Все что нужно знать про киберпреступность и кибершпионаж 2023 года в Казахстане
По традиции АО «Государственная техническая служба» в начале года представляет для своих читателей очередной выпуск кибердайджеста, посвященного инцидентам в области информационной безопасности (ИБ) в Казахстане за прошедший период. Прошедший год оказался богатым на события и вызовы в области ИБ, с которыми сталкиваются как индивиды, так и организации. Угрозы ИБ постоянно эволюционируют, а киберпреступники находят новые способы атак, чтобы получить доступ к чувствительной информации. Ниже мы рассмотрим наиболее значимые и влиятельные инциденты в области ИБ, произошедшие в Казахстане и мире за 2023 год.
ОБЗОР КОМПЬЮТЕРНЫХ ИНЦИДЕНТОВ ВНУТРИ СТРАНЫ
С ростом числа цифровых технологий также возрастает и уровень угроз информационной безопасности, с которыми сталкиваются организации и частные лица.
1.В начале текущего года стало известно об утечке персональных данных клиентов сети спортивных магазинов «Спортмастер» из стран СНГ. Список содержал в себе более 260 000 строк с данными граждан Казахстана.
2. В инфраструктуре государственных организаций выявлены иностранные кибершпионы. В марте 2023 года АО «ГТС» совместно с КНБ РК сообщило о выявлении хакерской группировки, которая осуществляла кибершпионаж путем негласного сбора документов из инфраструктур нескольких государственных органов и организаций. Злоумышленникам удалось скомпрометировать основные элементы информационно-коммуникационных инфраструктур государственных органов и организаций, в том числе были зафиксированы факты компрометации рабочих станций руководителей.
3. Известно, что для подписания запроса на получение госуслуги необходимо установить NCALayer. В сентябре 2023 года выявлен фишинговый интернет-ресурс, при открытии которого под видом обновления для NCALayer загружается и запускается вредоносная программа типа «Trojan Downloader».
4. В ноябре 2023 года зафиксировано увеличение количества инцидентов информационной безопасности, связанных с утечкой персональных данных. Причиной утечки являются инфостилеры, вредоносные программные обеспечения (далее – ВПО), которые нацелены на кражу личных данных (пароли, банковские данные и другие чувствительные сведения)с зараженных компьютеров. Этот тип ВПО создан для скрытой работы и передачи украденных данных злоумышленникам
МЕЖДУНАРОДНЫЕ УГРОЗЫ И СОБЫТИЯ
Регулярный анализ в течение года международных угроз и событий в области информационной безопасности оправдан по ряду ключевых причин. В первую очередь, динамичная природа угроз информационной безопасности требует регулярного мониторинга, так как злоумышленники постоянно совершенствуют свои методы атак. Только систематический анализ поможет выявлять новые угрозы и эффективно реагировать на них.
В 2023 году в международном сообществе были распространены следующие типы угроз и инцидентов информационной безопасности, направленные на крупных игроков мирового рынка:
- Атаки на конечные точки (Endpoint-Based Attacks)
- Атаки с использованием программ-вымогателей
- Атака на цепочку поставок 3CX
- Утечка данных (data leak)
- Несанкционированный доступ (кибератаки)
- Уязвимости
- Облачные кражи информации
Подробнее об инцидентах на сайте STS.KZ.
СТАТИСТИКА ПО ИНЦИДЕНТАМ ИБ:
Анализируя обработанные инциденты информационной безопасности, команда «ГТС» стремится выделить основные тренды и особенности, что позволит нам не только извлекать уроки из предыдущих опытов, но и разрабатывать более эффективные стратегии по защите от будущих киберугроз.
С января 2023 года командой «ГТС» было зарегистрировано порядка 35тысяч заявок по угрозам и инцидентам информационной безопасности.
- ВПО – 21940.
- ТОП – 5 ГО
Ботнет – 4040
- Эксплуатация уязвимости – 2 726 инцидентов ИБ.
- Фишинговая атака – 2160 инцидентов ИБ.
- Отсутствие доступа к интернет-ресурсу – 1 090 инцидентов ИБ.
