Современный мир полон опасностей во всех смыслах этого слова
Чем быстрее человечество переходит в онлайн, то с большим количеством рисков нам всем приходится сталкиваться каждый день. Слова «кибезопасность» и «кибератака» превращаются из эфемерных в полностью осмысленные – это то, с чем мы имеем дело все чаще. По сути, каждый пользователь интернета должен задумываться о безопасности своего пребывания в сети, ведь жертвами киберпреступников не всегда становятся правительства стран, крупные компании или успешные банки. Часто это обычные граждане, у которых есть скромные счета в банке и страницы в нескольких социальных сетях.
В последние двадцать лет мир ежедневно сталкивается с кибератаками разного масштаба и вреда, каждый из нас становится все менее защищенным в киберпространстве. Украина также всегда была среди стран, наиболее страдающих от кибератак – больше атак направлено только на США. А с началом полномасштабной войны, развязанной россией, Украина стала еще более уязвимой к атакам в сети, а злоумышленники, руководимые высшей властью страны-агрессора, бьют максимально прицельно. Объектами нападений становятся веб-ресурсы правительства, министерств, ВСУ, банков, торговых сетей. Хакерами чаще всего оказываются россияне, белорусы, китайцы, корейцы. Однако от этого можно и нужно защищаться. Это не так сложно, как может показаться на первый взгляд.
Далее рассказываем о самых громких кибератаках последних лет в мире и, в частности, в Украине, о перспективах нашей страны в сфере кибербезопасности, а также о правилах, которые помогут снизить градус сетевых угроз.
О киберпространстве и атаках в сети
Киберпространство — это виртуальная среда, позволяющая пользователю общаться в интернете. Оно работает по общим правилам информационных и телекоммуникационных систем. Кибербезопасность — это состояние защищенности интересов человека, общества и государства в киберпространстве, а кибератака – умышленные действия в киберпространстве, направленные на нарушение конфиденциальности, целостности и доступности электронных информационных ресурсов. Кибератаки бывают глобальные – направлены на взлом систем банков, государственных сайтов, похищение паролей или ключей доступа к системам безопасности крупных корпораций, и те, которые направлены на взлом конкретного компьютера, кражу персональных данных, шантаж и угрозы. Количество кибератак из второй категории мы не можем знать наверняка, ведь их миллионы, и о них мало кто рассказывает. А вот о самых громких и опасных кибератаках мира, когда с потерей денег и данных столкнулись крупные компании, научные центры и даже правительства, известно.
В последние несколько лет самая желанная цель взломщиков – это государственный сектор – на эту сферу совершается 48% атак; на неправительственные организации и аналитические центры – 31% атак; на отрасль образования – 3% атак, а также на IT-отрасль, медийную и энергетическую отрасли.
В конце 2021 года компания Microsoft обнародовала отчет, в котором рассказала о странах и отраслях, наиболее часто подвергающихся кибератакам. На первом месте США, а на втором, как ни странно, – Украина. 19% кибератак было совершено против нашей страны, тогда как против, скажем, Германии, Бельгии или Японии – не более 3% от всего массива атак.
Специалисты Microsoft обнаружили, что наибольшей угрозой – это россия – 58% всех хакерских атак были совершены именно россиянами. Страна происхождения еще 23% атак – КНДР. На третьем месте по активности – Иран (11% угроз) и Китай (8% угроз), по 1% атак совершили взломщими из Южной Кореи, Турции и Вьетнама. Российские (в частности, группировки Bromine, Nobelium и Strontium), иранские, китайские и северокорейские хакеры больше внимания уделяли американским организациям – 46% нападений.
ЧИТАЙТЕ ТАКЖЕ: Госспецсвязь: Украина считает российские кибератаки военными преступлениями
Мировые кибератаки III тысячелетия
Атака на ядерные разработки. В 2009 году вор Stuxnet сломал иранские центрифуги по обогащению урана, нивелировав таким образом достижения иранской ядерной программы. Из-за намеренно устроенного компьютерного сбоя, центрифуги для обогащения урана в иранском ядерном центре вышли за пределы установленных режимов работы и сломались в буквальном смысле слова. Вирус повышал частоту вращения до 2000 об/мин – моторы не выдерживали этого и ломались. Ускорение произошло из-за влияния контроллеров, управляемых индустриальными компьютерами Siemens PLC, не подключенными к интернету. Это стало возможно благодаря компьютерному червю Stuxnet, использовавшему уязвимости нулевого дня – те, о которых разработчики уязвимого программного обеспечения еще не знают, – и скрывался от антивирусов, распространяясь через записи на съемные носители. Эксперты предположили, что Stuxnet – это проект США и Израиля, предназначенный для торможения иранской ядерной программы.
