В начале текущего сентября компания Positive Technologies опубликовала масштабный отчет «Актуальные киберугрозы в странах СНГ 2023-2024», в котором значительное внимание уделено Казахстану.
Кто и как атакует СНГ
Как отмечается в отчете, основными методами кибератак в СНГ, как и во всем мире, являются использование вредоносного программного обеспечения (ПО) и социальной инженерии (манипулирование личным и общественным сознанием). Positive Technologies выделяет характерную особенность: если в мире доля DDoS-атак составляет восемь, то в Содружестве — 18 процентов всех киберугроз.
Эту большую разницу компания объясняет «текущей напряженной геополитической обстановкой». За этой политкорректной формулировкой — не что иное, как глобальное противостояние между коллективным Западом и Россией, между глобальными Севером и Югом.
Согласно анализу Positive Technologies, основными последствиями эффективных атак на организации стали утечка конфиденциальной информации (41 процент) и нарушение основной деятельности (37 процентов). Атаки на частных лиц заканчивались утечкой конфиденциальной информации в 68 и прямыми финансовыми потерями в 32 процентах случаев.
В 2023-м и первой половине 2024 года максимальному числу атак в СНГ подверглись госучреждения (18 процентов), промышленность (11 процентов) и телекоммуникации (10 процентов). Эти три сектора представляют наибольший интерес для злоумышленников по двум причинам.
Во-первых, субъекты названных сфер стратегически важны для экономики стран. Именно они подвергаются кибератакам в первую очередь в условиях геополитической напряженности. Во-вторых, в государственных, промышленных и телекоммуникационных организациях и компаниях хранятся большие объемы конфиденциальной информации, прежде всего персональные данные и коммерческие тайны. На них прежде всего нацелены злоумышленники самых разных категорий, начиная с торговцев информацией на теневых рынках и заканчивая прогосударственными кибершпионами, собирающими разведданные.
В нападениях на СНГ с использованием вредоносного ПО наиболее часто применялось шпионское ПО — в 41 проценте атак на организации и в 53 процентах атак на частных лиц. Среди распространенных инфостилеров (трояны, разработанные для сбора конфиденциальных данных) — Agent Tesla, X Digo, Azorult, Raccoon, Formbook, Red Line. Во II квартале 2024 года, по данным сервиса ANY.RUN, чаще всего использовались Red Line и его вариант Meta Stealer, которыми орудовали кибершпионские группы Reaver Bits и Sticky Werewolf, а также финансово мотивированный Vasy Grek (Вася Грек, известный также как Fluffy Wolf).
Атаки кибершпионских групп — одна из острых угроз для стран СНГ. Их доля составляет 18 процентов от общего числа успешных атак. Наиболее часто жертвами становятся госучреждения, промышленность, сфера науки и образования. Максимальный объем ценной информации именно в этих секторах, поэтому они и становятся лакомыми целями кибершпионов.
В 48 процентах атак на организации и в 92 процентах атак на частных лиц использовались методы социальной инженерии (манипулирование сознанием). Частные лица преимущественно становились жертвами социальной инженерии, посещая мошеннические сайты (45 процентов), либо сталкивались со злоумышленниками в мессенджерах (42 процента).
Кто и как атакует Казахстан
Positive Technologies сообщает, что по состоянию на сентябрь 2023 года Казахстан занимал 78-е место в глобальном рейтинге кибербезопасности NCSI (разработан и отслеживается Академией электронного управления Эстонии), в СНГ уступая позиции Беларуси, Молдове, Азербайджану и России. Для сравнения: в тройке лидеров рейтинга Бельгия, Литва и Эстония, Великобритания занимает девятое, Россия — 30-е, США — 47-е, Китай — 72-е место.
Без малого две трети кибератак в СНГ в 2023 — 2024 годах пришлись на Россию (73 процента), на втором и третьем местах — Казахстан (восемь процентов) и Беларусь (семь процентов).
Наиболее часто жертвами киберпреступлений в Казахстане в 2023 и 2024 годах становились СМИ (19 процентов), госучреждения (12 процентов), финансовые организации (12 процентов) и телекоммуникации (семь процентов). Автор отчета объясняет, что высокая доля атак на СМИ обусловлена тем, что на казахстанские СМИ с ноября 2023 года обрушилась волна DDoS-атак. Они затронули минимум девять негосударственных СМИ и персонально нескольких журналистов в мессенджерах и соцсетях. Наибольшая доля киберпреступлений против казахстанских СМИ указывает на обострение в республике идеологической борьбы, в том числе с внешним участием.
Большинство кибератак на Казахстан (65 процентов) происходило с использованием вредоносного ПО, а в каждой второй атаке (53 процента) применялась социнженерия (манипулирование сознанием). Больше трети атак (35 процентов) заканчивались утечкой конфиденциальной информации. Наибольшим вожделением пользовались персональные и учетные данные. Национальная служба реагирования на компьютерные инциденты KZ-CERT назвала инфостилеры, с помощью которых злоумышленники воровали персональные данные, — Read Line, Vidar, Raccoon и Azorult.
