Аналітичний дайджест кіберподій за вересень

КЛЮЧОВІ ВИСНОВКИ

Більшість кібератак на Україну здійснюють із рф та рб. росія зрощувала кібертероризм роками, фактично почавши свою кіберагресію проти цивілізованого світу з атак на Естонію 2007 року. Впродовж останніх восьми років наша країна була однією з основних цілей російських хакерів.

Зараз відбувається третій етап кібервійни, і атаки росії спрямовані переважно проти цивільної інфраструктури. ¹

У ворога немає визначеної стратегії – це атака опортуністична, хаотична діяльність, спрямована на пошук вразливостей і слабкостей у захисті; спроби здобути доступ до мереж, інформаційних систем, і вже потім – визначення, що робити з цим доступом, якої шкоди завдати. ²

Україна проводить тестові атаки проти своїх систем: cтворено команду, яка постійно, 24/7, випробовує системи і атакує їх. Завдяки цьому до січня вдалось знайти багато вразливостей у напрямку критичної інфраструктури й запобігти подальшим проблемам. Це те, як Україні вдалося вистояти у кібервійні. ³

За останні півроку рівень координації між суб’єктами забезпечення кібербезпеки суттєво зріс. Усі суб’єкти синхронно працюють під координацією РНБО. Міжвідомча робоча група під егідою НКЦК розробила Порядок взаємодії суб’єктів забезпечення кібербезпеки під час реагування на кіберінциденти/кібератаки. ⁴

Створення інфраструктури кібербезпеки дало змогу захистити українські веб-ресурси та бази даних від російських атак. Жоден базовий реєстр та жодна критична держпослуга не були зупинені, а держава стабільно працювала та швидко реагувала на виклики війни. Як підсумок, функціонування держави було виведене з-під фізичного та віртуального удару агресора. ⁵

З квітня по червень 2022 року дослідники підрозділу Google TAG (Threat Analysis Group), що відстежує спонсоровані державами кіберактивності, зафіксували «зростання кількості фінансово мотивованих суб’єктів загроз, націлених на Україну, діяльність яких, судячи з усього, тісно пов’язана зі зловмисниками, яких підтримує російський уряд». TAG вказує на «розмивання меж між фінансово вмотивованими та урядово спонсорованими групами в Східній Європі», що є показником того, що зловмисники часто адаптують свої цілі до геополітичних інтересів у регіоні. ⁶

Іноземний бізнес активно вивчає досвід російсько-української кібервійни, адже чудово розуміє, що надалі проблема протистояння агресивним діям держав і численних груп хакерів у кіберпросторі стане однією з ключових для подальшого розвитку: як їхніх компаній, так і держав загалом. І ніхто не може почуватися захищеним чи вважати, що не зацікавить хакерів. ⁷

Досвід України у кібервійні матиме надзвичайний вплив на формування кібербезпекової архітектури в майбутньому.

УКРАЇНА У КІБЕРПРОСТОРІ

Міжнародна взаємодія

Представники Держспецзв’язку взяли участь у натівській Міжнародній літній школі з кібербезпеки (International Cyber Security Summer School – ICSSS). ⁸

Держспецзв’язку України та Національний Директорат з питань кібербезпеки Румунії підписали меморандум про взаєморозуміння у сфері співробітництва з кіберзахисту. ⁹

Заступник голови Держспецзв’язку Олександр Потій зустрівся із командувачем Військ оборони кіберпростору Польщі Каролем Молендою. Це перша зустріч сторін, спрямована на реалізацію меморандуму про взаєморозуміння у сфері кіберзахисту, підписаного 22 серпня між Урядами України та Польщі. ¹⁰

У Брюселі підписано угоду між Урядом України та Єврокомісією щодо приєднання України до програми ЄС «Цифрова Європа» (The Digital Europe Programme). ¹¹

У США запустили фонд Blue & Yellow Heritage Fund, який проінвестує українські стартапи таких сфер: кібербезпека та оборона, технології та ШІ, автоматизація виробництва, робототехніка, ️енергетика та ін. ¹²