Взлом Yahoo. В 2013, 2014 и 2016 годах в результате взлома Yahoo было украдено 3 миллиарда аккаунтов, которые со временем всплыли в даркнете. От атаки больше всего пострадали те, кто использовал один пароль для разных аккаунтов. Интересно, что в то время американская компания Verizon вела переговоры с Yahoo по поводу покупки, поэтому неприятная ситуация с утечкой данных сбила цену почти на 400 миллионов.
До сих пор неизвестно, кто сломал Yahoo в 2013 году, а вот в атаке 2014 года американская правозащитная система обвинила двух сотрудников ФСБ и двух хакеров из россии и Канады. Из них всех признался только канадец и отправился в тюрьму на 5 лет.
DDOS-атака против Dyn. 21 октября 2016 года сотни сервисов, в том числе и такие гиганты как Twitter, Netflix и Amazon, были недоступны в течение нескольких часов. Казалось, что интернет просто исчез как таковой. Дело в том, что один из крупнейших DNS-провайдеров мира – Dyn – был атакован камерами видеонаблюдения, роутерами и смарт-вещами, зараженными вирусом Mirai. Вирус создали с прицелом именно на интернет вещей: каждое новое зараженное устройство стучалось в другие, заражая и их.
С помощью такого вируса человек обнаруживает сотни тысяч смарт-вещей и дает им команду одновременно отправлять запросы на определенный сервер – тот не справляется с этим и перестает отвечать. Так происходит любая DDOS-атака. Интересно, что специалисты компаний Cloudflare, Google и Akamai, расследовавшие этот случай, считают, что целью атаки были серверы игровых проектов, за которые тоже отвечал Dyn. Действительно – вместе с половиной Интернета легли серверы The Elder Scrolls Online, Roblox, Xbox Live, PlayStation Network, Minecraft.
Взлом Ashley Madisson. В 2015 году сайт для знакомств женатых людей Ashley Madison с 40 миллионами пользователей взломали. Хакеры получили доступ к базе данных и выложили в публичный доступ с возможностью поиска по e-mail адресам. Тогда многие пользователи получали письма с шантажом.
Атака ShadyRAT. Она началась в 2006 году и продолжается до сих пор. Ее источником считается Китай. Вирус рассылает зараженные трояном электронные письма сотрудникам определенных организаций, после открытия которых троян устанавливается на компьютер. Среди жертв атаки были Олимпийский комитет ООН, Ассоциация государств Юго-Восточной Азии, компании Японии, Швейцарии, Великобритании, Индонезии, Дании, Сингапура, Гонконга, Германии, Индии и правительств Соединенных Штатов, Тайваня, Южной Кореи, Вьетнама, Канады.
ЧИТАЙТЕ ТАКЖЕ: Минцифра начала сотрудничество с одним из крупнейших поставщиков систем кибербезопасности
Взлом Sony PlayStation Network. 20 апреля 2011 года сервис PlayStation Network, ответственный за все онлайн-функции консолей PlayStation, сломался. Компания начала расследование, в течение которого ее акции упали на 20% и падали еще целый год, в результате подешевев вдвое. Взлом и три недели простоя PlayStation Network обошлись компании в 171 миллион долларов. Вину за атаку признала хакерская группа Anonymous.
Атака на нефтяной трубопровод. В мае 2021 года хакеры совершили атаку на компанию Pipeline, из-за чего несколько дней не работал нефтяной трубопровод, доставлявший 45% горючего для восточного побережья США. Почти все заправки в Вашингтоне опустели, остановилось авиасообщение. Ответственность за атаку взяла на себя российская хакерская группировка DarkSide.
Вирус-вымогатель Petya. Программу обнаружили весной 2016 года. Она шифровала файлы на жестком диске компьютера пользователя и перезаписывала и шифровала главную загрузочную запись, необходимую для загрузки операционной системы. Все файлы, хранящиеся на компьютере, становились недоступными. За восстановление доступа к файлам она требовала от пользователя 0,9 биткоина – около 380 долларов по тогдашнему курсу.
