которые потенциально подвержены уязвимости с высоким уровнем критичности идентификатора CVE-2023-3519. Злоумышленник, воспользовавшись уязвимостью, может внедрить вредоносное ПО, похитить конфиденциальные данные и произвести дальнейшие атаки на сеть, что поставит под угрозу безопасность инфраструктуры всей сети.

В ноябре 2023 года зафиксировано увеличение количества инцидентов информационной безопасности, связанных с утечкой персональных данных. Причиной утечки являются инфостилеры, вредоносные программные обеспечения (ВПО), которые нацелены на кражу личных данных (пароли, банковские данные и другие чувствительные сведения) с зараженных компьютеров. Этот тип ВПО создан для скрытой работы и передачи украденных данных злоумышленникам.

Кибергигиена

Почему это важно? Основная причина реализации инцидентов  несоблюдение кибергигиены.

Команда АО "ГТС" регулярно проводит работу по оповещению, разбору инцидентов и проведению лекций по кибергигиене, включая основные аспекты безопасного использования Интернета, защиты от фишинга, обзор современных угроз ИБ и т. д. Лекционные мероприятия направлены на повышение общей осведомленности и обучение практическим навыкам безопасности пользователей в цифровом мире.

В настоящее время растет процентная доля целевых фишинговых атак, организуемых через рассылку писем по электронной почте, мессенджерам и т. д.

Люди получают тщательно разработанные фишинговые сообщения, провоцирующие их вводить конфиденциальные/персональные сведения – логин и пароль, которые дают доступ к чувствительной информации, в том числе к корпоративным сетям или базам данных организаций и компаний. Целевые фишинговые письма могут содержать ВПО, в большинстве случаев это программное обеспечение для удаленного доступа, вредоносного программного обеспечения.

Международные угрозы и события

Регулярный анализ в течение года международных угроз и событий в области информационной безопасности оправдан по ряду ключевых причин. В первую очередь, динамичная природа угроз информационной безопасности требует регулярного мониторинга, так как злоумышленники постоянно совершенствуют свои методы атак. Только систематический анализ поможет выявлять новые угрозы и эффективно реагировать на них.

В 2023 году в международном сообществе были распространены следующие типы угроз и инцидентов информационной безопасности, направленные на крупных игроков мирового рынка:

  • Атаки на конечные точки (Endpoint-Based Attacks).
  • Атаки с использованием программ-вымогателей.
  • Атака на цепочку поставок 3CX.
  • Утечка данных (data leak).
  • Несанкционированный доступ (кибератаки).
  • Уязвимости.
  • Облачные кражи информации.

Подробнее об инцидентах на сайте STS.KZ.

Постоянное обновление стратегий и методов в области защиты становится ключевым элементом в устойчивой кибербезопасности. Актуальные данные и аналитика об угрозах обеспечивают организации необходимой информацией для адаптации и усовершенствования своих стратегий. Этот цикл постоянного обновления и анализа создает механизм, который позволяет минимизировать риски, связанные с кибератаками и поддерживать высокий стандарт безопасности в цифровой среде.

Статистика по киберинцидентам

С января 2023 года командой "ГТС" было зарегистрировано порядка 35 тысяч заявок по угрозам и инцидентам информационной безопасности:

  • ВПО – 21 940.
  • Ботнет – 4040.
  • Эксплуатация уязвимости – 2726 инцидентов ИБ.
  • Фишинговая атака – 2160 инцидентов ИБ.
  • Отсутствие доступа к интернет-ресурсу – 1090 инцидентов ИБ.

ТОП-5 ИР по общей длительности недоступности:

С начала 2023 года зафиксировано 272 события связанных с DDoS-атаками.

Типы DDoS-атак, направленных на БВУ РК:

Типы DDoS-атак, направленных на ГО РК:

Типы DDoS-атак, направленных на квазигосударственный сектор:

Типы DDoS-атак, направленных на КВОИКИ:

Отмечается, что из 272 событий зарегистрировано и отработано 152 инцидента ИБ.

Мероприятия по международному обмену информацией в части выявленных угроз информационной безопасности и компьютерных инцидентов:

В 2023 г. по результатам отработки событий и инцидентов ИБ НКЦИБ в зарубежные организации 78 государств направлено 1832 оповещения (сведения, полученные с оборудования единого шлюза доступа к Интернету и единого шлюза электронной почты (IPS/IDS).

Со стороны зарубежных организаций 32 государств в адрес НКЦИБ поступило 738 оповещений.

Сведения об атаках на клиентов ЕШДИ.