Уряд Естонії є одним із найактивніших надавачів допомоги й підтримки українській владі у захисті від російських кібератак. Естонія підтримала безперервність роботи українських цифрових сервісів у хмарі та з-за меж України, а естонський уряд і місцеві технологічні компанії надали матеріальну підтримку Україні, в тому числі у вигляді безоплатного обладнання для моніторингу та протидії кібератакам. ¹³

Знешкодження кібернебезпек 

Кіберфахівці СБУ ліквідували 2 ботоферми: на Київщині та в Одесі. «Армію ботів» у майже 7 тисяч акаунтів використовували для поширення деструктивного контенту. ¹⁴

СБУ повідомила про підозру організатору потужної ботоферми (фейкові акаунти із залученням майже 11 тис. карток одного з українських мобільних операторів) на Прикарпатті, а також нейтралізувала ще одну ботоферму у Києві, яка «співпрацювала» з PR-компаніями рф. ^{15, 16}

СБУ нейтралізувала хакерське угруповання, яке «зламало» майже 30 млн акаунтів громадян України та ЄС. ¹⁷

Загалом з початку року СБУ знешкодила 35 ботоферм та ініціює посилення відповідальності за їх створення. ¹⁸

У Львові судитимуть хакера з Херсонщини, який зламував приватні акаунти інтернет-користувачів і продавав дані. ¹⁹

Захист кіберсфери

Національний телеком-оператор Київстар отримав атестацію для надання послуги «захист від DDoS-атак». ²⁰

У Києві відбувся «Діалог про кібербезпеку», під час якого обговорили питання щодо створення Національного плану реагування на надзвичайні ситуації в кіберпросторі та посилення захисту об’єктів критичної інфраструктури. ²¹

РОСІЯ У КІБЕРПРОСТОРІ

«Хакерські наміри» росіян

Угруповання Sandworm маскується під українських телекомунікаційних провайдерів. Так зловмисники намагаються обдурити українські організації та заразити їх шкідливим програмним забезпеченням. ²²

IP-адреси, що використовуються Sandworm (Recorded Future).

Слабкість кіберсфери

В росії не вистачає десятків тисяч фахівців з кібербезпеки: близько 5 тис. фахівців працюють у галузі кібербезпеки в країні, а потреба на сьогоднішній день є двадцятикратною. ²³

У Роскомнагляді зазначили, що з початку 2022 року в росії сталося близько 60 великих витоків персональних даних, в ході яких у відкритий доступ потрапило 230 млн. записів з особистою інформацією росіян. Скомпрометовані не тільки такі персональні дані, як прізвище, адреса та телефон, а й медичні дані, дані про поведінкові особливості, споживчі переваги людей. ²⁴ 

ВИЯВЛЕНІ АТАКИ 

Кібератаки на Україну

Dos/DDos:

• Найпотужніша DDoS-атака на Monobank. ²⁵
• Атаки на сайти освіти Мелітополя з метою заблокувати дистанційне навчання. ²⁶

Фішинг/ шкідливе ПЗ:

• Онлайн-шахрайство з використанням тематики «грошових виплат» у соціальній мережі Facebook. ²⁷
• Невідомі намагалися отримати доступ до Telegram-акаунту редактора херсонського сайту МОСТ Сергія Нікітенка. ²⁸
• Масове розповсюдження шкідливої програми AgentTesla. ²⁹

Інше:

• Атака на Telegram-канал сайту “Апостроф”. ³⁰

Кібератаки на росію

Dos/DDos:

• Зламано сайт ru та мобільний додаток «Міські паркування Краснодара», де можна оплатити паркування. ³¹
• Система електронного голосування у Москві зазнала близько 4 тис. спроб злому. ³²
• Сайт громадського штабу зі спостереження за виборами зазнав масованої атаки. ³³

IT армією України у період з 29 серпня до 25 вересня було атаковано понад 6400 російських онлайн-ресурсів: ^{34, 35}

