ESET: кількість потенційних векторів атак збільшилась
ESET: Збільшилася кількість потенційних векторів атаки
Пандемія спровокувала нову хвилю цифрової трансформації у всьому світі. І державні інституції не залишилися осторонь від цього процесу. Завдяки розширенню цифрової інфраструктури, зокрема, створенню нових додатків і сервісів, віддалених робочих місць і переходу в хмарне середовище, збільшилася кількість потенційних векторів атак.
Кіберзлочинці не могли не скористатися ситуацією з пандемією і збільшенням кількості співробітників, які отримують доступ до корпоративних даних, а також ІТ-інфраструктури з дому. Зокрема, у 2020 році на 768% зросла кількість спроб RDP-атак, спрямованих на віддалених співробітників. Крім того, кіберзлочинці активно використовували інтерес до теми COVID-19, поширюючи шкідливі додатки для відстеження контактів хворих на коронавірус або відправляючи листи нібито від імені державних органів з фейковими новинами про пандемію.
Наприклад, кіберзлочинна група XDSpy розповсюджувала фішингові електронні листи з темою COVID-19, щоб заразити свої цілі . Протягом багатьох років група скомпрометувала багато урядових структур, включаючи військові організації, міністерства закордонних справ та приватні компанії у Східній Європі та на Балканах.
Крім того, все більшого поширення набувають кібератаки, спрямовані на зрив надання послуг, крадіжку даних або компрометацію стратегічної національної інфраструктури. Серед найвідоміших інцидентів за останній час – злом SolarWinds Orion, несанкціоноване використання Microsoft Exchange, атаки на інструмент моніторингу ІТ-інфраструктури Centreon та на системи охорони здоров'я у Франції та Німеччині, а також збільшення кількості атак на школи, університети та освітні ІТ-платформи.
Очікується, що кіберзлочинці продовжать удосконалювати свою тактику, використовуючи тему COVID-19 і орієнтуючись на загальні програми.
Основними об'єктами шпигунських операцій є великі організації та державні установи, такі як міністерства закордонних справ, посольства та інші дипломатичні представництва. Для крадіжки конфіденційної інформації у таких цілей зловмисники використовують різні витончені методи атаки. Їх спільною рисою є прихована активність, яка дозволяє якомога довше залишатися непоміченою в мережі жертви.
Прикладом такого шкідливого ПЗ є новий бекдор Crutch для крадіжки документів, який належить відомій групі кіберзлочинців Turla. Дослідники ESET виявили милицю в мережі Міністерства закордонних справ однієї з країн Європейського Союзу. Крім того, група Turla APT використовує і інші складні інструменти. До них відносяться безфайлові загрози, такі як завантажувач PowerShell з відкритим вихідним кодом для запобігання виявленню, і зловмисне програмне забезпечення LightNeuron, націлене на сервери Microsoft Exchange.
Ще однією небезпечною групою кіберзлочинців є "Гамаредон", який відомий своїми атаками на державні органи в Україні. Ця група додає шкідливі макроси в документи Microsoft Word і Excel, поширюючи таким чином загрози. Використовуючи законні інструменти, які використовуються в державних і бізнес-структурах, Гамаредон швидко знаходить доступні конфіденційні дані, а потім поширюється по мережі.
Однією з найнебезпечніших загроз для державних органів є потрапляння в їх мережу програм-вимагачів, які шифрують важливі дані і вимагають великих сум для їх розблокування.
Зокрема, у жовтні 2020 року фахівці ESET у співпраці з Microsoft та кількома правоохоронними органами викрили ботнет Trickbot , за допомогою якого зловмисники не лише викрадали гроші з банківських рахунків, а й заразили організації, розгорнувши програму-вимагач Ryuk та вимагаючи викуп.
Цікаво, що за даними телеметрії ESET, зі зниженням активності Trickbot кількість виявлених зразків бот-мережі Emotet збільшилася. Зв'язок між цими двома загрозами дозволив нейтралізувати в січні 2021 року і Emotet під час масштабної операції Європолу і ряду правоохоронних органів Європи і Північної Америки.
Варто відзначити, що такі групи кіберзлочинців часто можуть тижнями або місяцями збирати інформацію в заражених системах і тільки потім розгортати програми-вимагачі. Деякі кіберзлочинці намагаються таким чином отримати прибуток, а інші мають на меті підірвати довіру до державних органів в тій чи іншій країні.
Втручання в ланцюжок поставок - це не нова техніка. Однак діджиталізація і вигоди від співпраці зі сторонніми постачальниками, в свою чергу, підвищили ризик подібних атак. Зокрема, останнім часом основна увага була приділена компромісу програмного забезпечення SolarWinds Orion. Тисячі користувачів цієї платформи опинилися в зоні ризику, а зловмисникам і АРТ-групам надали можливості для масштабної діяльності.
Крім того, дослідники ESET за останні кілька місяців виявили кілька інших атак на ланцюжок поставок – від використання зламаних додаткових інструментів безпеки для поширення шкідливого коду до атак на програмне забезпечення корпоративного чату, від компрометації центру сертифікації до зараження емулятора Android.
З огляду на складність виявлення таких атак і їх прибутковість для кіберзлочинців, їх кількість, швидше за все, продовжить зростати в найближчому майбутньому по всьому світу.
Перехід на дистанційний режим роботи призвів до зростання ризиків для всіх роботодавців, а отже, і для державних органів. При цьому найближчим часом ситуація суттєво не зміниться, оскільки новий формат роботи стане частиною моделі функціонування організацій навіть після пандемії. Однак з точки зору безпеки домашня мережа з більшою ймовірністю стане об'єктом кібератак.
За попередніми оцінками, 23% інцидентів кібербезпеки сталися через помилки персоналу. Зловмисники часто користуються інтуїтивним бажанням користувачів швидко натиснути на посилання, яке виглядає так, ніби воно безпечне. Однак деякі з найбільших порушень були викликані діями досвідчених ІТ-фахівців, зокрема через підключення персональних пристроїв співробітників до корпоративних систем, неправильну конфігурацію хмарних систем та інші помилки.
Крім того, згідно зі Звітом про загрози в Інтернеті за 2020 рік, кількість повідомлень про інциденти, викликаних інсайдерами, зросла на 47%. Причиною багатьох подібних інцидентів є не тільки людська помилка, а й дії незадоволених співробітників. Зокрема, персонал може вчинити крадіжку даних, завдати фізичної шкоди і видалити акаунти з метою помсти, особистої вигоди або в інтересах нового роботодавця.
Через складність атак складно передбачити, які вразливості зловмисники будуть використовувати в наступний раз, з якими інструментами і якими будуть їх цілі. Однак інституції вже можуть готуватися до сучасних векторів атаки за допомогою багаторівневої системи безпеки.
Зокрема, хмарна пісочниця допоможе захиститися від «0-денних» загроз, а повний огляд діяльності робочих станцій і своєчасне реагування на інциденти забезпечить EDR-рішення. Рішення для запобігання втраті даних захистить від витоку даних, що допоможе виявити підозрілі дії з конфіденційною інформацією. Крім того, важливо також забезпечити регулярне оновлення програмного забезпечення, резервне копіювання та захист робочих станцій.
Наприкінці минулого року однією з позитивних тенденцій у сфері кібербезпеки, як і в боротьбі з коронавірусом, є поява міцного партнерства між державними органами та приватним сектором для вирішення нагальних проблем. Компанія ESET розуміє важливість такої взаємодії та готова співпрацювати з державними органами для підвищення безпеки цифрового світу.