В 2023 году количество попыток найти брешь в защите клиентов ЕШДИ зафиксированы с использованием инфраструктуры стран, указанных в графиках.

Сведения о вредоносной активности, направленной на клиентов ЕШДИ с целью эксплуатации уязвимости CVE-2023-28771, за 2023 год – более 223 млн.атак:

Пик вредоносной активности с использованием инфраструктуры Украины приходится на июль месяц и почти все они (95%) связаны с попытками эксплуатации уязвимостей в оборудованиях Zyxcel (Zyxel.Firmware.error.message.Command.Injection).

С информацией об уязвимости можно ознакомиться по ссылке. По сведениям Forti, уязвимость затрагивает оборудования Zyxcel, используемые для защиты промышленных систем (SCADA – Supervisory Control And Data Acquisition).

Доля атаки, которая была направлена на госсектор (МИО-44%, ГО-18%), составила 62%. Атаки преимущественно были направлены на северные регионы РК (Северо-Казахстанская область, Акмолинская область, Костанайская область).

Сведения о вредоносной активности, направленной на клиентов ЕШДИ – топ-5 атакующих (с использованием инфраструктуры) стран:

Будущие тенденции и прогнозы

Искусственный интеллект (ИИ) и машинное обучение.

В 2024 году ожидается, что развитие ИИ значительно продвинется и принесет с собой множество новых возможностей и вызовов. Стоит также отметить, что одной из главных областей, где ИИ уже демонстрирует себя с большим успехом, является медицина. Врачебные программы на основе ИИ способны диагностировать заболевания с высокой точностью и предлагать оптимальные методы лечения. Это позволяет своевременно обнаружить и бороться с различными заболеваниями, а также повышает эффективность работы медицинских учреждений.

Еще одним направлением, где ИИ обещает революционные изменения, является автоматизация процессов в различных отраслях экономики. С помощью ИИ будет возможно создавать умные системы управления производством, оптимизировать логистические процессы, улучшать качество контроля и многое другое. Это значительно повысит эффективность работы предприятий и позволит снизить затраты.

Применение искусственного интеллекта и машинного обучения в информационной безопасности приносит многочисленные преимущества. Эти технологии обладают способностью улучшать человеческие возможности, проводить быстрый анализ обширных объемов данных, распознавать сложные закономерности и взаимосвязи, а также эффективно адаптироваться к новым угрозам информационной безопасности.

В перспективе информационная безопасность искусственного интеллекта, поддерживаемая машинным обучением, станет "мощным" инструментом. Как и во многих других отраслях, человеческое взаимодействие давно уже играет ключевую и неотъемлемую роль в обеспечении безопасности. Несмотря на то, что на данный момент эффективность информационной безопасности в значительной степени зависит от человеческого участия, стоит отметить, что технологии все более успешно справляются с определенными задачами по сравнению с человеческими возможностями.

Генеративный ИИ используется по обе стороны битвы.

Поскольку искусственный интеллект (ИИ) развивается ускоренными темпами, растет обеспокоенность по поводу распространения все более сложных и интеллектуальных атак, управляемых ИИ. Спектр угроз включает в себя "дипфейковые" попытки социальной инженерии, а также автоматизированные вредоносные программы, которые демонстрируют интеллектуальное поведение, позволяющее обойти обнаружение различными средствами защиты.

Одновременно эта технология поможет выявлять, избегать или минимизировать потенциальные риски за счет использования обнаружения аномалий в реальном времени, интеллектуальной аутентификации и механизмов автоматического реагирования на инциденты информационной безопасности.

Вредоносные программы-вымогатели.

Вредоносные программы-вымогатели часто воспринимаются как более распространенная и разрушительная угроза информационной безопасности. Данная угроза остается значительной и ожидается сохранение ее важности в следующем году.

Киберпреступники будут использовать более сложные и утонченные методы, в том числе внедрение программ-вымогателей, основанных на искусственном интеллекте. Эти программы будут способны адаптироваться к изменениям в среде безопасности и обходить традиционные меры защиты. Надо подчеркнуть, что тактика двойного вымогательства, при которой злоумышленники сначала крадут конфиденциальные данные, а затем шифруют их, будет дальше развиваться, создавая дополнительное давление на потенциальных жертв и вынуждая их платить выкуп.