• Найбільші банки рф (Газпромбанк, Московський КредитБанк, Совкомбанк);
• Онлайн-сервіси автосалонів (найбільший онлайн-майданчик з продажу автомобілів та запчастин – Дром);
• Системи електронного документообігу у підприємств з молочної продукції;
• Пропагандистські ЗМІ (Rambler, Газета.Ru, МК);
• Сайт групи Вагнера, яка збирає російських в’язнів для війни в Україні. Здобуто всі дані, які зберігалися на сайті;
• Ресурси молодої гвардії єдиної росії. Отримано списки молодих путіністів, які були або є на окупованих територіях, допомагають приховувати військові злочини та проводити незаконні референдуми;
• Портал «Госуслуги»;
• Сайти для пошуку роботи;
• Воєнторги рф;
• Сайти з продажу автоінструментів;
• Комерційний банк Открытие.

Статистика атак від disBalancer (інструмент DDoS-атак Liberator) за перші шість місяців кібервійни: ³⁶

Deface/заміна інформації:

• На центральних телеканалах Криму школярі та студенти отримали привітання з 1 вересня від Президента України. ³⁷
• Зламано сайт радіостанції в окупованому Криму Радіо Крим та запущено гімн України. ³⁸
• Хакери втрутилися в роботу сервісу «Яндекс таксі» і створили двогодинну пробку в російській столиці. ³⁹
• Українські хакери встановили координати російської військової бази біля тимчасово захопленого Мелітополя за фотографіями, використовуючи фейкові акаунти в соцмережах. ⁴⁰
• Вимога від імені груп XakNet і KillNet «зупинити криваве московське колесо» на зламаному сайті оглядового колеса “Сонце Москви”. ⁴¹
• Зламано сайти мособленерго та кримського інформаційного сервера. ⁴²
• В окупованому Криму хакери запустили по ТБ звернення Зеленського та заклик до окупантів здаватися ЗСУ. ⁴³
• Зламано сайти великих російських аеропортів (Пулково (Санкт-Петербург), аеропорти Єкатеринбургу, Хабаровська, Уфи, Благовіщенська та Самари) та розміщено антивоєнні банери із закликом до росіян ухилятися від мобілізації. ⁴⁴

Злив даних:

• Російський стрімінговий гігант зазнав масштабного витоку даних 44 мільйонів користувачів. ⁴⁵
• У відкритий доступ потрапив дамп 3,744 млн користувачів одного з найбільших російських мережевих гіпермаркетів Онлайн-Трейд. ⁴⁶
• Українські хакери з Ukrainian Cyber Alliance зламали Федеральну службу виконання покарань (ФСВП) рф. ⁴⁷
• Кіберрухи CAS, UCA та DF зламали офіційний сайт ОДКБ та виклали архів із вихідним кодом у загальний доступ, пообіцявши продовжити свою діяльність. ⁴⁸

Anonymous:

• Зламали сайт міноборони росії та розмістили в інтернеті базу з даними понад 300 тис. чоловіків, які підлягають частковій мобілізації в першу чергу. ⁴⁹
• Колектив Anonymous, Squad303, проводить кампанію проти російських бізнесменів:
• Squad303 розкрив список росіян і російських компаній, які працюють у Польщі. ⁵⁰
• Squad303 опублікували список росіян, які мають великий економічний вплив у Великобританії. ⁵¹
• В одному з дописів на запит чеського сервера Fonetech хакери повідомили, що російські компанії, які працюють в Чехії, будуть наступними. ⁵²

Кібератаки у світі

ФБР

ФБР випустило оголошення, в якому попереджає інвесторів про те, що уразливості платформ децентралізованого фінансування (DeFi) все частіше використовують кіберзлочинці для крадіжки криптовалюти. У період з січня по березень 2022 року кіберзлочинці вкрали криптовалюти на суму 1,3 млрд дол., майже 97 відсотків з яких було вкрадено з платформ DeFi. ⁵³