- ТОП-5 ИР по общей длительности недоступности:
| Наименование ИР | Количество фиксаций недоступности | Общее время недоступности (дней) | Общее время недоступности (час) |
| spon.energo.gov.kz | 10 | 48,3 | 1 161 |
| pkrezerv.gov.kz | 2 | 25,8 | 620 |
| election.gov.kz | 67 | 16,1 | 388 |
| sud.gov.kz | 154 | 14 | 337 |
| dot.saylau.kz | 24 | 12,3 | 295 |
Сведения об атаках на клиентов ЕШДИ (Единый шлюз доступа к Интернету)
В 2023 году количество попыток найти брешь в защите клиентов ЕШДИ зафиксированы с использованием инфраструктуры стран, указанных в графиках.
Сведения о вредоносной активности, направленной на клиентов ЕШДИ с целью эксплуатации уязвимости CVE-2023-28771 за 2023 год – более 223 млн. атак:
Пик вредоносной активности приходится на июль и почти все они (95%) связаны с попытками эксплуатации уязвимостей в оборудованиях Zyxcel (Zyxel.Firmware.error.message.Command.Injection).
С информацией об уязвимости можно ознакомиться по ссылке: https://www.fortiguard.com/encyclopedia/ips/53203. По сведениям Forti, уязвимость затрагивает оборудования Zyxcel, используемые для защиты промышленных систем (SCADA -Supervisory Control And Data Acquisition).
Доля атаки, которая была направлена на госсектор (МИО-44%, ГО-18%),составила 62%. Атаки преимущественно были направлены на северные регионы РК (Северо-Казахстанская область, Акмолинская область, Костанайская область).
Сведения о вредоносной активности, направленной на клиентов ЕШДИ – ТОП-5 атакующих (с использованием инфраструктуры) стран:
Подробнее об кибератках на сайте STS.KZ.
БУДУЩИЕ ТЕНДЕНЦИИ И ПРОГНОЗЫ
Искусственный интеллект (ИИ) и машинное обучение.
В 2024 году ожидается, что развитие ИИ значительно продвинется и принесет с собой множество новых возможностей и вызовов. Стоит также отметить, что одной из главных областей, где ИИ уже демонстрирует себя с большим успехом, является медицина. Врачебные программы на основе ИИ способны диагностировать заболевания с высокой точностью и предлагать оптимальные методы лечения. Это позволяет своевременно обнаружить и бороться с различными заболеваниями, а также повышает эффективность работы медицинских учреждений.
Еще одним направлением, где ИИ обещает революционные изменения, является автоматизация процессов в различных отраслях экономики. С помощью ИИ будет возможно создавать умные системы управления производством, оптимизировать логистические процессы, улучшать качество контроля и многое другое.
Применение искусственного интеллекта и машинного обучения в информационной безопасности приносит многочисленные преимущества. В перспективе информационная безопасность искусственного интеллекта, поддерживаемая машинным обучением, станет «мощным» инструментом. Как и во многих других отраслях, человеческое взаимодействие давно уже играет ключевую и неотъемлемую роль в обеспечении безопасности. Несмотря на то, что на данный момент эффективность информационной безопасности в значительной степени зависит от человеческого участия, стоит отметить, что технологии все более успешно справляются с определенными задачами по сравнению с человеческими возможностями.
Генеративный ИИ используется по обе стороны битвы.
Поскольку искусственный интеллект (ИИ) развивается ускоренными темпами, растет обеспокоенность по поводу распространения все более сложных и интеллектуальных атак, управляемых ИИ. Спектр угроз включает в себя «дипфейковые» попытки социальной инженерии, а также автоматизированные вредоносные программы, которые демонстрируют интеллектуальное поведение, позволяющее обойти обнаружение различными средствами защиты.
Одновременно эта технология поможет выявлять, избегать или минимизировать потенциальные риски за счет использования обнаружения аномалий в реальном времени, интеллектуальной аутентификации и механизмов автоматического реагирования на инциденты информационной безопасности.
Вредоносные программы-вымогатели.
Вредоносные программы-вымогатели часто воспринимаются как более распространенная и разрушительная угроза информационной безопасности. Данная угроза остается значительной и ожидается сохранение ее важности в следующем году.
Киберпреступники будут использовать более сложные и утонченные методы, в том числе внедрение программ-вымогателей, основанных на искусственном интеллекте. Эти программы будут способны адаптироваться к изменениям в среде безопасности и обходить традиционные меры защиты. Надо подчеркнуть, что тактика двойного вымогательства, при которой злоумышленники сначала крадут конфиденциальные данные, а затем шифруют их, будет дальше развиваться, создавая дополнительное давление на потенциальных жертв и вынуждая их платить выкуп.