Фишинг

Из-за своей способности манипулировать человеческой психологией фишинговые атаки и атаки социальной инженерии продолжают оставаться эффективными. Фишинговые атаки включают в себя использование электронных писем или веб-страниц с целью обмана пользователей. Ожидается, что в течение следующих двенадцати месяцев эти атаки станут более изощренными, целенаправленными и убедительными. Злоумышленники могут использовать технологию глубокой подделки, чтобы выдавать себя за доверенных лиц или манипулировать видео/аудио контентом, что еще больше затрудняет отличить подлинный контент от подделки. Осведомленность и обучение сотрудников основам информационной безопасности является важной тактикой, которую можно использовать для борьбы с угрозой фишинга.

Кибератаки на устройства IoT

Прогнозируется, что в 2024 году темпы роста популярности IoT будут продолжать увеличиваться. Интернет вещей (IoT) представляет собой крайне удобный и полезный комплекс технологий, который значительно облегчает как повседневную жизнь, так и операционную деятельность организаций. Несмотря на огромную популярность и удобство устройств IoT, они обладают своими недостатками, такими как наличие трудно выявляемых уязвимостей и отсутствие стандартизации. Устройство IoT является потенциально уязвимой точкой входа в сеть. Поэтому эти сети могут представлять собой первый этап в масштабных взломах, особенно когда атака направлена против конкретной организации.

Независимо от масштаба и типа окружающей среды, в которую внедряется система IoT, безопасность следует рассматривать на этапе проектирования для улучшения ее внедрения, защиты данных и предотвращения кибератак.

Защита критически важной инфраструктуры.

Кибератаки на критически важные инфраструктуры, такие как энергетические сети, транспортные системы и финансовые учреждения представляют собой значительную угрозу национальной безопасности и экономике. В 2024 году ожидается усиление мер по защите этих систем. Это может включать развитие специализированных решений для обнаружения и предотвращения атак, укрепление сотрудничества между государственными и частными организациями, а также повышение уровня готовности к инцидентам в критических отраслях.

Киберпреступность как услуга

Развитие киберпреступности как услуги (Cybercrime-as-a-Service) означает, что даже неопытные злоумышленники могут получить доступ к продвинутым инструментам для осуществления атак. Это включает в себя все — от аренды вредоносного ПО до покупки готовых кибератак на черном рынке. В результате барьер для входа в киберпреступность снижается, что может привести к увеличению числа и разнообразия атак. Организациям необходимо быть готовыми к более широкому спектру угроз и иметь комплексные системы защиты.

Облачная безопасность

Переход на облачные технологии продолжает набирать обороты, что требует от организаций особого внимания к облачной безопасности. Это включает в себя защиту данных, хранящихся в облаке, обеспечение безопасности API, а также управление доступом и идентификацией в облачной среде. Также важным аспектом является безопасность конфигурации облачных сервисов, поскольку неправильно настроенные облачные ресурсы часто становятся целью атак.

Противодействие внутренним угрозам

Внутренние угрозы  это один из наиболее сложных для обнаружения типов рисков. Они могут включать в себя не только преднамеренные действия сотрудников, но и случайные ошибки, приводящие к утечкам данных или другим проблемам безопасности. В 2024 году важно будет не только технологически контролировать и мониторить действия сотрудников, но и проводить регулярное обучение персонала, чтобы повысить осведомленность о потенциальных угрозах и методах их предотвращения.

Обучение и подготовка кадров

Недостаток квалифицированных специалистов в области кибербезопасности продолжает оставаться проблемой для многих организаций. Ожидается, что спрос на обученные кадры в этой области будет расти. Организациям необходимо инвестировать в обучение и развитие своих сотрудников, чтобы подготовить их к эффективному реагированию на угрозы информационной безопасности. Это может включать в себя специализированные курсы, воркшопы, участие в симуляциях кибератак и регулярные тренинги по повышению осведомленности в области информационной безопасности. Кроме того, университеты и образовательные учреждения, возможно, будут расширять и углублять свои программы по информационной безопасности, чтобы удовлетворить растущий спрос на специалистов.

Все это показывает, что организациям предстоит столкнуться с рядом новых и усиливающихся угроз. Это требует комплексного подхода, включающего в себя технологические инновации, обучение персонала, соблюдение законодательства и международное сотрудничество. Постоянное обновление знаний и навыков, а также адаптация к изменяющимся условиям будут ключевым фактором успешной защиты от угроз информационной безопасности.

Изображение Lukas с сайта Pixabay

Читайте по теме:

Вопрос с использованием Интернета Starlink в Казахстане урегулируют к концу 2024 года – Багдат Мусин

Telegram
ПОДПИСЫВАЙТЕСЬ НА НАС В TELEGRAM Узнавайте о новостях первыми
Подписаться
Подпишитесь на наш Telegram канал! Узнавайте о новостях первыми
Подписаться