Аналітичний дайджест кіберподій за жовтень

КЛЮЧОВІ ВИСНОВКИ

Уже протягом кількох років Україна долучається до світової ініціативи з привернення уваги до кіберзахисту та з 1 по 31 жовтня проводить «Місяць кібербезпеки».

Цього року ця подія – особливо важлива: росія розв’язала повномасштабну криваву війну проти України і намагається знищити нас не тільки танками, снарядами і ракетами, а й атакуючи в кіберпросторі. ¹

«Незаконна та жорстока агресія, яку вчинила російська федерація, кардинально змінила ситуацію в Україні … реальність має такий вигляд, що російська федерація перетворила на зброю навіть зв’язок, який мусить працювати в інтересах добробуту та розвитку», – з такою заявою на конференції Міжнародного союзу електрозв’язку (МСЕ) виступив голова Держспецзв’язку України Юрій Щиголь. ²

Під «прицілом» ворожих хакерів – і державні установи, і об’єкти критичної інфраструктури, і військові, і цивільне населення. ¹ Кожен українець може стати мішенню, вікном, через яке хакери потраплять до інформаційної системи державного органу чи компанії, діяльність якої є критичною для мільйонів людей. Тому обов’язок кожного – дотримуватись тих правил та рекомендацій з кібербезпеки, які розробляє держава. ³

Від початку року урядова команда реагування на комп’ютерні надзвичайні події CERT-UA, що належить до Держспецзв’язку України, зареєструвала понад 1700 кібератак. ³ Попри численні кібератаки на критичну інформаційну інфраструктуру, російським хакерам не вдалося досягти жодної стратегічної цілі. ⁴

Вітчизняна кіберспільнота одразу після початку війни перейшла в активний контрнаступ на кіберфронті та змушує ворога витрачати серйозні ресурси на свій захист. ⁵

Завдяки щільній співпраці між ЄС та іншими міжнародними партнерами у сфері кібербезпеки та кіберзахисту Україна продемонструвала неабияку здатність протистояти кібератакам та захищати свою критичну інфраструктуру. ⁶

Кіберстійкість країни – результат спільної роботи всіх ланок суспільства. Її ключовою складовою є залучення до цього процесу Уряду, громадських організацій, наукових кіл, приватного сектору і суспільства загалом. Про це на конференції «Побудова стійкості суспільства шляхом підвищення обізнаності громадськості про кіберзагрози та підвищення ролі кіберосвіти» у польському представництві ОБСЄ в місті Лодзь сказав заступник голови Держспецзв’язку України Олександр Потій. ⁷

На міжнародній конференції «Формування кібербезпеки» Олександр Потій, зауважив, що нинішнє зниження атак зі сторони росії можна пояснити «періодом підготовки» до майбутніх. ⁸

«Ми на 100% впевнені, що навіть після завершення війни кількість кібератак збільшуватиметься в геометричній прогресії. Адже ми живемо в новому світі, коли можуть і не скидати бомби, але зламуватимуть критичні інфраструктури, тому приватний сектор має допомагати державі», – експерт з кібербезпеки, співзасновник і генеральний директор компанії Cyber Unit Technologies Єгор Аушев. ⁹

За словами Олександра Потія, з цієї кібервійни можна засвоїти кілька важливих уроків:

• Кібератаки на Україну слугують підтримкою російських воєнно-політичних операцій. Злочинні угруповання добре скоординовані спецслужбами: ГРУ, ФСБ, російський генштаб.
• Викрадення грошей і викуп не є справжніми цілями кібератак. Ворог має намір збирати інформацію (як про державну, так і про приватну інфраструктуру, а також про пересічних громадян). Він працює на знищення інформаційної інфраструктури, на поширення паніки та недовіри до влади серед людей.
• російська федерація свідомо атакує цивільну інфраструктуру та цивільні цілі. ⁸

УКРАЇНА У КІБЕРПРОСТОРІ

 Міжнародна взаємодія

• Наприкінці вересня відбувся другий кібердіалог «Україна-ЄС», де, зокрема, обговорювали і питання відбиття російських кібератак. Було встановлено, що ЄС і надалі надаватиме координовану політичну, фінансову та матеріальну підтримку Україні для посилення її кіберстійкості. ⁶
• Україна розвиває співпрацю з Агентством ЄС із мережевої та інформаційної безпеки (ENISA). Започаткований 2019 року проєкт має на меті підтримку країн Східного партнерства у розвитку їхніх кіберпотенціалів та законодавчої бази, а також сприяння сумісності та наближенню правових рамок, передового досвіду та співпраці. ¹⁰
• Український досвід протистояння у кібервійні зараз має високу цінність у світі. 25 жовтня, у межах місяця кібербезпеки в ЄС, Держспецзв’язку України поділиться деталями нашої кіберстійкості з європейськими партнерами. ⁴
• Швейцарія виділяє понад 500 мільйонів гривень на цифровізацію України. ¹¹

