- Категорія
- ІТ та Телеком
- Дата публікації
- Змінити мову
- Читать на русском
Новий ландшафт кіберзагроз: як змінилася тактика хакерів в Україні і світі
Вчора через чергову DDoS-атаку знову перестали працювати кілька сайтів держорганів. Не минуло й 2 тижнів з моменту масштабної кібератаки не лише на українські держструктури, а й банки – швидкість кіберштурмів в Україні та світі постійно зростає і методи боротьби з ними треба суттєво змінювати
Одного з грудневих вечорів 2015 року жителі Івано-Франківської та Київської областей навіть не зрозуміли, що стали жертвами масштабної хакерської атаки на обленерго. Про це дізналися вже з новин і соцмереж. Напад вдалося відбити, вимкнення електроенергії тривало не довго. Однак ці та подібні атаки, починаючи з 2015-го, стали чітким підтвердженням тези: об’єкти критичної інфраструктури, державних органів і цифрових сервісів потребують посиленого захисту. DDOS-атаки на сайти Ощадбанку, ПриватБанку, Міноборони, ЗСУ та інших структур 15 лютого й місяцем раніше стали цьому яскравою ілюстрацією.
Водночас з ростом кількості кіберштурмів змінюються і підходи зловмисників до атак. Не злам напряму, а пошук вразливих точок; не фішинг — а атаки на комп’ютери та системи окремих людей; не спам — а удар по всьому ланцюжку поставок. Про ці та інші виклики, які має враховувати як бізнес, так і держава, далі в матеріалі.
Як відбуваються кібератаки на ланцюжок поставок
Останніми роками зловмисники атакують не напряму, а заходять через третіх осіб чи контрагентів. Наступного року ця тенденція триватиме далі. Це пояснюється простою логікою: навіщо зламувати й так захищену систему, якщо можна докласти мінімум зусиль і зламати її партнерів.
Як це працює: заражаються файли чи комп’ютер, наприклад, компанії-поставника, юридичного партнера, бухгалтера на аутсорсі — будь-кого. І під час пересилання документів чи іншої взаємодії вірус з легкістю потрапляє в “ціль” й інфікує потрібну йому систему. Тому нині викликом стає не просто захист окремого підприємства, але й відпрацювання взаємодії із зовнішніми контрагентами.
Адже в 1990-х та ще на початку 2000-х великі підприємства прописували програми доступу та мережевої безпеки під себе й практично ізолювалися від зовнішньої взаємодії. Сьогодні так не вдасться зробити. А тому вихід - об’єднуватися з партнерами, розробляти безпечні способи взаємодії з ними та перевіряти своїх контрагентів.
Що потрібно знати про проникнення через USB-накопичувачі
З ростом хмарних сервісів і цифровізацією низки виробничих процесів зростає інший, протилежний за своєю дією, сегмент хакерських атак — через USB-пристрої (від флешок, карт пам’яті до різноманітних зарядок, передавачів, цифрових ідентифікаторів тощо). Кількість зламів через заражене USB програмне забезпечення є одним з найбільш швидкорослих, але водночас і найбільш невиявлених векторів загроз, з якими сьогодні стикаються технологічні та комунальні підприємства. Про це свідчать дані звіту американської компанії Honeywell, яка понад 100 років автоматизує та захищає системи управління підприємствами по всьому світу.
Експерти з кібербезпеки проаналізували отриману інформацію про загрози та атаки з сотень промислових об’єктів по всьому світу протягом 12 місяців (з червня 2020 року по червень 2021-го). Дослідження продемонструвало: зловмисники за останній рік усе активніше атакують промислові системи управління (ICS), зокрема 37% кібернападів здійснюються через шкідливе програмне забезпечення, написане спеціально для використання USB-пристроями. Тоді як ще 2020-го ця цифра становила 19%.
Мало того, 79% усіх кіберзагроз, які надходять від знімних носіїв, можуть критично вплинути на управління операційними технологіями (OT) підприємств. Тобто лише п’ята частина троянів чи вірусів-вимагачів не призведе до серйозних збоїв чи зупинення роботи, решта — може паралізувати підприємство, а відтак завдати збитків чи шкоди кінцевим споживачам. Тож у наступні роки як приватному сектору, так і комунальним підприємствам варто пропрацювати механізми, які б убезпечували використання USB-пристроїв.
