Новый ландшафт киберугроз: как изменилась тактика хакеров в Украине и мире

В один из декабрьских вечеров 2015 года жители Ивано-Франковской и Киевской областей даже не поняли, что стали жертвами масштабной хакерской атаки на облэнерго. Об этом узнали уже из новостей и соцсетей. Нападение удалось отбить, отключение электроэнергии длилось недолго. Однако эти и подобные атаки, начиная с 2015-го, стали четким подтверждением тезиса: объекты критической инфраструктуры, государственных органов и цифровых сервисов нуждаются в усиленной защите. DDOS-атаки на сайты Сбербанка, ПриватБанка, Минобороны, ВСУ и других структур 15 февраля и месяцем ранее стали этой яркой иллюстрацией.

В то же время, с ростом количества киберштурмов изменяются и подходы злоумышленников к атакам. Не взлом напрямую, а поиск уязвимых точек; не фишинг – а атаки на компьютеры и системы отдельных людей; не спам – а удар по всей цепочке поставок. Об этих и других вызовах, которые должно учитываться как бизнес, так и государство, далее в материале.

Как происходят кибератаки на цепочку поставок

В последние годы злоумышленники атакуют не напрямую, а заходят через третьих лиц или контрагентов. В следующем году эта тенденция будет продолжаться. Это объясняется простой логикой: зачем взламывать и так защищенную систему, если можно приложить минимум усилий и сломать ее партнеров.

Подписывайтесь на Telegram-канал delo.ua

Как это работает: заражаются файлы или компьютер, например компании-поставщика, юридического партнера, бухгалтера на аутсорсе — кого-либо. И при пересылке документов или иного взаимодействия вирус с легкостью попадает в цель и инфицирует нужную ему систему. Поэтому вызовом становится не просто защита отдельного предприятия, но и отработка взаимодействия с внешними контрагентами.

Ведь в 1990-х и еще в начале 2000-х крупные предприятия прописывали программы доступа и безопасности под себя и практически изолировались от внешнего взаимодействия. Сегодня так не удастся поступить. Поэтому выход - объединяться с партнерами, разрабатывать безопасные способы взаимодействия с ними и проверять своих контрагентов.

Что нужно знать о проникновении через USB-накопители

С ростом облачных сервисов и цифровизацией ряда производственных процессов растет другой, противоположный своему действию, сегмент хакерских атак — через USB-устройства (от флешек, карт памяти до разнообразных зарядок, передатчиков, цифровых идентификаторов и т.п.). Количество изломов из-за зараженного USB программного обеспечения является одним из наиболее быстрорастущих, но одновременно и наиболее невыявленных векторов угроз, с которыми сегодня сталкиваются технологические и коммунальные предприятия. Об этом свидетельствуют данные отчета американской компании Honeywell, более 100 лет автоматизирующей и защищающей системы управления предприятиями по всему миру.

Эксперты по кибербезопасности проанализировали полученную информацию об угрозах и атаках сотен промышленных объектов по всему миру в течение 12 месяцев (с июня 2020 года по июнь 2021-го). Исследование продемонстрировало : злоумышленники за последний год все активнее атакуют промышленные системы управления (ICS), в том числе 37% кибернападений совершаются из-за вредоносного программного обеспечения, написанного специально для использования USB-устройствами. В то время как еще в 2020-м эта цифра составляла 19%.

Более того, 79% всех киберугроз, поступающих от съемных носителей, могут критически повлиять на управление операционными технологиями (OT) предприятий. То есть только пятая часть троянов или вирусов-требователей не приведет к серьезным сбоям или остановке работы, остальные могут парализовать предприятие, а затем нанести ущерб или ущерб конечным потребителям. Поэтому в последующие годы как частному сектору, так и коммунальным предприятиям следует проработать механизмы, обеспечивающие использование USB-устройств.

Почему атаки через системы удаленного доступа – последний тренд

С 2020 г. частные и государственные структуры начали активно переходить на цифровое управление. Если раньше, например, подачей воды, электроэнергии или газа, управляли с помощью физических рычагов, которые можно было переключать буквально в ручном режиме, то сегодня это осуществляется в цифровом формате. То есть если, скажем, генерирующая станция была как бы отдельной структурой предприятия и нуждалась в отдельном персонале, чтобы управлять ею, то сегодня с этим может справиться один человек. Оператор может управлять несколькими такими станциями и в случае проблемы дистанционно перезагрузить и осмотреть оборудование.

С одной стороны, это уменьшает количество персонала, обслуживающего подобные системы. Но с другой – увеличивает пространство возможностей для хакеров. Ведь получив доступ к одному компьютеру, можно нанести вред целой системе.

Как это произошло в феврале 2021 года в городе Олдсмари в штате Флорида. Тогда хакер через TeamViewer подключился к компьютеру одного из работников водоочистной станции и увеличил уровень щелочи (гидроксид натрия) в воде до опасных размеров. Настолько, что если бы атака удалась , воду не то что нельзя было пить — к ней прикасаться было бы опасно. Атака ярко проиллюстрировала, как уязвимыми могут быть системы компаний критической инфраструктуры. А также подняла тему незащищенности удаленного доступа, к которому через пандемию прибегают компании и сотрудники.

Как взламывают устройства IoT, облачные сервисы и приложения

В 2012 году производитель компьютерных сетевых продуктов из США TRENDnet попал в репутационный скандал. Данные по радионяням, камерам наблюдения в офисах и частных домах оказались незащищенными и кто-либо мог шпионить за пользователями. С ростом количества "умной техники" увеличивается и количество рисков. Роутеры, холодильники, камеры слежения – все, что имеет выход в интернет на предприятии, расширяет возможности для атаки. Хакеры создают собственные программы или же пользуются поисковиками вроде Shodan, которые анализируют слабо защищенные серверы, подключенные к сети и атакуют уязвимые точки.

К примеру, для одного казино из США, название которого не раскрывают, такой точкой стал smart-термометр, размещенный в холле заведения, контролировавшего температуру воды. Хакеры получили к нему доступ, затем закрепились в сети, а оттуда зашли в базу данных, которую транспортировали опять-таки через облако.

Почему скорость атак увеличивается и как защититься

DDoS-атака на ПриватБанк, Сбербанк и сайты госструктур 15 февраля 2022 началась с рассылки смс клиентам с подозрительного номера о том, что сервисы не будут работать. Далее последовала непосредственно атака, когда сервисы банков и госучреждений DDoSили и в результате их пришлось даже выключить из сети. На самом деле атака была не столь мощной - просто ее не смогли удержать государственные серверы. Почему так произошло причина для другого материала, но сейчас хочу обратить внимание на скорость.

Сегодня скорость киберштурмов постоянно растет. Соответственно, должна расти и скорость реагирования: перенос на другой сервер, разделение трафика, скрытие IP-адреса, отражение атак в облачных сервисах. Все это должно выполняться в считанные минуты. Иначе простые сайты и сервисы могут вылиться в репутационные и финансовые кризисные моменты. Сегодня это серьезный вызов, который имеют государственные службы и бизнес.

Но во всем этом есть и положительная сторона. Появился другой тренд – объединенность и сотрудничество, совместная наработка новых решений и технологий. Причем, как между компаниями, так и между целыми странами. Вызовы безопасности были, есть и всегда будут. Главная задача сейчас: научиться оперативно реагировать на них, уметь предвидеть потенциальные угрозы, оценивать риски и обмениваться опытом.