The 471 Cyber Threat Report

Головний постачальник даних про кіберзагрози Intel 471 опублікував The 471 Cyber Threat Report про найвпливовіші кіберзагрози за останній рік і прогнози на майбутнє. Встановлено, що основними загрозами є скомпрометований доступ і дані, програми-вимагачі, повернення ШПЗ Emotet і використання вразливостей. Загрози, що розвиваються, включають хактивізм, служби обходу одноразових паролів (OTP), атаки на ланцюги поставок і ШПЗ, що викрадає інформацію. Очікується збільшення атак програм-вимагачів і зростання попиту на доступ до мережі. ⁵⁴

Національна поліція України

Національна поліція України успішно розкрила групу крипто-кіберзлочинців, які керували «колл-центрами», націленими на місцевих жителів і громадян Європейського Союзу. Шахраї нібито пропонували допомогу потерпілим від криптошахрайства іноземцям, і пропонували інвестиційні пакети в криптовалюту, золото, нафту та цінні папери. ⁵⁵

Мережа готелей InterContinental

Кібератака вивела з ладу системи бронювання готелів InterContinental. У зверненні InterContinental Hotels Group (IHG) йдеться про те, що компанія працює над якнайшвидшим вирішенням проблеми і оцінкою характеру, масштабів та наслідків інциденту. ⁵⁶  IHG не розголошує, чи була атака спричинена дією програм-вимагачів чи інших шкідливих програм, але компанія з аналізу загроз Hudson Rock виявила, що в результаті даної атаки було скомпрометовано принаймні 15 співробітників IHG і 4030 користувачів внутрішньої мережі. ⁵⁷

Proofpoint

Proofpoint, Inc., ведуча компанія з кібербезпеки та комплаєнсу, та Ponemon Institute, провідна дослідницька організація з ІТ-безпеки, оприлюднили результати нового дослідження впливу кібербезпеки на охорону здоров’я. Встановлено, що 89% опитаних організацій зазнавали в середньому 43 атаки за останні 12 місяців, що означає майже по одній атаці на тиждень. Чотирма найпоширенішими типами атак виявились: компрометація хмарного сховища, програми-вимагачі, атаки на ланцюжок поставок і компрометація електронної пошти (BEC)/спуфінг-фішинг. Встановлено, що через кібератаки понад 20 відсотків постраждалих організацій охорони здоров’я стикаються з підвищенням рівня смертності пацієнтів. ⁵⁸

Ransomware

Дослідники Unit 42 повідомили, що група ransomware-as-a-service (RaaS), відома як Black Basta, скомпрометувала понад 75 організацій за останні кілька місяців. Група RaaS використовує техніку подвійного вимагання, тобто окрім шифрування файлів у цільових системах і вимоги викупу за розшифровку, вони також підтримують сайт витоку даних в dark web, куди погрожують опублікувати конфіденційну інформацію, якщо компанія вирішить не платити викуп. ⁵⁹

Bleeping Computer

За даними Bleeping Computer, одна з найактивніших груп програм-вимагачів, LockBit, створила сайт для витоку даних після червневого злому гіганта цифрової безпеки Entrust. Хакери почали ділитися скріншотами ймовірно викрадених даних, які включали юридичні документи та бухгалтерську інформацію, але витік був недовгим, оскільки сайт LockBit Tor майже відразу став недоступний через DDoS-атаку. ^{60, 61}

Mandiant

Компанія Mandiant, яка стежила за діяльністю підтримуваної державною владою російської кібершпигунської групи Cozy Bear (також відомої як APT29 і Nobelium), опублікувала звіти, в яких висвітлюються передові тактики APT29 і деякі з їхніх найновіших TTP (тактики, техніки та процедури). Основною знахідкою є зловживання хакерами послугами Azure для злому користувачів MS 365. ⁶²

Глобальний центр взаємодії в кіберпросторі (GC3) співпрацює з компаніями, правоохоронними та дослідницькими організаціями для нейтралізації кіберзлочинності.