Что нужно знать про киберпреступность и кибершпионаж 2023 года в Казахстане


По традиции АО «Государственная техническая служба» в начале года представляет выпуск кибердайджеста, посвященного инцидентам в области информационной безопасности в Казахстане за прошедший период. 2023 год оказался богатым на события и вызовы в области ИБ, с которыми сталкиваются как индивиды, так и организации. Угрозы ИБ постоянно эволюционируют, а киберпреступники находят новые способы атак, чтобы получить доступ к чувствительной информации. Ниже мы рассмотрим наиболее значимые и влиятельные инциденты в области ИБ, произошедшие в Казахстане и мире за 2023 год.

Обзор компьютерных инцидентов внутри страны

С ростом числа цифровых технологий также возрастает и уровень угроз информационной безопасности, с которыми сталкиваются организации и частные лица:

1.    В начале текущего года стало известно об утечке персональных данных клиентов сети спортивных магазинов «Спортмастер» из стран СНГ. Список содержал в себе более 260 000 строк с данными граждан Казахстана. 

2.    В инфраструктуре государственных организаций выявлены иностранные кибершпионы. В марте 2023 года АО «ГТС» совместно с КНБ РК сообщило о выявлении хакерской группировки, которая осуществляла кибершпионаж путем негласного сбора документов из инфраструктур нескольких государственных органов и организаций. Злоумышленникам удалось скомпрометировать основные элементы информационно-коммуникационных инфраструктур государственных органов и организаций, в том числе были зафиксированы факты компрометации рабочих станций руководителей.  

 3.    Известно, что для подписания запроса на получение госуслуги необходимо установить NCALayer. В сентябре 2023 года выявлен фишинговый интернет-ресурс, при открытии которого под видом обновления для NCALayer загружается и запускается вредоносная программа типа «Trojan Downloader». 

4.    В ноябре 2023 года зафиксировано увеличение количества инцидентов информационной безопасности, связанных с утечкой персональных данных. Причиной утечки являются инфостилеры, вредоносные программные обеспечения (далее – ВПО), которые нацелены на кражу личных данных (пароли, банковские данные и другие чувствительные сведения) с зараженных компьютеров. Этот тип ВПО создан для скрытой работы и передачи украденных данных злоумышленникам

Международные угрозы и события

Регулярный анализ в течение года международных угроз и событий в области информационной безопасности оправдан по ряду ключевых причин. В первую очередь, динамичная природа угроз информационной безопасности требует регулярного мониторинга, так как злоумышленники постоянно совершенствуют свои методы атак. Только систематический анализ поможет выявлять новые угрозы и эффективно реагировать на них.

В 2023 году в международном сообществе были распространены следующие типы угроз и инцидентов информационной безопасности, направленные на крупных игроков мирового рынка:

·      Атаки на конечные точки (Endpoint-Based Attacks);

·      Атаки с использованием программ-вымогателей;

·      Атака на цепочку поставок 3CX;

·      Утечка данных (data leak);

·      Несанкционированный доступ (кибератаки);

·      Уязвимости;

·      Облачные кражи информации.

 Статистика по инцидентам ИБ

Анализируя обработанные инциденты информационной безопасности, команда «ГТС» стремится выделить основные тренды и особенности, что позволит нам не только извлекать уроки из предыдущих опытов, но и разрабатывать более эффективные стратегии по защите от будущих киберугроз.

С января 2023 года командой «ГТС» было зарегистрировано порядка 
35 тысяч заявок по угрозам и инцидентам информационной безопасности:

ВПО – 21 940.

ТОП – 5 ГО 

Ботнет – 4 040

Эксплуатация уязвимости – 2 726 инцидентов ИБ.

Фишинговая атака – 2 160 инцидентов ИБ. 

Отсутствие доступа к интернет-ресурсу – 1 090 инцидентов ИБ. 

 

ТОП-5 ИР по общей длительности недоступности: 

Наименование ИР

Количество фиксаций недоступности

Общее время недоступности (дней)

Общее время недоступности (час)

spon.energo.gov.kz

10

48,3

1 161

pkrezerv.gov.kz

2

25,8

620

election.gov.kz

67

16,1

388

sud.gov.kz

154

14

337

dot.saylau.kz

24

12,3

295

 Сведения об атаках на клиентов ЕШДИ (Единый шлюз доступа к Интернету)

В 2023 году количество попыток найти брешь в защите клиентов ЕШДИ зафиксированы с использованием инфраструктуры стран, указанных в графиках. 