Торговля в даркнете и дипфейки
На теневых площадках злоумышленники торгуют и обмениваются украденными данными, в том числе персональными, фальшивыми документами, доступом в локальную сеть, инструментами и услугами для атак. Positive Technologies проанализировала более 400 объявлений в даркнете, на теневых форумах и Telegram-каналах с упоминанием стран СНГ на протяжении 2023-го и первой половины 2024 года. Объем публикаций растет: в первом полугодии 2024 года объявлений опубликовано на 35 процентов больше, чем за аналогичный период 2023-го. Стоимость баз данных жителей стран СНГ колеблется от 100 до 50 000 долларов США, уточняет автор отчета.
Справка «НП»
Даркнет (англ. DarkNet, также известен как «Скрытая сеть», «Темный интернет», «Темная сеть», «Теневая сеть», «Темный веб») — анонимная скрытая сеть, зайти в которую возможно лишь с использованием нестандартных протоколов и портов. Часто используется в неблаговидных и преступных целях.
Некоторые объявления касаются двух и более стран СНГ. В одном объявлении может продаваться доступ к нескольким организациям из разных государств. Большая часть объявлений касалась России (85 процентов), Беларуси (29 процентов) и Казахстана (28 процентов), на которые совершено наибольшее число атак. Беларуси и Казахстану больше всего адресовано объявлений, связанных с обналом и фальшивыми документами.
Positive Technologies отмечает, что все чаще инструментами пропаганды, компрометации и вымогательства становятся дипфейки — фальшивые видео со звуком. Сгенерированные с помощью искусственного интеллекта, они стали неотъемлемой частью политической борьбы по всему миру.
Например, летом 2023 года было взломано несколько российских телеканалов и радиостанций. В результате в эфир попало видео якобы президента РФ Владимира Путина, дипфейк которого объявил в стране военное положение и сообщил о нарушении госграницы. А 12 июня, в День России, дипфейк президента Украины Владимира Зеленского поздравил с этим праздником зрителей украинского телевидения, также взломанного хакерами. С целью компрометации вип-персон киберхулиганы также выкладывали в сеть дипфейки президентов Казахстана и Узбекистана, а также Дариги Назарбаевой.
Около трети связанных с политикой дипфейков появляются в период выборов. В 2023-м и 2024 годах дипфейки сопутствовали предвыборным кампаниям в США, Великобритании, Словакии, Турции, Аргентине, Бангладеш, Индии, Пакистане и на Тайване. Positive Technologies прогнозирует, что в дальнейшем крупные политические события будут сопровождаться нарастанием дипфейков.
По гамбургскому счету
В июне 2024 года Positive Technologies обнаружила направленное в казахстанскую организацию фишинговое письмо с требованием обновить пароль. Форма его обновления находилась в прикрепленном к письму HTML-файле, который должен открыть пользователь. Данные, введенные жертвой в эту форму, поступают на URL легитимного сервиса formspark.io для заполнения разного рода форм, откуда попадают в руки злоумышленников.
Positive Technologies обращает особое внимание на то, что в Казахстане к утечке конфиденциальной информации приводила каждая четвертая атака на отечественный телеком, где хранятся и обрабатываются большие объемы персональных данных. Автор отчета указывает, что злоумышленники могут контролировать захваченную инфраструктуру провайдера в течение месяцев и даже лет, регулярно похищая из нее ценные сведения.
Например, в феврале 2024 года после публикации на платформе Git Hub конфиденциальных данных китайской компании iSoon обнаружилось, что злоумышленники имели полный доступ к инфраструктуре казахстанских операторов связи в течение более двух лет. В руках злоумышленников оказались огромные объемы различной информации, включая персональные и учетные данные казахстанских абонентов, отмечает Positive Technologies.
На фоне этого громкого скандала попытка Правительства РК разрешить операторам мобильной связи сбор еще и биометрии (изображение лица) клиентов («НП» рассказывало об этом в № 36 от 6 сентября в публикации «Каждого — под надзор») вызывает уже не удивление, а подозрение. Подозрение в том, что в недрах отечественных правительства и телекома затаилась шпионская агентура, действующая в интересах киберзлодеев.
Развеять эти подозрения сможет лишь официальная приостановка любых инициатив государства и бизнеса в расширении сбора конфиденциальной информации до того времени, пока государство и отечественный бизнес не научатся надежно защищать эту информацию. И докажут это не на словах, а на деле за счет адекватной реакции на утечку конфиденциалки, карая за ее утрату по гамбургскому счету и сократив утечку до символических значений.
Справка «НП»
Positive Technologies — российская компания, основанная в 2002 году программистом Юрием Максимовым. Среди ее клиентов — Минобороны РФ, «Роснефть», Московская фондовая биржа и другие крупные организации и предприятия. По оценкам государственного Центра стратегических решений РФ, компания занимает второе место среди российских разработчиков средств защиты информации и борьбы с киберугрозами.