Прошлый год в латвийском киберпространстве можно считать самым сложным и интенсивным периодом кибератак за всю историю учреждения по предотвращению инцидентов безопасности информационных технологий (ИТ) Cert.lv с 2011 года, сообщают его представители.
В прошлом году количество кибератак, зарегистрированных и обработанных Cert.lv, увеличилось на 40% по сравнению с 2021 годом.
В свою очередь, ПОИСК уязвимых мест В ИТ-СИСТЕМАХ, УПРАВЛЯЕМЫХ ГОСУДАРСТВОМ, ВЫРОС В 7 РАЗ, ОБЩИЙ ОБЪЕМ АТАК УВЕЛИЧИЛСЯ В ЧЕТЫРЕ РАЗА.
В большинстве случаев источником киберугрозы была Россия. Отказ в доступе или DDoS-атаки со стороны хакеров, поддерживающих агрессивный российский режим, были более заметны и ощущались ежедневно. Тем не менее, скоординированные Россией атаки на государственные информационные системы и критически важную инфраструктуру считаются более значительными и с потенциальными последствиями в долгосрочной перспективе. Они проводились с целью получения информации, которая могла бы обеспечить политические, военные или экономические преимущества, а также чтобы подготовить среду для проведения деструктивных киберопераций в будущем.
В своей агрессивной войне против Украины Россия наглядно продемонстрировала попытки использовать кибероперации не только для сбора информации, но и для поддержки военных операций. Повышенная активность кибератак наблюдалась еще до вторжения России в Украину в феврале. В основном это проявлялось в попытках сбора информации путем поиска уязвимых мест в латвийских ИТ-ресурсах. С началом боевых действий в Украине значительно увеличилось количество попыток проникновения в латвийскую инфраструктуру. В мае к этим атакам присоединились DDoS-атаки.
В ответ на призыв общественности и политиков демонтировать советский памятник в Парке Победы, Killnet и другие подобные группы хакеров, поддерживающие агрессивный режим России, осуществили интенсивные DDoS-атаки на латвийскую инфраструктуру.
Хотя в большинстве случаев, ЭТИ НАПАДЕНИЯ БЫЛИ КВАЛИФИЦИРОВАНЫ КАК ХУЛИГАНСТВО И ПО большей части НЕ ИМЕЛИ ОЩУЩАЕМОГО ПОСЛЕДСТВИЯ.
Исключительные случаи составляли организации, которые обычно не являются объектами DDoS-атак и имеют низкий уровень готовности и защиты. Например, благотворительная организация Ziedot.lv, которая помогла собрать средства на снос памятника в Парке Победы и на поддержку Украины.
Высокая устойчивость ИТ-ресурсов государственной и критической инфраструктуры к DDoS-атакам была обеспечена благодаря сотрудничеству ГАО Latvijas valsts radio un televīzijas centrs (LVRTC), ООО Tet и Cert.lv. Успешно скоординировав оборонную стратегию, инфраструктура была целенаправленно подготовлена к отражению подобных атак.
В последние месяцы года российские киберактивисты дополняли DDoS-атаки опубликованными в Telegram-каналах сообщениями о взломанных сайтах и утечках данных. Опубликованная информация привлекла внимание общественности, но только одна из публично упомянутых атак (на электронный адрес Государственной инспекции труда) была реальной. В других случаях по просочившейся информации предоставлялись общедоступные документы.
Параллельно с известными DDoS-атаками в латвийском киберпространстве также проводились несколько киберопераций при поддержке российских спецслужб – Whispergate, Ghostwriter, Gamaredon и Turla. Злоумышленники организовали целевые фишинговые атаки со специально созданным текстом для получателя, а также атаки на цепочки поставок, нацеленные на государственных поставщиков и поставщиков критически важных инфраструктурных услуг. Также проводились кампании по дезинформации и другие операции информационного воздействия, которые злоумышленники проводили против Латвии.