Сведения о вредоносной активности, направленной на клиентов ЕШДИ с целью эксплуатации уязвимости CVE-2023-28771 за 2023 год – более 223 млн.атак:

 

Пик вредоносной активности с использованием инфраструктуры Украины приходится на июль месяц и почти все они (95%) связаны с попытками эксплуатации уязвимостей в оборудованиях Zyxcel (Zyxel.Firmware.error.message.Command.Injection).

С информацией об уязвимости можно ознакомиться по ссылке. По сведениям Forti, уязвимость затрагивает оборудования Zyxcel, используемые для защиты промышленных систем (SCADA -Supervisory Control And Data Acquisition).

Доля атаки, которая была направлена на госсектор (МИО-44%, ГО-18%), составила 62%. Атаки преимущественно были направлены на северные регионы РК (Северо-Казахстанская область, Акмолинская область, Костанайская область).

Сведения о вредоносной активности, направленной на клиентов ЕШДИ – ТОП-5 атакующих (с использованием инфраструктуры) стран:


Будущие тенденции и прогнозы

 •  Искусственный интеллект (ИИ) и машинное обучение

В 2024 году ожидается, что развитие ИИ значительно продвинется и принесет с собой множество новых возможностей и вызовов. Стоит также отметить, что одной из главных областей, где ИИ уже демонстрирует себя с большим успехом, является медицина. Врачебные программы на основе ИИ способны диагностировать заболевания с высокой точностью и предлагать оптимальные методы лечения. Это позволяет своевременно обнаружить и бороться с различными заболеваниями, а также повышает эффективность работы медицинских учреждений.

Еще одним направлением, где ИИ обещает революционные изменения, является автоматизация процессов в различных отраслях экономики. С помощью ИИ будет возможно создавать умные системы управления производством, оптимизировать логистические процессы, улучшать качество контроля и многое другое. 

Применение искусственного интеллекта и машинного обучения в информационной безопасности приносит многочисленные преимущества. В перспективе информационная безопасность искусственного интеллекта, поддерживаемая машинным обучением, станет «мощным» инструментом. Как и во многих других отраслях, человеческое взаимодействие давно уже играет ключевую и неотъемлемую роль в обеспечении безопасности. Несмотря на то, что на данный момент эффективность информационной безопасности в значительной степени зависит от человеческого участия, стоит отметить, что технологии все более успешно справляются с определенными задачами по сравнению с человеческими возможностями.

•  Генеративный ИИ используется по обе стороны битвы

Поскольку искусственный интеллект (ИИ) развивается ускоренными темпами, растет обеспокоенность по поводу распространения все более сложных и интеллектуальных атак, управляемых ИИ. Спектр угроз включает в себя «дипфейковые» попытки социальной инженерии, а также автоматизированные вредоносные программы, которые демонстрируют интеллектуальное поведение, позволяющее обойти обнаружение различными средствами защиты. 

Одновременно эта технология поможет выявлять, избегать или минимизировать потенциальные риски за счет использования обнаружения аномалий в реальном времени, интеллектуальной аутентификации и механизмов автоматического реагирования на инциденты информационной безопасности. 

•  Вредоносные программы-вымогатели

Вредоносные программы-вымогатели часто воспринимаются как более распространенная и разрушительная угроза информационной безопасности. Данная угроза остается значительной и ожидается сохранение ее важности в следующем году. 

Киберпреступники будут использовать более сложные и утонченные методы, в том числе внедрение программ-вымогателей, основанных на искусственном интеллекте. Эти программы будут способны адаптироваться к изменениям в среде безопасности и обходить традиционные меры защиты. Надо подчеркнуть, что тактика двойного вымогательства, при которой злоумышленники сначала крадут конфиденциальные данные, а затем шифруют их, будет дальше развиваться, создавая дополнительное давление на потенциальных жертв и вынуждая их платить выкуп.