Розвиток кіберсфери

• Спеціалісти компанії Favbet Tech долучилися до ініціативи Міністерства цифрової трансформації й вступили до лав IT-армії. ¹² За словами CEO компанії Артема Скрипника, кіберспротив зараз став частиною роботи ледь не усієї команди під його керівництвом. ¹³
• У межах Місяця кібербезпеки в Україні Держспецзв’язку створила спеціальний сайт cip.gov.ua, на якому можна знайти корисну інформацію з кібербезпеки для всіх груп користувачів інтернету, в тому числі – тих, хто планує зробити кібербезпеку своєю професією. ¹⁴

Запобігання кібератакам

• СБУ нейтралізувала хакерське угруповання зі Львова, яке зламало майже 30 млн акаунтів громадян України та ЄС і продавало їх особисті дані у даркнеті. ¹⁵
• Головне управління розвідки Міністерства оборони України розвідало, що російські окупанти готують масовані кібератаки на об’єкти критичної інфраструктури, зокрема на підприємства енергетичної галузі України та її союзників. ¹⁶
• Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, оприлюднила рекомендації для уникнення кібератак та забезпечення захисту інформаційних систем, дослідивши десятки цільових атак, спрямованих на виведення з ладу інформаційно-комунікаційних систем та порушення конфіденційності інформації, що в них обробляється. ¹⁷
• З початку війни СБУ нейтралізувала майже 3,5 тис. кібератак на органи влади та об’єкти інфраструктури. ¹⁸
• Головне управління розвідки Міністерства оборони України зірвало провокацію росіян проти генерального директора компанії Baykar Defence Халюка Байрактара. ¹⁹
• Кіберполіція викрила масштабну ботоферму, яка налічувала понад 50 тис. ботів у соціальних мережах та поштових сервісах та поширювала фейки й пропаганду про війну в Україні. ²⁰
• Служба безпеки України (СБУ) ліквідувала у Дніпрі ворожу ботоферму, яка створила майже 10 тис. фейкових акаунтів для «розгону» кремлівської пропаганди в ЄС. ²¹

РОСІЯ У КІБЕРПРОСТОРІ

Проблеми кіберсфери

• Фахівці ІТ-сфери залишають рф через мобілізацію, побоюючись, що вона виявиться не останньою. В АНО «Інформаційна культура» вважають, що 100 тисяч IT-фахівців, які потенційно виїхали, — це мінімум, від якого потрібно відштовхуватися. ²²
• Хакери рф почали здійснювати кібератаки на цілі всередині своєї країни. ²³

Міжнародний тиск

• Країни ЄС пропонують заборонити роботу російської компанії з кібербезпеки «Лабораторії Касперського» в рамках санкцій проти росії. ²⁴
• Статус росії як країни-вигнанця підтвердили члени Міжнародного союзу електрозв’язку. ²⁵

Спроби підняти кіберстійкість

• У зв’язку з великою кількістю кібератак, путін підписав наказ про створення у МВС росії спецпідрозділу по боротьбі з кіберзлочинами. ²⁶
• Мінцифри росії з метою розвитку IT-сфери у держсекторі збирає фахівців у галузі інформаційних технологій у кадровий резерв. ²⁷
• Влада росії планує використати «білих хакерів» для перевірки порталу «госуслуги» у зв’язку з численними зламами. ²⁸
• Мінцифри рф пропонує запровадити штрафи за витоки даних для компаній та їхніх посадових осіб. ²⁹
• Мінцифри росії запустило спецпроекти боротьби з кіберзагрозами для громадян. ³⁰

«Хакерські наміри» росіян

• В мережі було виявлено краудсорсинговий проект під назвою DDOSIA, запущений у середині серпня російськомовним угрупуванням під назвою «NoName057(16)», який платить добровольцям за DDoS-атаки на західні організації. DDOSIA налічує близько 400 учасників і залишається напівзакритим угрупуванням, що приймає нових учасників лише на запрошення. У списку цілей регулярно опиняються 60 військових та освітніх українських організацій. ³¹

