Новий ландшафт кіберзагроз: як змінилася тактика хакерів в Україні і світі

Одного з грудневих вечорів 2015 року жителі Івано-Франківської та Київської областей навіть не зрозуміли, що стали жертвами масштабної хакерської атаки на обленерго. Про це дізналися вже з новин і соцмереж. Напад вдалося відбити, вимкнення електроенергії тривало не довго. Однак ці та подібні атаки, починаючи з 2015-го, стали чітким підтвердженням тези: об’єкти критичної інфраструктури, державних органів і цифрових сервісів потребують посиленого захисту. DDOS-атаки на сайти Ощадбанку, ПриватБанку, Міноборони, ЗСУ та інших структур 15 лютого й місяцем раніше стали цьому яскравою ілюстрацією.  

Водночас з ростом кількості кіберштурмів змінюються і підходи зловмисників до атак. Не злам напряму, а пошук вразливих точок; не фішинг — а атаки на комп’ютери та системи окремих людей; не спам —  а удар по всьому ланцюжку поставок. Про ці та інші виклики, які має враховувати як бізнес, так і держава, далі в матеріалі.

Як відбуваються кібератаки на ланцюжок поставок

Останніми роками зловмисники атакують не напряму, а заходять через третіх осіб чи контрагентів. Наступного року ця тенденція триватиме далі. Це пояснюється простою логікою: навіщо зламувати й так захищену систему, якщо можна докласти мінімум зусиль і зламати її партнерів. 

Підписуйтесь на Telegram-канал delo.ua

Як це працює: заражаються файли чи комп’ютер, наприклад, компанії-поставника, юридичного партнера, бухгалтера на аутсорсі — будь-кого. І під час пересилання документів чи іншої взаємодії вірус з легкістю потрапляє в “ціль” й інфікує потрібну йому систему. Тому нині викликом стає не просто захист окремого підприємства, але й відпрацювання взаємодії із зовнішніми контрагентами. 

Адже в 1990-х та ще на початку 2000-х великі підприємства прописували програми доступу та мережевої безпеки під себе й практично ізолювалися від зовнішньої взаємодії. Сьогодні так не вдасться зробити. А тому вихід - об’єднуватися з партнерами, розробляти безпечні способи взаємодії з ними та перевіряти своїх контрагентів. 

Що потрібно знати про проникнення через USB-накопичувачі

З ростом хмарних сервісів і цифровізацією низки виробничих процесів зростає інший, протилежний за своєю дією, сегмент хакерських атак — через USB-пристрої (від флешок, карт пам’яті до різноманітних зарядок, передавачів, цифрових ідентифікаторів тощо). Кількість зламів через заражене USB програмне забезпечення є одним з найбільш швидкорослих, але водночас і найбільш невиявлених векторів загроз, з якими сьогодні стикаються технологічні та комунальні підприємства. Про це свідчать дані звіту американської компанії Honeywell, яка понад 100 років автоматизує та захищає системи управління підприємствами по всьому світу. 

Експерти з кібербезпеки проаналізували отриману інформацію про загрози та атаки з сотень промислових об’єктів по всьому світу протягом 12 місяців (з червня 2020 року по червень 2021-го). Дослідження продемонструвало: зловмисники за останній рік усе активніше атакують промислові системи управління (ICS), зокрема 37% кібернападів здійснюються через шкідливе програмне забезпечення, написане спеціально для використання USB-пристроями. Тоді як ще 2020-го ця цифра становила 19%. 

Мало того, 79% усіх кіберзагроз, які надходять від знімних носіїв, можуть критично вплинути на управління операційними технологіями (OT) підприємств. Тобто лише п’ята частина троянів чи вірусів-вимагачів не призведе до серйозних збоїв чи зупинення роботи, решта — може паралізувати підприємство, а відтак завдати збитків чи шкоди кінцевим споживачам. Тож у наступні роки як приватному сектору, так і комунальним підприємствам варто пропрацювати механізми, які б убезпечували використання USB-пристроїв. 

