У фокусі уваги січня – вразливість Ivanti Connect Secure, яка стала інструментом для кібершпигунської активності китайського угрупування UNC5221. Ця вразливість нульового дня настільки потенційно небезпечна, що CISA видала з цього приводу термінову директиву, обов’язкову для всіх федеральних установ. З власним попередженням щодо цієї загрози виступив і британський Національний центр кібербезпеки. Активність китайської кібершпигунської групи вписується у ширший контекст занепокоєння західних країн щодо китайської активності. Наприклад – щодо масового збору вразливостей у ПЗ яке використовується в іноземних компаніях. CISA додатково звертає увагу власників ОКІ в США щодо обережного використання безпілотних летальних апаратів китайського виробництва та випустила настанову щодо недопущення витоків даних внаслідок цього.
США продовжує шукати ефективні шляхи захисту власних ОКІ, особливо у тих секторах, які зараз знаходяться під найбільшим тиском – охорона здоров’я та водопостачання. У сфері охорони здоров’я ситуація стає особливо гострою – атаки проти лікарень стали повсякденним явищем, так само як і викрадення даних пацієнтів. Зловмисники шукають все нові інструменти навіть не проведення атак, а змушення атакованих до виплати викупів (федеральна влада ставиться до цього процесу все менш лояльно) шантажуючи не лише атаковані організації, але і пацієнтів. Навіть приватні компанії (наприклад, Palo Alto Network) починають випускати настанови для закладів охорони здоров’я, а урядові структури готуються до запровадження обмежень щодо федерального фінансування для тих медзакладів, які не запровадили мінімальні вимоги кібербезпеки.
Після низки кібератак проти систем водопостачання та водовідведення у грудні 2023 року, організації, які за них відповідають, опинились у центрі уваги безпекових органів та законодавців. В США як на загальнодержавному, так і на місцевому рівні триває дискусія про те, як краще захистити більше ніж 50 тисяч організацій водопостачання, які наразі діють в США. Вже у середині січня CISA разом з партнерами опублікували Керівництво з реагування на інциденти для сектору систем водопостачання та водовідведення яке має допомогти організаціям, але власники таких кампаній кажуть, що у них часто взагалі відсутні ресурси на заходи кіберзахисту. Тим часом атаки на такі організації продовжуються – у січні була атакована Southern Water, компанія, що надає послуги водопостачання 2,5 мільйона споживачів і послуги водовідведення 4,7 мільйона клієнтів у південних регіонах Англії.
Хоча дискусія щодо масштабів впливу штучного інтелекту на сферу кібербезпеки триває, однак майже всі організації вказують на нього як елемент, що змінює ландшафт кібербезпеки. Злочинці готуються використовувати генеративний ШІ (GenAI) з метою узагальнення тих даних, які вони вже вкрали й, фактично, створити нові вектори атак чи можливостей для вимог викупу. Захисники шукають можливості ширше використати ШІ для аналізу кіберзагроз (водночас експерти вказують на певні концептуальні проблеми на цьому шляху, в тому числі пов’язані із масивами даних, на яких відбувається навчання ШІ). Національний центр кібербезпеки Великобританії вийшов із власною довгостроковою оцінкою того, як ШІ впливає на ситуацію – на їх думку ШІ збільшить обсяг і посилить вплив кібератак протягом наступних двох років.
Проблеми квантових обчислень та постквантового шифрування знову турбують безпекові структури. В тому числі як НАТО прийняло свою першу квантову стратегію, кібербезпекові органи європейських країн звертають увагу на необхідність приділити цьому питанню більше уваги й не відволікатися на підходи, які є сумнівними з поглиду ефективності. АНБО США починає відкриті дискусії щодо майбутнього квантових обчислень і як це вплине на сферу безпеки, а IBM вважає, що у 2024 році стане більше кібератак з метою крадіжки зашифрованих даних в надії отримати доступ до їх вмісту із появою квантових комп’ютерів.