•  Фишинг

Из-за своей способности манипулировать человеческой психологией фишинговые атаки и атаки социальной инженерии продолжают оставаться эффективными. Фишинговые атаки включают в себя использование электронных писем или веб-страниц с целью обмана пользователей. Ожидается, что в течение следующих двенадцати месяцев эти атаки станут более изощренными, целенаправленными и убедительными. Злоумышленники могут использовать технологию глубокой подделки, чтобы выдавать себя за доверенных лиц или манипулировать видео/аудио контентом, что еще больше затрудняет отличить подлинный контент от подделки. 

•  Кибератаки на устройства IoT

Прогнозируется, что в 2024 году темпы роста популярности IoT будут продолжать увеличиваться. Интернет вещей (IoT) представляет собой крайне удобный и полезный комплекс технологий, который значительно облегчает как повседневную жизнь, так и операционную деятельность организаций. Несмотря на огромную популярность и удобство устройств IoT, они обладают своими недостатками, такими как наличие трудно выявляемых уязвимостей и отсутствие стандартизации. Устройство IoT является потенциально уязвимой точкой входа в сеть. Поэтому эти сети могут представлять собой первый этап в масштабных взломах, особенно когда атака направлена против конкретной организации.

•  Защита критически важной инфраструктуры

Кибератаки на критически важные инфраструктуры, такие как энергетические сети, транспортные системы и финансовые учреждения представляют собой значительную угрозу национальной безопасности и экономике. В 2024 году ожидается усиление мер по защите этих систем. Это может включать развитие специализированных решений для обнаружения и предотвращения атак, укрепление сотрудничества между государственными и частными организациями, а также повышение уровня готовности к инцидентам в критических отраслях.

•  Киберпреступность как услуга

Развитие киберпреступности как услуги (Cybercrime-as-a-Service) означает, что даже неопытные злоумышленники могут получить доступ к продвинутым инструментам для осуществления атак. Это включает в себя всё - от аренды вредоносного ПО до покупки готовых кибератак на черном рынке. В результате барьер для входа в киберпреступность снижается, что может привести к увеличению числа и разнообразия атак. Организациям необходимо быть готовыми к более широкому спектру угроз и иметь комплексные системы защиты.

•  Облачная безопасность

Переход на облачные технологии продолжает набирать обороты, что требует от организаций особого внимания к облачной безопасности. Это включает в себя защиту данных, хранящихся в облаке, обеспечение безопасности API, а также управление доступом и идентификацией в облачной среде. Также важным аспектом является безопасность конфигурации облачных сервисов, поскольку неправильно настроенные облачные ресурсы часто становятся целью атак.

•  Противодействие внутренним угрозам

Внутренние угрозы — это один из наиболее сложных для обнаружения типов рисков. Они могут включать в себя не только преднамеренные действия сотрудников, но и случайные ошибки, приводящие к утечкам данных или другим проблемам безопасности. В 2024 году важно будет не только технологически контролировать и мониторить действия сотрудников, но и проводить регулярное обучение персонала, чтобы повысить осведомленность о потенциальных угрозах и методах их предотвращения.

•  Обучение и подготовка кадров

Недостаток квалифицированных специалистов в области кибербезопасности продолжает оставаться проблемой для многих организаций. Ожидается, что спрос на обученные кадры в этой области будет расти. Организациям необходимо инвестировать в обучение и развитие своих сотрудников, чтобы подготовить их к эффективному реагированию на угрозы информационной безопасности. Это может включать в себя специализированные курсы, воркшопы, участие в симуляциях кибератак и регулярные тренинги по повышению осведомленности в области информационной безопасности. Кроме того, университеты и образовательные учреждения, возможно, будут расширять и углублять свои программы по информационной безопасности, чтобы удовлетворить растущий спрос на специалистов.

Все это показывает, что организациям предстоит столкнуться с рядом новых и усиливающихся угроз. Это требует комплексного подхода, включающего в себя технологические инновации, обучение персонала, соблюдение законодательства и международное сотрудничество. Постоянное обновление знаний и навыков, а также адаптация к изменяющимся условиям будут ключевым фактором успешной защиты от угроз информационной безопасности.

Подробнее в подкасте «Поговорим об ИБ», о кибератаках 2023 года, тендециях и прогнозах 2024 года:


Полный кибердайджест размещен на сайте STS.KZ .