Чому атаки через системи віддаленого доступу - останній тренд
З 2020 року приватні та державні структури почали активно переходити на цифрове управління. Якщо раніше, наприклад, подачею води, електроенергії чи газу, керували за допомогою фізичних важелів, які можна було перемикати буквально в “ручному режимі”, то сьогодні це здійснюється в цифровому форматі. Тобто якщо, скажімо, генерувальна станція була ніби окремою структурою підприємства й потребувала окремого персоналу, щоб керувати нею, то сьогодні з цим може справитися одна людина. Оператор може керувати навіть кількома такими станціями та в разі проблеми дистанційно перезавантажити та оглянути обладнання.
З одного боку це зменшує кількість персоналу, який обслуговує подібні системи. Але з іншого - збільшує простір можливостей для хакерів. Адже отримавши доступ до одного комп’ютера, можна завдати шкоди цілій системі.
Як це сталося в лютому 2021 року в містечку Олдсмарі в штаті Флорида. Тоді хакер через TeamViewer під'єднався до комп’ютера одного з працівників водоочисної станції й збільшив рівень лугу (гідроксиду натрію) у воді до небезпечних розмірів. Настільки, що якби атака вдалася, воду не те що не можна було б пити — до неї торкатися було б небезпечно. Атака яскраво проілюструвала, наскільки вразливими можуть бути системи підприємств критичної інфраструктури. А також підняла тему незахищеності віддаленого доступу, до якого через пандемію вдаються компанії та співробітники.
Як зламують пристрої IoT, хмарні сервіси і додатки
2012 року виробник комп’ютерних мережевих продуктів зі США TRENDnet потрапив у репутаційний скандал. Дані з радіонянь, камер спостереження в офісах і приватних будинках виявилися незахищеними й будь-хто міг шпигувати за користувачами. З ростом кількості “розумної техніки” збільшується й кількість ризиків. Роутери, холодильники, камери стеження — усе, що має вихід в інтернет на підприємстві, розширює можливості для атаки. Хакери створюють власні програми або ж користуються пошуковиками на кшталт Shodan, що аналізують слабо захищені сервери, підключені до мережі й атакують вразливі точки.
Наприклад, для одного казино зі США, назву якого не розкривають, такою точкою став smart-термометр, розміщений в холі закладу, що контролював температуру води. Хакери отримали до нього доступ, потім закріпилися в мережі, а звідти зайшли в базу даних, яку “транспортували” знову-таки через “хмару”.
Чому швидкість атак збільшується та як захиститися
DDoS-атака на ПриватБанк, Ощадбанк та сайти держструктур 15 лютого 2022 року почалася з розсилання смс клієнтам з підозрілого номера про те, що сервіси не працюватимуть. Далі сталася безпосередньо атака, коли сервіси банків та держустанов DDoSили й у результаті їх довелося навіть вимкнути з мережі. Насправді атака була не аж настільки потужною - просто її не змогли втримати державні сервери. Чому так сталося, причина для іншого матеріалу, але наразі хочу звернути увагу на швидкість.
Сьогодні швидкість кіберштурмів постійно зростає. Відповідно, має зростати й швидкість реагування: перенесення на інший сервер, розділення трафіку, приховування ІР-адреси, відбиття атак у хмарних сервісах. Усе це має виконуватися в лічені хвилини. Інакше простої сайтів та сервісів можуть вилитися в репутаційні та фінансові кризові моменти. Тож сьогодні це — серйозний виклик, який мають державні служби та бізнес.
Але в усьому цьому є і позитивний бік. З’явився інший тренд - об'єднаність та співпраця, спільне напрацювання нових рішень і технологій. При чому як між компаніями, так і між цілими країнами. Безпекові виклики були, є і завжди будуть. Головне завдання зараз: навчитися оперативно реагувати на них, вміти передбачати потенційні загрози, оцінювати ризики та обмінюватися досвідом.