Українські організації зазнали у січні декількох потужних кібератак – одна з них була спрямована на банківський центр, а інша помітно вплинула на один з найбільших дата-центрів України. Останнє призвело до порушення доступності послуг декількох державних організацій та інформаційних систем. Загалом це корелюється з підвищенням кіберактивності росії проти українських інформаційних систем – за даними Держспецзв’язку кількість кіберінцидентів минулого року зросла на 62,5%. Як відповідь, Україна завдає контрударів (як, наприклад, дії військової розвідки України проти одного з російських постачальників ІТ-систем для промисловості), а також активніше співпрацює з партнерами – Данія заявила про надання 12 мільйонів євро на кіберзахист України.
Західні дослідники вивчають досвід російських дій у кіберпросторі та надають власні прогнози та рекомендації. Видання CSO Online описує структуру та методи діяльності проросійської хактивістської групи NoName057(16) та стверджує, що така організація може стати моделлю для кіберзлочинців майбутнього. Разом з тим, видання підкреслює, що поки що діяльність угруповання, яке концентрується в першу чергу на DDoS атаках, не становить серйозної загрози заходу. Дослідниця Моніка Келло стверджує, що публічна ганьба та санкції, яких сьогодні вживають західні уряди, намагаючись впливати на дії рф у кіберпросторі, не є ефективними. На її думку, відповідь має ґрунтуватися на російській стратегічній культурі та включати прозорі розслідування наслідків російських операцій злому та витоків. А також використовувати недовіру, яка панує в російських спецслужбах і суспільстві, щоб внести «тертя» в операційне середовище супротивника.
У січні атак зазнали декілька кібербезпекових компанії та відділи кібербезпеки великих компаній. Серед них компанія Microsoft, яка стала жертвою атаки російського державного нападника Midnight Blizzard. В результаті атаки нападники отримали доступ до «дуже невеликого відсотка корпоративних облікових записів електронної пошти Microsoft, включаючи вище керівництво та співробітників служби кібербезпеки». На початку лютого жертвою нападників став акаунт фірми Mandiant в мережі X. Протягом недовгого часу зловмисники використовували його для популяризації оманливих операцій з криптовалютою. Поштові скриньки кібербезпекового відділу техгіганта HP Enterprise також стали жертвою атаки хакерів, пов’язаних із кремлем. Також російська кібербезпекова компанія Kasperski розкрила деталі атаки, якої зазнали телефони її співробітників.
У співпраці з CRDF Global НКЦК та Мінветеранів працюють над інтеграцією ветеранів до кіберробочої сили, проводячи для них комплексне навчання з кібербезпеки та кібероборони, а також надаючи підтримку у працевлаштуванні в державному або приватному секторі. Паралельно йде розбудова спроможності державного сектору до захисту та реагування на кібератаки. З одного боку, компанія Google у 2024 році надасть 5 тисяч ключів безпеки для захисту облікових записів українських урядовців та надасть їм необхідну підготовку для користування ключами. А з іншого – ДССЗЗІ проводить навчальні заходи для CDTO державних органів та відповідальних за кібербезпеку держслужбовців категорій «Б» і «В» з метою покращення їх співпраці з CERT-UA.
Національний координаційний центр кібербезпеки при РНБО України попередив про високий рівень кіберзагроз для підприємств сектору комунікацій. Основні кібербезпекові органи фіксують зростання кібератак на українську критичну інфраструктуру. Така тенденція відповідає глобальному розвитку ситуації. Очікується, що пік атак в Україні припаде на лютий 2024. Одночасно, інтенсифікується боротьба між Україною та рф у кіберпросторі. рф таргетує українських урядовців, військовослужбовців за допомогою фішингу та намагається посіяти паніку серед населення України. У ГУР МО України розповіли про успішні атаки на далекосхідний науково-дослідний центр космічної гідрометеорології, сервер спецзв’язку міністерства оборони росії, ІТ-інфраструктуру компанії IPL Consulting, яка спеціалізувалася на впровадженні інформаційних систем у російській промисловості.
Ознайомитися з дайджестом детальніше: Cyber digest_Jan_2024_UA