Фишинг.
Из-за своей способности манипулировать человеческой психологией фишинговые атаки и атаки социальной инженерии продолжают оставаться эффективными. Фишинговые атаки включают в себя использование электронных писем или веб-страниц с целью обмана пользователей. Ожидается, что в течение следующих двенадцати месяцев эти атаки станут более изощренными, целенаправленными и убедительными. Злоумышленники могут использовать технологию глубокой подделки, чтобы выдавать себя за доверенных лиц или манипулировать видео/аудио контентом, что еще больше затрудняет отличить подлинный контент от подделки.
Кибератаки на устройства IoT.
Прогнозируется, что в 2024 году темпы роста популярности IoT будут продолжать увеличиваться. Интернет вещей (IoT) представляет собой крайне удобный и полезный комплекс технологий, который значительно облегчает как повседневную жизнь, так и операционную деятельность организаций. Несмотря на огромную популярность и удобство устройств IoT, они обладают своими недостатками, такими как наличие трудно выявляемых уязвимостей и отсутствие стандартизации. Устройство IoT является потенциально уязвимой точкой входа в сеть. Поэтому эти сети могут представлять собой первый этап в масштабных взломах, особенно когда атака направлена против конкретной организации.
Защита критически важной инфраструктуры.
Кибератаки на критически важные инфраструктуры, такие как энергетические сети, транспортные системы и финансовые учреждения представляют собой значительную угрозу национальной безопасности и экономике. В 2024 году ожидается усиление мер по защите этих систем. Это может включать развитие специализированных решений для обнаружения и предотвращения атак, укрепление сотрудничества между государственными и частными организациями, а также повышение уровня готовности к инцидентам в критических отраслях.
Киберпреступность как услуга.
Развитие киберпреступности как услуги (Cybercrime-as-a-Service) означает, что даже неопытные злоумышленники могут получить доступ к продвинутым инструментам для осуществления атак. Это включает в себя всё — от аренды вредоносного ПО до покупки готовых кибератак на черном рынке. В результате барьер для входа в киберпреступность снижается, что может привести к увеличению числа и разнообразия атак. Организациям необходимо быть готовыми к более широкому спектру угроз и иметь комплексные системы защиты.
Облачная безопасность.
Переход на облачные технологии продолжает набирать обороты, что требует от организаций особого внимания к облачной безопасности. Это включает в себя защиту данных, хранящихся в облаке, обеспечение безопасности API, а также управление доступом и идентификацией в облачной среде. Также важным аспектом является безопасность конфигурации облачных сервисов, поскольку неправильно настроенные облачные ресурсы часто становятся целью атак.
Противодействие внутренним угрозам.
Внутренние угрозы — это один из наиболее сложных для обнаружения типов рисков. Они могут включать в себя не только преднамеренные действия сотрудников, но и случайные ошибки, приводящие к утечкам данных или другим проблемам безопасности. В 2024 году важно будет не только технологически контролировать и мониторить действия сотрудников, но и проводить регулярное обучение персонала, чтобы повысить осведомленность о потенциальных угрозах и методах их предотвращения.
Обучение и подготовка кадров.
Недостаток квалифицированных специалистов в области кибербезопасности продолжает оставаться проблемой для многих организаций. Ожидается, что спрос на обученные кадры в этой области будет расти. Организациям необходимо инвестировать в обучение и развитие своих сотрудников, чтобы подготовить их к эффективному реагированию на угрозы информационной безопасности. Это может включать в себя специализированные курсы, воркшопы, участие в симуляциях кибератак и регулярные тренинги по повышению осведомленности в области информационной безопасности. Кроме того, университеты и образовательные учреждения, возможно, будут расширять и углублять свои программы по информационной безопасности, чтобы удовлетворить растущий спрос на специалистов.
Все это показывает, что организациям предстоит столкнуться с рядом новых и усиливающихся угроз. Это требует комплексного подхода, включающего в себя технологические инновации, обучение персонала, соблюдение законодательства и международное сотрудничество. Постоянное обновление знаний и навыков, а также адаптация к изменяющимся условиям будут ключевым фактором успешной защиты от угроз информационной безопасности.
Подробнее в подкасте «Поговорим об ИБ», о кибератаках 2023 года, тендециях и прогнозах 2024 года https://www.youtube.com/watch?v=KEwnnAI_wxw
Кибердайджест размещен на сайте STS.KZ.