Троянский вирус Godfather («Крестный отец»). 22 декабря 2022 года стало известно, что он атакует банки и криптокошельки по всему миру. Вирус нацелен на пользователей более 400 программ. Жертвами трояна уже стали более 200 банков, 100 поставщиков крипто-кошельков и более 100 платформ крипто обмена в США, Великобритании, Канаде, Турции. У вируса есть интересная особенность: зашифрованный код, не дающий ему атаковать устройства русскоязычных пользователей и тех, кто говорит на одном из языков СССР. Этот вирус может создавать убедительные веб-фейки и накладывать их на экран гаджета, когда пользователь хочет открыть программу. После этого создатели Godfather получают платежные данные и воруют деньги жертвы.
ЧИТАЙТЕ ТАКЖЕ: Кремль усилит кибератаки по Украине и западным союзникам этой зимы – Microsoft
Кибератаки против Украины во время полномасштабной войны
В 2020 году в Украине было зафиксировано 800 полноценных кибератак, в 2021-м — 1400, а в 2022-м — более 4000. Примечательно, что в течение 2021 года количество подозрительных событий информационной безопасности постоянно росло — всего за год Служба безопасности выявила 19 млн таких событий. При этом 2022 год ознаменовался беспрецедентным количеством кибератак на десятки служб, систем и учреждений в Украине.
В ночь на 14 января 2022 года состоялась самая большая за четыре года кибератака на Украине – под прицелом хакеров оказались украинские правительственные сайты. На некоторых из них появилось такое сообщение на украинском, русском и польском языках: «Украинец! Все ваши личные данные были загружены в общую сеть. Все данные на компьютере уничтожаются, их невозможно восстановить. Вся информация о вас стала публичной, бойтесь и ждите худшего. Это вам за ваше прошлое, настоящее и будущее. За Волынь, за ОУН УПА, за Галичину, за Полесье и за исторические земли».
Кибератака прошлась по 70 сайтам государственных органов Украины, пострадали в частности Правительственный портал, веб-ресурсы Министерства образования; иностранных дел; энергетики; молодежи и спорта; экологии; агрополитики; сайты Государственной службы по чрезвычайным ситуациям; Окружного админсуда; Государственного казначейства; Государственной инспекции ядерного регулирования, а также порталы Судебная власть Украины, Единый реестр судебных решений; «Дия».
Через месяц – 15 февраля 2022 года– DdоS-атаки подверглись 15 банковских сайтов, сайты с доменом gov.ua, в частности, веб-ресурсы Минобороны, Вооруженных сил и Министерства по вопросам реинтеграции временно оккупированных территорий, а также ПриватБанк и Ощадбанк.
Еще через несколько дней – 23 февраля – украинские государственные и банковские сайты были атакованы повторно. В Укрэнерго сообщили тогда, что больше атак против энергетического сектора было зафиксировано в момент подключения украинской электросети к европейской ENTSO-E. А за час до полномасштабного вторжения (рано утром 24 февраля) россия атаковала спутниковую сеть KA-SAT, управляемую Viasat. Поэтому произошли перебои в связи и сбои в работе нескольких государственных органов и предприятий по стране.
Начало полномасштабной войны открыло шлюз для колоссального количества ежедневных кибератак на ресурсы, системы и службы нашей страны. По словам начальника Департамента кибербезопасности СБУ Ильи Витюка, специалисты ведомства с начала года нейтрализовали более 4,5 тысяч кибератак и киберинцидентов.
По сообщению Государственной службы специальной связи и защиты информации, в течение 2022 года Россия осуществила более двух тысяч кибератак на госорганы Украины. Глава ведомства, Юрий Щиголь, рассказал, что в 2022 году правительственная команда реагирования на компьютерные чрезвычайные события зарегистрировала 2194 кибератаки, четверть из них – на органы власти. Кроме того, были атакованы системы и объекты энергетики, сектора безопасности и обороны, телеком, финансовый сектор и логистику.
Господин Щиголь отмечает, что главная цель российских кибератак – шпионаж, получение данных о гражданах, системах, логистике перемещения внутри Украины, уничтожение критической инфраструктуры и информационно-психологическое влияние.
По его словам, каждый день украинские киберспециалисты отбивают от 5 до 40 мощных DDoS-атак высокого уровня. К примеру, только за декабрь 2022 было зафиксировано 170 тысяч попыток эксплуатации уязвимостей на государственных информационных ресурсах, а 395 DDoS-атак было заблокировано. Самые распространенные случаи, когда российские военные хакеры рассылают вредоносное программное обеспечение, ворующее учетные данные или уничтожающее информационные системы. По сообщению Государственной службы специальной связи и защиты информации, в Украине действуют следующие российские и пророссийские хакерские группировки: ARMAGEDDON/GAMAREDON/PRIMITIVE BEAR (ФСБ россии); SANDWORM (Генштаб Вооруженных Сил России); APT28/FANCY BEAR (ГРУ россии); АРТ29/COZY BEAR (Внешняя разведка РФ); UNC1151/ GHOSTWRITER (Минобороны Беларуси); XAKNET, KILLNET, Z-TEAM, CYBERARMYOFRUSSIA_REBORN (пророссийские кибертеррористы). По словам главы Госспецсвязи, Украина для усиления киберзащиты сотрудничает с США, Великобританией, Польшей, Германией, Швецией и Японией.
