| +22 голоса |
|
Аналітичний звіт «російські кібероперації» за друге півріччя 2024 року підготували фахівці CERT-UA. Дослідження базується на аналізі кіберзагроз, виявлених с червня по грудень минулого року, та висвітлює зміну тактик і пріоритетів російських хакерських угруповань.
Серед тенденцій – зростання кількості інцидентів на 48% порівняно з першим півріччям. Фахівці відзначають суттєве підвищення складності атак та рівня чутливості об’єктів, на які вони були спрямовані. Ворог активно впроваджує автоматизацію, застосовує атаки supply chain для проникнення через постачальників ПЗ, комбінують техніки шпигунства і саботажу. Основний вектор атак – збір розвідданих, які можуть вплинути на оперативну ситуацію на фронті. Зокрема, противник націлений на системи ситуаційної обізнаності та спеціалізовані оборонні підприємства.
Водночас підвищення рівня кібергігієни серед українських організацій, удосконалення механізмів раннього виявлення загроз і розширення міжнародної співпраці дозволили запобігти значній частині атак ще на ранніх стадіях.
Протягом другого півріччя 2024 року було ідентифіковано та проаналізовано близько 70 окремих кампаній, пов’язаних із масовим розповсюдженням шкідливого програмного забезпечення (ШПЗ). Водночас зафіксовано понад 750 звернень від користувачів, які стали мішенню фішингових атак. Однак фактична кількість підтверджених випадків зараження ШПЗ виявилася на 90% меншою. Це свідчить про зростання рівня кібергігієни серед організацій, з якими взаємодіє Держспецзв’язку, покращення механізмів раннього виявлення загроз та ефективну роботу команд з реагування на інциденти.
У другій половині 2024 року зафіксовано значне зростання кібератак, спрямованих на сектор безпеки та оборони, що вказує на критичність використання кіберкомпоненти у ворожих розвідувальних операціях.
Відомі хакерські угруповання, пов’язані з гу гш зс рф та фсб, зберігають традиційні методи атак. Натомість нові військові кіберпідрозділи демонструють вищий рівень автоматизації, агресивності та масштабу операцій. Російські хакери систематично намагаються порушити роботу об’єктів енергетичного сектору України, координуючи кібератаки із масованими обстрілами енергосистеми.
Крім того, триває системна кампанія російських хакерів проти українського комерційного сектору. Основний вектор – викрадення коштів та поширення ransomware. Масштаби таких атак досягли рекордних показників. Попри серйозність загрози, бізнес-сектор значно менш підготовлений до кібератак, ніж державні установи, та не завжди готовий відкрито ділитися інформацією про інциденти. Додаткову складність створює низький рівень довіри до державних органів, відповідальних за кібербезпеку, які суттєво підвищили ефективність роботи та якість підходів впродовж трьох попередніх років.
Однією з найбільш резонансних атак другого півріччя стала атака у грудні на державні реєстри Міністерства юстиції України. Інцидент призвів до серйозних збоїв у роботі ключових державних сервісів, що призвело до проблем під час перетину кордону та проведення митних операцій. Масштаб наслідків продемонстрував критичну залежність процесів у державних органах від наявної цифрової інфраструктури та потребу перегляду стратегій резервування та підвищення стійкості для всіх організацій державного сектору.
Прямі атаки на об’єкти критичної інфраструктури (ОКІ) стали значно складнішими в реалізації. Зловмисники змушені змінювати тактику та використовувати атаки на ланцюги постачання (supply chain) як основний вектор проникнення. Передусім вони приділяють увагу компрометації постачальників спеціалізованого ПЗ, яке використовується на ОКІ, оскільки такі компанії часто не мають достатнього рівня кіберзахисту, а їхній злам відкриває хакерам нові можливості для подальшого розширення доступу до критичних систем.
Попри суттєві покращення в захисті українських енергетичних компаній та значний досвід реагування на атаки, набутий за останні 11 років, російські APT-групи продовжують діяти, використовуючи знання внутрішньої архітектури українських енергосистем, які вже були атаковані раніше. Оскільки повна перебудова ОТ-мереж є складним і комплексним завданням, противник здійснює спроби відновити доступ до історично скомпрометованих сегментів інфраструктури, постійно шукаючи нові точки входу. Ці точки завжди існуватимуть через динамічність та складність інфраструктури, що робить ситуацію особливо небезпечною.
Таким чином, атаки на енергетичний сектор трансформувалися у складніші та триваліші операції, реалізація яких може займати 6-8 місяців. Вони вимагають від зловмисників нових підходів до прихованого проникнення, утримання доступу та використання слабких місць у суміжних системах.
Однак, завдяки посиленій співпраці з міжнародними партнерами, розширенню мережі сенсорів моніторингу та покращенню механізмів раннього виявлення загроз, значну частину ворожих операцій вдалося ідентифікувати та нейтралізувати ще до їхньої повної реалізації. Водночас для забезпечення більш ефективного виявлення атак необхідне подальше розгортання додаткових сенсорів та аналітичних систем на об’єктах критичної інфраструктури.
Тривають як широкомасштабні, так і точкові атаки, спрямовані на окремих людей у Signal, Telegram та WhatsApp, з метою викрадення листування та конфіденційної інформації, а також зараження мобільних пристроїв і Windows-систем імплантами для постійного стеження.
Також другу половину 2024 року характеризує зростання кібератак проти об’єктів оборонно-промислового комплексу. Відзначено цілеспрямовані атаки на окремих військових, комп’ютери яких можуть містити інформацію щодо оперативної ситуації на фронті, складу сил і засобів, а також доступ до систем ситуаційної обізнаності. Мали місце атаки на підприємства ВПК, спрямовані на викрадення даних про новітні зразки озброєння та технології захисту, що може бути використано ворогом для розвитку власних систем озброєння.
Неоновлене ПЗ та інші грубі помилки системних адміністраторів – залишаються однією з ключових загроз для всіх категорій організацій. Часто тестові сервери та допоміжні системи залишаються поза увагою адміністраторів, що створює потенційні точки компрометації, які використовують зловмисники. Практика свідчить, що хакери максимально оперативно експлуатують незакриті вразливості – буквально впродовж лічених годин після їх публічного розголошення.
Збільшення кількості атак потребує більшої координації між державними структурами, приватними компаніями та міжнародними партнерами для забезпечення ефективного реагування та протидії загрозам.
Kingston повертається у «вищу лігу» серверних NVMe SSD
| +22 голоса |
|