В некоторых случаях кибератаки были успешными. Их причиной не было использование изощренных атак, а несвоевременно установленные обновления или небезопасно настроенные системы и оборудование, доступные в сети, о которых забыл поставщик услуг. Это еще раз подтвердило, что атакующий в первую очередь ориентируется на самую легкую цель, а также четко указало на то, что Латвия должна сделать как можно больше, чтобы быть как можно более «крепким орешком» для агрессора, сообщает Cert.lv.
Также в течение 2022 года было выявлено пять случаев компрометации компаний-разработчиков ИТ-решений. Целью злоумышленников было получить доступ к данным и системам клиентов этих компаний. В большинстве случаев
ЭТИ АТАКИ БЫЛИ УСПЕШНЫ, ПОТОМУ ЧТО КОМПАНИИ-РАЗРАБОТЧИКИ НЕ СОБЛЮДАЛИ НАДЛЕЖАЩИЕ ПРАКТИКИ В ОБЛАСТИ КИБЕРБЕЗОПАСНОСТИ ПРИ ПЛАНИРОВАНИИ И ПОДДЕРЖИВАНИИ СВОЕЙ ВНУТРЕННЕЙ ИНФРАСТРУКТУРЫ.
Небрежное отношение наблюдалось и в отношении безопасности заказчика – ради удобства обходили или игнорировали принципы безопасности, практикуемые в инфраструктуре заказчика, создавая «дыры» в защите заказчика.
Чтобы предотвратить риски, вызванные такими несоответствиями, государственные закупки критической инфраструктуры и защиты должны обеспечивать основу, в которой можно проверить процессы безопасности поставщика услуг и соблюдение хорошей практики.
В прошлом году в нескольких инцидентах было установлено, что компания или учреждение приобрели технологическое решение для анализа угроз и улучшения защиты, но использовали его лишь частично или не использовали вовсе из-за отсутствия знаний и понимания того, как интегрировать решение в существующую инфраструктуру, и как интерпретировать полученные новые данные.
Несмотря на то, что боевые действия в Украине приглушили мошенническую деятельность в латвийском киберпространстве, они не прекратились полностью ни на мгновение и возобновились с новой силой в мае. Предприятия были не единственными целями финансово мотивированных злоумышленников. Как и в предыдущие годы, в прошлом году наблюдалась волнообразная активность мошенников, направленная на вымогательство данных граждан и хищение финансовых средств.
Сделанный в прошлом году прогноз об использовании искусственного интеллекта при проведении изощренных мошеннических атак не оправдался. Вместо этого злоумышленники использовали обычные и проверенные методы, сообщает Cert.lv.
В мошеннических лотереях обещались привлекательные призы и гражданам предлагалось вводить данные платежной карты на поддельных сайтах. В звонках с угрозами якобы от имени банков или правоохранительных органов мошенники пытались получить личную информацию или получить от получателя звонка одобрение действий, инициированных мошенниками, таких как ввод кода Smart-ID. Используя как телефонные звонки, так и рекламу в социальных сетях с упоминанием известных компаний и личностей, мошенники пытались заманить граждан на фальшивые инвестиционные площадки, чтобы выманить у них финансовые средства. Мошенники также размещали в Google платную рекламу, в результате чего сайты поддельных банков оказывались первыми в результатах поиска.
Cert.lv указывает, что в нынешних геополитических условиях следует ожидать, что Латвия и ее инфраструктура как в государственном, так и в частном секторах с большой долей вероятности станут объектом кибератак в 2023 году со стороны таких стран, как Россия, Белоруссия и реже Китая, которые проводят наступательные кибероперации против Латвии.
Cert.lv является структурным подразделением Института математики и информатики Латвийского университета, в задачи которого входит поддержание единого представления о деятельности, происходящей в электронном информационном пространстве, оказание поддержки в предотвращении инцидентов безопасности информационных технологий или координации их предотвращение в латвийских зонах IP-адресов и зоне доменных имен .lv.