Кроме того, в Госспецсвязи Украины отследили четкое согласование ракетных атак и кибератак россиян на медиа и центры связи. Специалисты говорят, что главная цель российских хакеров с началом полномасштабной войны изменилась. Если перед вторжением и в марте кибератаки были направлены на коммуникации для ограничения функциональности военных и действующей власти, то позже враг начал пробовать нанести больше вреда гражданским.
Так, осенью с началом ракетных обстрелов энергетической инфраструктуры в Украине начались серьезные проблемы с мобильной связью и интернетом. К примеру, 24 ноября не работали 60% базовых станций мобильных операторов, а связи не было почти по всей Украине.
9 декабря стало известно, что россияне рассылают украинцам письма с темой об иранских дронах-камикадзе. Под видом фейковой инструкции о том, как распознать Shahed-136, которые поступают якобы от Государственной службы Украины по чрезвычайным ситуациям по адресу morgunov.a@dsns.com.ua, скрывается вирус. Программа собирает данные о компьютере (имя хоста, имя пользователя, разрядность, версия ОС, значение переменных среды) пользователя.
ЧИТАЙТЕ ТАКЖЕ: Как армия киберпреступников Северной Кореи финансирует диктаторский режим
Кибербезопасность в Украине: реалии и перспективы
Олеся Данильченко, руководительница Форума Безопасности Расчетов и Кредитов Украинской Межбанковской Ассоциации членов платежных систем ЕМА; членкиня группы советников по финансовым сервисам Европейского Центра борьбы с киберпреступностью Европола, отмечает, что привлекательность целей для кибератак влияет на уровень «киберзрелости» /«киберготовности»/ «киберзащищенности». Иными словами – чем привлекательнее цель, тем выше должна быть ее киберзрелость.
«Предприятия или отрасли экономики с более высоким уровнем диджитизации являются более привлекательными целями для атак в киберпространстве. Помимо диджитализации, к факторам привлекательности цели для злоумышленников относятся уровень доверия и популярности бренда/сервиса, возможности монетизации. Именно под влиянием этих факторов банковская отрасль является наиболее киберзрелой в большинстве стран. Еще одним фактором, влияющим на киберустойчивость отраслей, остается нормативное регулирование и контроль выполнения одинаковых для всех базовых требований по кибербезопасности для всех предприятий отрасли, что для банковской сферы в Украине успешно осуществляет регулятор – Национальный Банк Украины», — говорит Олеся Данильченко.
В ноябре 2022 года Министерство цифровой трансформации и проект Дия.Цифровое образование присоединились к запуску платформы экстренной помощи по цифровой безопасности Nadiyno. Она должна повысить цифровую грамотность украинцев, усилить онлайн-безопасность и оградить от киберугроз. На платформе можно найти советы по защите персональных данных и устройств, получить поддержку от операторов горячей линии и специалистов по цифровой безопасности. Украинцы с временно оккупированных территорий также могут получить советы от специалистов, в том числе о том, как подготовиться к проверке смартфона и избежать прослушивания в оккупации.
По мнению Олеси Данильченко, государство, безусловно, должно заботиться о безопасности своего киберпространства: «Развитые государства занимаются этим. Я даже сказала бы, что существует определенная корреляция между уровнем цифровизации государства и уровнем беспокойства государства вопросами кибербезопасности — чем выше уровень цифровизации, тем больше внимания к вопросам кибербезопасности. Существуют страны, правительства сделавшие такой подход своим конкурентным преимуществом. Так, например, Сингапур занимает второе место среди мировых хабов по кибербезопасности по привлечению правительством прямых иностранных инвестиций в кибербезопасность своей страны в период с 2019 по 2021 год».
Олеся Данильченко также убеждена, что наличие государственного регулирования (конечно, в пределах разумного) также оказывает положительное влияние на повышение уровня киберзрелости отдельных отраслей и государства в целом. Кроме того, специалист отмечает еще один важный аспект – цифровую кибергигиену граждан. Она уверена – правительство любой страны в современном мире должно вкладываться в такие проекты и обучать граждан с детства тому, какие существуют угрозы в киберпространстве, как распознать их и защитить себя.