Чому атаки через системи віддаленого доступу - останній тренд

З 2020 року приватні та державні структури почали активно переходити на цифрове управління. Якщо раніше, наприклад, подачею води, електроенергії чи газу, керували за допомогою фізичних важелів, які можна було перемикати буквально в “ручному режимі”, то сьогодні це здійснюється в цифровому форматі. Тобто якщо, скажімо, генерувальна станція була ніби окремою структурою підприємства й потребувала окремого персоналу, щоб керувати нею, то сьогодні з цим може справитися одна людина. Оператор може керувати навіть кількома  такими станціями та в разі проблеми дистанційно перезавантажити та оглянути обладнання. 

З одного боку це зменшує кількість персоналу, який обслуговує подібні системи.  Але з іншого - збільшує простір можливостей для хакерів. Адже отримавши доступ до одного комп’ютера, можна завдати шкоди цілій системі. 

Як це сталося в лютому 2021 року в містечку Олдсмарі в штаті Флорида. Тоді хакер через TeamViewer під'єднався до комп’ютера одного з працівників водоочисної станції й збільшив рівень лугу (гідроксиду натрію) у воді до небезпечних розмірів. Настільки, що якби атака вдалася, воду не те що не можна було б пити — до неї торкатися було б небезпечно. Атака яскраво проілюструвала, наскільки вразливими можуть бути системи підприємств критичної інфраструктури. А також підняла тему незахищеності віддаленого доступу, до якого через пандемію вдаються компанії та співробітники. 

Як зламують пристрої IoT, хмарні сервіси і додатки

2012 року виробник комп’ютерних мережевих продуктів зі США TRENDnet потрапив у репутаційний скандал. Дані з радіонянь, камер спостереження в офісах і приватних будинках виявилися незахищеними й будь-хто міг шпигувати за користувачами. З ростом кількості “розумної техніки” збільшується й кількість ризиків. Роутери, холодильники, камери стеження — усе, що має вихід в інтернет на підприємстві, розширює можливості для атаки. Хакери створюють власні програми або ж користуються пошуковиками на кшталт Shodan, що аналізують слабо захищені сервери, підключені до мережі й атакують вразливі точки. 

Наприклад, для одного казино зі США, назву якого не розкривають, такою точкою став smart-термометр, розміщений в холі закладу, що контролював температуру води. Хакери отримали до нього доступ, потім закріпилися в мережі, а звідти зайшли в базу даних, яку “транспортували” знову-таки через “хмару”. 

Чому швидкість атак збільшується та як захиститися 

DDoS-атака на ПриватБанк, Ощадбанк та сайти держструктур 15 лютого 2022 року почалася з розсилання смс клієнтам з підозрілого номера про те, що сервіси не працюватимуть. Далі сталася безпосередньо атака, коли сервіси банків та держустанов DDoSили й у результаті їх довелося навіть вимкнути з мережі. Насправді атака була не аж настільки потужною - просто її не змогли втримати державні сервери. Чому так сталося, причина для іншого матеріалу, але наразі хочу звернути увагу на швидкість. 

Сьогодні швидкість кіберштурмів постійно зростає. Відповідно, має зростати й швидкість реагування: перенесення на інший сервер, розділення трафіку, приховування ІР-адреси, відбиття атак у хмарних сервісах. Усе це має виконуватися в лічені хвилини. Інакше простої сайтів та сервісів можуть вилитися в репутаційні та фінансові кризові моменти. Тож сьогодні це — серйозний виклик, який мають державні служби та бізнес.

Але в усьому цьому є і позитивний бік. З’явився інший тренд - об'єднаність та співпраця, спільне напрацювання нових рішень і технологій. При чому як між компаніями, так і між цілими країнами. Безпекові виклики були, є і завжди будуть. Головне завдання зараз: навчитися оперативно реагувати на них, вміти передбачати потенційні загрози, оцінювати ризики та обмінюватися досвідом.