У першому півріччі число кіберінцидентів в Україні зросло в 2,3 рази, але критичних атак стало вп'ятеро менше

Таким чином, як констатують у CERT-UA, в середньому ворожі хакери намагалися атакувати українські інформаційно-комунікаційні системи чотири-п’ять разів на добу. При цьому протягом другого півріччя 2022 року були зареєстровані 342 таких інциденти (без урахування інцидентів SOC), тобто у середньому – один-два на добу.

Водночас за даними фахівців, викладеними у піврічному аналітичному звіті, цьогоріч частка саме критичних інцидентів радикально зменшилася: за січень-червень було зареєстровано 27 критичних інцидентів проти 144 (в 5,3 рази більше) у минулому півріччі.

"Цю тенденцію ми вважаємо значним успіхом, досягнутим у результаті посилення державно-приватної співпраці, підвищення довіри підприємств і організацій до CERT-UA, підключення компаній до платформ обміну індикаторами загроз MISP та завдяки іншим факторам", - йдеться в повідомленні.

Підписуйтесь на Telegram-канал delo.ua

Крім того, згідно звіту, за січень-червень зафіксовано 183 інциденти критичного та високого рівнів, що майже вдвічі менше, ніж у минулому півріччі (339), та майже вчетверо менше, ніж за аналогічний період 2022 року (683). Більш ніж удвічі - з 290 до 138 - впала кількість випадків розповсюдження шкідливого програмного забезпечення через електронну пошту.

Також у першому півріччі було зафіксовано лише 55 інцидентів (з яких 8 критичних із зареєстрованими наслідками) в енергетичному секторі. У липні-грудні 2022 року таких був 141 (з чого 16 - критичні інциденти з наслідками). Кількість деструктивних операцій зросла з 30 до 34, натомість загальна кількість операцій впливу впала, знову ж таки, майже вдвічі - з 518 до 267.

"Для деяких російських груп, які користуються примітивними підходами до розповсюдження ШПЗ (зокрема, для частини кримського ФСБ), застосовувати підхід "раптом пощастить" вже стає тяжче", - зазначають у CERT-UA.

Фахівці вказують, що захищеність української інфраструктури значно покращилася порівняно з ситуацією піврічної давнини за рахунок державно-приватної співпраці, підключення компаній до платформи обміну індикаторами загроз Malware Information Sharing Platform і збільшення довіри до CERT-UA та SOC Державного центру кіберзахисту Держспецзв'язку.

"До того ж новий сплеск кількості фішингових атак мав більш пріоритетне значення, ніж успішні зараження ШПЗ. Попри те що нападники стають агресивнішими, Україна також нарощує експертизу та стійкість за рахунок мобілізованих ІТ-фахівців", - йдеться у звіті.

Зазначається, що хоча зловмисникам стає дедалі складніше завдавати значної шкоди, вони все ще багато де досягають успіхів у руйнівних операціях — насамперед там, де є "самовпевнені ІТ-адміністратори, які не вірять у державно-приватне партнерство".

"Саме логін/пароль адміністраторів ІТ-систем і мереж є головною ціллю хакера в скомпрометованій системі, тому що адміністратори часто впевнені у своїй недоторканності. У таких випадках якраз реалізовується найгірший сценарій, коли зловмисники можуть залишатися в системах тривалий час, оскільки ІТ-команда зачистила всі машини, окрім своїх", - вказують у CERT-UA.

За статистикою, за півроку 185 інцидентів зафіксовано в урядових установах, 125 - у місцевих органах влади, 73 - у медіа, 55, як вже зазначалося, - в сфері енергетики, 47 - в сфері безпеки та оборони.

42 рази стикалися з атаками телеком-провайдери, 19 - підприємства в сфері логістики й транспорту, 5 - заклади охорони здоров'я, 4 - сфери IT. Натомість ще 408 кіберінцидентів стосувалися комерційних та громадських організації, які не потрапили до жодної зі вказаних категорій.

"У першому півріччі 2023 року ФСБ, ГРУ та СВР продовжували нарощувати шпигунські операції з закріпленням через імпланти, спрямовані на збір розвідувальних даних. З іншого боку, певні групи зберігали схильність до деструктивних операцій", - зазначають у CERT-UA.

Згідно висновків урядової команди, російські APT-угруповання часто поверталися до попередніх жертв, спекулюючи на обізнаності з їхньою інфраструктурою та визнаючи важливість цих цілей як для збору розвідувальних даних, так і з метою завдання шкоди.

Спираючись на спостереження їхньої поведінки, яка містить постійні спроби шпіонажу та імплантації, CERT-UA припускає, що основним завданням цих груп є з’ясування за вказівкою військового командування інформації, зібраної українськими правоохоронними органами, а саме про:

- поточну ситуацію та справи, що готуються до передачі до суду;
- інформацію, яку вдалося зібрати Службі безпеки України та іншим правоохоронним органам як доказову базу для майбутніх арештів;
- плани й докази, зібрані українськими правоохоронними органами для міжнародних судів;
- перелік важливих свідків і зацікавлених сторін для майбутніх судів над воєнними злочинцями;
- осіб, яких було заарештовано, та те, як допомогти їм уникнути відповідальності та потрапити до Росії;
- персональні ідентифікаційні дані та інформацію про осіб, щодо яких правоохоронці звертаються до суду чи прокуратури за дозволами на арешт чи допит;
- елітних солдатів і офіцерів, яких було взято в полон під час бойових дій і які підлягають чи не підлягають обміну.

"Здійснюючи повторні атаки на раніше скомпрометовані цілі, суб’єкти загрози мають намір скористатися отриманими знаннями про внутрішні процеси, персонал, канали комунікації та вразливості цих організацій. Вони усвідомлюють, що отримані розвідувальні дані можуть їм дати значну переваги при організації майбутніх кібератак", - вказується у звіті.

Як зазначають в CERT-UA, такая стратегія "Жертва один раз — жертва завжди" підкреслює поточну й щораз більшу загрозу для організацій від діяльності кіберзлочинців, які експлуатують отримані відомості для максимізації наслідків своїх атак, що вказує на потребу в надійних і адаптивних заходах кібербезпеки, аби протидіяти таким постійним загрозам.