В первом полугодии число киберинцидентов в Украине выросло в 2,3 раза, но критических атак стало впятеро меньше

Таким образом, как констатируют в CERT-UA, в среднем вражеские хакеры пытались атаковать украинские информационно-коммуникационные системы четыре-пять раз в сутки. При этом в течение второго полугодия 2022 года было зарегистрировано 342 таких инцидента (без учета инцидентов SOC), то есть в среднем – один-два в сутки.

В то же время, по данным специалистов, изложенным в полугодовом аналитическом отчете, в этом году доля именно критических инцидентов радикально уменьшилась: за январь-июнь было зарегистрировано 27 критических инцидентов против 144 (в 5,3 раза больше) в прошлом полугодии.

"Эту тенденцию мы считаем значительным успехом, достигнутым в результате усиления государственно-частного сотрудничества, повышения доверия предприятий и организаций к CERT-UA, подключения компаний к платформам обмена индикаторами угроз MISP и другим факторам", - говорится в сообщении.

Подписывайтесь на Telegram-канал delo.ua

Кроме того, согласно отчету, за январь-июнь зафиксировано 183 инцидента критического и высокого уровней, что почти вдвое меньше, чем в прошлом полугодии (339), и почти в четыре раза меньше, чем за аналогичный период 2022 года (683). Более чем вдвое – с 290 до 138 – упало количество случаев распространения вредоносного программного обеспечения через электронную почту.

Также в первом полугодии было зафиксировано только 55 инцидентов (из которых 8 критических с зарегистрированными последствиями) в энергетическом секторе. В июле-декабре 2022 года таких было 141 (из чего 16 – критические инциденты с последствиями). Количество деструктивных операций возросло с 30 до 34, а общее количество операций влияния упало, опять же, почти вдвое - с 518 до 267.

"Для некоторых российских групп, пользующихся примитивными подходами к распространению ВПО (в частности, для части крымского ФСБ), применять подход "вдруг повезет" уже становится труднее", - отмечают в CERT-UA.

Специалисты указывают, что защищенность украинской инфраструктуры значительно улучшилась по сравнению с ситуацией полугодовой давности за счет государственно-частного сотрудничества, подключения компаний к платформе обмена индикаторами угроз Malware Information Sharing Platform и увеличения доверия к CERT-UA и SOC Государственному центру киберзащиты Госспецсвязи.

"К тому же новый всплеск количества фишинговых атак имел более приоритетное значение, чем успешные заражения ВПО. Несмотря на то, что атакующие становятся более агрессивными, Украина также наращивает экспертизу и устойчивость за счет мобилизованных IT-специалистов", - говорится в отчете.

Отмечается, что хотя злоумышленникам становится все сложнее наносить значительный ущерб, они все еще много добивают успехов в разрушительных операциях — прежде всего там, где есть "самоуверенные IT-администраторы, которые не верят в государственно-частное партнерство".

"Именно логин/пароль администраторов IT-систем и сетей является главной целью хакера в скомпрометированной системе, потому что администраторы часто уверены в своей неприкосновенности. В таких случаях как раз реализуется худший сценарий, когда злоумышленники могут оставаться в системах длительное время, поскольку IT-команда зачистила все машины, кроме своих", - указывают в CERT-UA.

По статистике, за полгода 185 инцидентов зафиксировано в правительственных учреждениях, 125 – в местных органах власти, 73 – в медиа, 55, как уже отмечалось, – в сфере энергетики, 47 – в сфере безопасности и обороны.

42 раза сталкивались с атаками телеком-провайдеры, 19 – предприятия в сфере логистики и транспорта, 5 – заведения здравоохранения, 4 – сферы IT. Еще 408 киберинцидентов касались коммерческих и общественных организаций, которые не попали ни в одну из указанных категорий.

"В первом полугодии 2023 года ФСБ, ГРУ и СВР продолжали наращивать шпионские операции с закреплением через импланты, направленные на сбор разведывательных данных. С другой стороны, некоторые группы сохраняли склонность к деструктивным операциям", - отмечают в CERT-UA.

Согласно выводам правительственной команды, российские APT-группировки часто возвращались к предыдущим жертвам, спекулируя на осведомленности об их инфраструктуре и признавая важность этих целей как для сбора разведывательных данных, так и с целью нанесения ущерба.

Опираясь на наблюдение за их поведением, содержащим постоянные попытки шпионажа и имплантации, CERT-UA предполагает, что основной задачей этих групп является выяснение по указанию военного командования информации, собранной украинскими правоохранительными органами, а именно о:

- текущей ситуации и делах, которые готовятся к передаче в суд;
- информации, которую удалось собрать Службе безопасности Украины и другим правоохранительным органам в качестве доказательной базы для будущих арестов;
- планах и доказательствах, собранных украинскими правоохранительными органами для международных судов;
- списках важных свидетелей и заинтересованных сторон для будущих судов над военными преступниками;
- арестованных лицах и том, как помочь им избежать ответственности и попасть в Россию;
- персональных идентификационных данных и информации о лицах, в отношении которых правоохранители обращаются в суд или прокуратуру за разрешениями на арест или допрос;
- элитных солдатах и офицерах, взятых в плен во время боевых действий и подлежащих или не подлежащих обмену.

"Совершая повторные атаки на ранее скомпрометированные цели, субъекты угрозы намерены воспользоваться полученными знаниями о внутренних процессах, персонале, каналах коммуникации и уязвимости этих организаций. Они осознают, что полученные разведывательные данные могут им дать значительное преимущество при организации будущих кибератак", - указывается в отчете.

Как отмечают в CERT-UA, такая стратегия "Жертва один раз - жертва всегда" подчеркивает текущую и все большую угрозу для организаций от деятельности киберпреступников, эксплуатирующих полученные сведения для максимизации последствий своих атак, что указывает на необходимость надежных и адаптивных мер кибербезопасности для противодействия таким постоянным угрозам.