ВИЯВЛЕНІ АТАКИ 

Кібератаки на Україну

Dos/DDos:

• Хакери провели потужні DDoS-атаки на посилання на збір коштів у Monobank на закупівлю дронів-камікадзе: до 6 млн пакетів у хвилину на вхід + трафік 11 Гбіт у хвилину, що в 35 разів більше штатних показників. ³²

Phishing/ШПЗ:

• Невідомі від імені редакції Bihus.Info розсилають запити до державних органів України. ³³
• У Microsoft зафіксували, що починаючи з 11 жовтня, була розгорнута кібератака програм-вимагачів на транспортні та логістичні компанії України та Польщі. ³⁴
• Зафіксовано фішингові розсилки електронних листів нібито від імені СБУ з пропозицією завантаження програм нібито для посилення кіберзахисту та знищення вірусів. ³⁵
• Виявлено кібератаку на державні організації України з використанням шкідливої програми RomCom. Можлива причетність Cuba Ransomware aka Tropical Scorpius aka UNC2596. ³⁶

Викрадення даних:

• російський букмекер 1XBet створив мережу збору особистих даних українців: MelBet, PointLoto, FanSport, BetWinner. ³⁷

Кібератаки на росію

Deface:

• ІТ-армія України зламала сайт одкб (Организации Договора о коллективной безопасности) щоб «привітати» путіна з його днем народження. ³⁸

Злив/знищення даних:

• Відбувся витік даних користувачів найбільшого магазину електроніки dns-shop.ru. Хакер виклав файл розміром 6.6 ГБ, що містить дані 16 мільйонів покупців. ³⁹
• Anonymous викрали паспортні дані російської інфлюенсерки, яка закликала до розправи над українками, та заблокували її банківський рахунок. ⁴⁰
• Угруповання OneFirst видалило базу даних російської мережі супутникового зв’язку «Гонець», без якої мережа не може нормально функціонувати. ⁴¹
• Хакери з Cyber ​​Anarchy Squad зламали російську Єдину систему ідентифікації та аутентифікації (ЕСІА) та виставили для загального доступу дані тисяч російських підприємців, зареєстрованих на порталі Держпослуг. ⁴²
• Група Anonymous повідомила про публікацію 1,2 ТБ конфіденційних російських даних, що включають інформацію про ключову інфраструктуру національної безпеки росії, плани стратегій кібербезпеки та інші пов’язані дані. ⁴³
• ІТ-армія України дала кібервідповідь за теракти 10 жовтня, атакувавши пітерську енергокомпанію: частина Ленінградської області залишилася без світла. Усі дані, документи, паспорти та накази викладені в мережу. ⁴⁴
• ІТ-армія України поділилася базою податкової служби рф. ⁴⁵

Dos/DDos:

• Атаковано сайти http://militarist.ru/ та https://alfabank.com/. ^{46, 47}
• Сайт http://aeroexpress.ru/ було зламано. ⁴⁸

ІТ-армія України атакувала:

• російські АЗС, а саме онлайн сервіси для оплати, паливні картки, системи безоператорної відпустки палива; ^{49, 50, 51, 52}
• московську біржу moex.com; ⁵³
• Гознак, який відповідає за виготовлення державних знаків, включаючи виробництво банкнот; ⁵⁴
• Росінкас, найбільшого у росії перевізником готівки; ⁵⁴
• ГИИС ДМДК, єдину державну інформаційну платформу для всіх учасників ринку дорогоцінних металів, каміння та ювелірних виробів; ⁵⁴
• понад 70 інтернет магазинів, де росіяни можуть купити дрони (серед них citilink, mvideo); ^{55, 56, 57}
• картографічні та гео-інформаційній системи, зокрема одну з найбільших подібних систем країни агресора – 2GIS; ⁵⁸
• маркетплейс wildberries; ^{59, 60}
• com (телеканал «россия сегодня»), Ivi.ru.; ^{61, 62}
• російські банки (в т.ч. Совкомбанк, Сбербанк, Тінькофф Банк, Газпромбанк та банк «Открытие») та брокерів (в т.ч. ru, solidbroker.ru) та фінансовий маркетплейс banki.ru; ^{63, 64, 65, 66,67, 68}
• онлайн сервіси федеральної податкової служби росії. ⁶⁹

ШПЗ:

• Kelvinsecurity атакували російські компанії ООО «ДЕКС», ИП Дуванова Светлана Петровна та ООО «Био Лес». ⁷⁰

Інше:

• IT-армія України та Anonymous провели успішну спільну операцію «Мовчання степу» в результаті якої було виведено з ладу сотні офісних маршрутизаторів у провайдерів та інших компаній по всій росії. ⁷¹

Кібератаки в світі

Intel 471

Проросійські хактивістські групи, ймовірно, за підтримки Кремля, почали атакувати прихильників України. Вони були націлені на широкий спектр галузей і секторів, включаючи авіацію, енергетику, фінанси, державну та громадську безпеку, технології, медіа та телекомунікації. У липні та серпні 2022 року численні групи хактивістів активізували свою діяльність. Найбільш вражаючі інциденти щодо України, які були виявлені Intel 471, здійснені великими проросійськими групами хактивістів:

• Народная Cyberармия (Eng. People’s CyberArmy) aka CyberArmyRussia;
• FRwL Team, aka From Russia with Love, Z Team;
• KillNet;
• NBP Hackers;
• NoName057(16).

Через саму природу спонсорованих державою кібератак є обмежені переконливі докази того, що Кремль керує або підтримує вищезгаданий хактивізм. Кремль дистанціюється від будь-якої зловмисної діяльності, щоб не ризикувати порушенням статті 5 Договору про колективну оборону НАТО.

Chainalysis

Згідно з даними компанії Chainalysis, яка займається відстеженням криптовалют, понад 2 млрд дол. цифрової валюти було викрадено в результаті хакерських атак цього року, що призвело до найгіршого року втрат від хакерських атак у галузі та похитнуло віру в експериментальне поле децентралізованих фінансів, відому як DeFi. Багато крадіжок сталися через недоліки в комп’ютерних програмах, відомих як «розумні контракти», які живлять DeFi.

Білий дім

Білий дім має намір розпочати розробку мітки, щоб інформувати споживачів про те, які пристрої IoT відповідають «найвищим стандартам кібербезпеки» та більш стійкі до спроб злому. Серед перших пристроїв, які будуть позначені, є технології, які Білий дім вважає найбільш ризикованими, — маршрутизатори та домашні камери.

Кіберполіція України

Кіберполіцейські України у співпраці з іноземними партнерами (Європолом, проєктом «No More Ransom» та компанією «BitDefender») створили спеціальну вебплатформу – www.nomoreransom.org — для допомоги компаніям, що постраждали від хакерських атак із шифруванням інформації, які здійснювало транснаціональне злочинне угруповання, яке вдалось викрити наприкінці минулого року. За результатами аналізу вилучених носіїв інформації отримано численні приватні ключі від атак програм-вимагачів. Зазначені ключі дають можливість потерпілим компаніям і установам відновити раніше зашифровані дані.

Varonis

Відповідно до нового звіту «Велике розкриття SaaS даних» компанії Varonis, середня компанія, що зберігає дані в хмарі, має 157 000 конфіденційних записів, відкритих для всіх в Інтернеті завдяки функціям спільного використання додатків SaaS, що становить ризик витоку даних на 28 млн дол. Дослідження підкреслює, як важкоконтрольована співпраця, складні дозволи SaaS і ризиковані неправильні конфігурації призвели до того, що небезпечний обсяг хмарних даних піддається внутрішнім загрозам і кібератакам.

Mandiant

Для звіту дослідники з Varonis проаналізували майже 10 млрд хмарних об’єктів (понад 15 петабайт даних) у випадковій вибірці оцінок ризиків даних, проведених у понад 700 компаніях по всьому світу. Кіберзлочинці використовують раніше незадокументований набір інструментів «фішинг як послуга» (PhaaS) під назвою «Кофеїн», щоб ефективно збільшити масштаб своїх атак і розповсюдити шкідливі дані. «Ця платформа має інтуїтивно зрозумілий інтерфейс і має відносно низьку вартість, водночас надаючи своїм клієнтам-злочинцям безліч функцій та інструментів для організації та автоматизації основних елементів їхніх фішингових кампаній», — йдеться в новому звіті Mandiant.

BNB Chain

BNB Chain, блокчейн, пов’язаний з криптовалютною біржею Binance, оприлюднив експлойт на міжланцюжковому мосту, через який було витрачено близько 100 млн дол. цифрових активів. Повідомляється, що жодні кошти користувачів не постраждали, оскільки вразливість у мості BSC Token Hub дозволила невідомому субʼєкту загрози карбувати нові токени BNB несанкціонованим способом.

Глобальний центр взаємодії в кіберпросторі (GC3) співпрацює з компаніями, правоохоронними та дослідницькими організаціями для нейтралізації кіберзлочинності.