«Предметы по изучению кибергигиены, в частности, включены в обучающие программы в Скандинавских странах. Почему так? Если функцию защиты активов в бизнесе выполняют или, по крайней мере, должны выполнять специально обученные специалисты, то в случае атак, направленных на граждан, функция защиты своих активов в киберпосторе полностью полагается на них самих. Также существуют определенные инициативы, которые внедряются на государственном или отраслевом уровнях для защиты граждан и бизнесов от отдельных видов киберугроз, например блокировки фишинговых сайтов, защита от DDOS атак» — подчеркивает Олеся Данильченко.
В свою очередь, председатель Госспецсвязи Юрий Щиголь, учитывая российские кибератаки, которые сыпятся на украинскую критическую инфраструктуру уже год, предлагает создать единую глобальную организацию, которая поможет делиться информацией о киберугрозах и готовиться к следующим атакам: «Нам нужна «Кибер ООН», нации, объединенные в киберпространстве, чтобы защитить себя, эффективно защитить наш мир в будущем… Что нам действительно нужно в этой ситуации, так это хаб или место, где мы можем обмениваться информацией, поддерживать друг друга и взаимодействовать».
ЧИТАЙТЕ ТАКЖЕ: IKONIC создаст первую в мире NFT платформу для киберспорта
Как эффективно защититься от кибератак?
Олеся Данильченко рассказывает, что универсальное правило кибезопасности для бизнеса можно сформулировать так: «Инвестировать в кибербезопасность целесообразно до, а не после киберинцидента», ведь затраты на преодоление его последствий: возмещение финансовых и репутационных убытков, нанесенных в процессе и вследствие кибератак, расходы по кибербезопасности. Правда, по словам эксперты, на практике сознательно этого правила придерживаются единицы компаний, тогда как большинство по принципу: «Пока гром не грянет, мужик не перекрестится».
Вторым важным моментом для бизнеса в контексте кибербезопасности должно быть осознание того, что инвестиции в приобретение дорогостоящего оборудования и программного обеспечения не гарантируют киберзащищенности бизнеса.
«Не существует дилеммы выбора между инвестициями в специалиста и инвестициями в оборудование и софт, ведь для эффективной киберзащиты бизнеса нужны и первые, и вторые. Чтобы инвестиция работала, оборудованием и программным обеспечением должен заниматься специально обученный человек – CISO (Chief Information Security Officer). Если начать с приглашения к себе квалифицированного CISO, то бизнес повысит шансы на более эффективное инвестирование в необходимые оборудование и софт и строительство системы кибербезопасности в соответствии с международным стандартом в области NIST Cybersecurity Framework. Компании, которые финансово не готовы удерживать CISO в штате, могут воспользоваться услугами виртуального CISO, предоставляемыми украинскими кинебезопасными компаниями бизнесам в Украине и за рубежом», — рассказывает Олеся Данильченко.
Кроме того, эксперт дала несколько советов для бизнеса и граждан по защите в киберпространстве: 1) нужно настроить обязательную двухфакторную аутентификацию; 2) нельзя открывать письма с вложениями от неизвестных отправителей; 3) нельзя переходить по посланиям, полученным в мессенджерах от неизвестных отправителей; 4) надо игнорировать все сообщения во всех каналах коммуникаций, которые требуют от вас быстрых необдуманных действий – дело в том, что слова и фразы типа «немедленно», «срочно», «нужна помощь», «для вашей безопасности и безопасности ваших родных», «акция», «выгодное предложение», «осталось 2 дня», «только вы» и т.д. любимые для злоумышленников. Поэтому, прежде чем принять любое решение, нужно спокойно сосчитать до десяти и проверить информацию по другим каналам; 5) нужно проверять сайты, которым планируете доверить персональные, идентификационные и/или карточные данные через сервис Check My Link Ассоциации ЕМА по этой ссылке; 6) есть смысл прокачать навыки кибергигиены в онлайн-игре Ассоциации ЕМА «Преодолей Мошенника» по этой ссылке.
ЧИТАЙТЕ ТАКЖЕ:
НБУ разработал новые требования к системе киберзащиты банковской сферы
Мы создали ПВО для киберпространства, – министр цифровой трансформации Федоров
Более 100 млн гривен похитили киберпреступники у украинцев под видом выплат финпомощи