Світ продовжує формувати системну кібербезпекової політики щодо штучного інтелекту. Наприкінці жовтня Президент США Дж. Байден підписав новий указ. На його реалізацію CISA вже оприлюднила власну Дорожню карту щодо того, як це ключове кібербезпекове федеральне відомство буде враховувати виклики ШІ у своїй діяльності, а спільно з NCSC Великобританії випустила спільні рекомендації щодо безпечної розробки системи ШІ. Європейський Союз, своєю чергою, планує провести оцінку ризиків, створених ШІ – результати цієї оцінки будуть використані при розробці нормативно-правової бази та політики для зменшення ризиків і зміцнення позицій ЄС у світовому технологічному ландшафті. Ця активізація зусиль урядів обумовлена все ширшим використанням технологій на базі ШІ – від розробки нових програм до загроз автономним системам управління морським транспортом.
Глобальне суперництво між США та Китаєм в цифровому просторі триває. RAND Corporation у своїх дослідженнях вказує на те, що саме конкуренції між США та Китаєм за цифрову інфраструктуру буде матиме вирішальне значення для військових сил та операцій в регіоні. Китайські АРТ-групи активізують свої кібершпигунські операції, при чому як проти державних організацій (як, наприклад, велика кампанія проти державних установ Камбоджі), так і приватного сектору (зокрема, проти групи компаній-виробників напівпровідників у Східній Азії).
Боротьба з вірусами-вимагачами продовжується. Наразі США розглядає як наступний крок протидії не лише боротьбу з інфраструктурою злочинців чи конкретними групами, але і зміну поведінки жертв. Зокрема це стосується посилення заходів із недопущення виплати викупів аби не заохочувати злочинців до зловмисних дій. Поки що ці зусилля є лише частково успішними – ransomware групи продовжують досить успішну діяльність, атакуючи все нові цілі. Так у листопаді від дій таких груп постраждав один з великих банків Китаю (ІСВС), а також Британська бібліотека. В США під ударом залишається сектор охорони здоров’я. Про недостатність уваги до власної кібербезпеки в цьому секторі свідчить той факт, що за даними компанії Sophos зловмисникам вдалося зашифрувати дані під час майже трьох чвертей атак.
Останній квартал року – традиційний час для появи прогнозів щодо кібербезпекового ландшафту на наступний рік. У жовтні-листопаді з’явилось два таких прогнози – від компаній Proofpoint та Trellix. Попри різні акценти обидві компанії відзначають зростання загроз від ШІ (його використання зловмисниками для організації фішингових атак, голосове шахрайство), фішингові атаки проти мобільних пристроїв, підвищена увага злочинців до облікових записів користувачів та приховані атаки на периферійні пристрої. Ці прогнози доповнюються оцінками британський NCSC який зазначив, що ОКІ зіштовхуються із «тривалою та значною загрозою» на тлі зростання сил державних угруповань, а також як наслідок зростання загальної агресивної кіберактивності та нових геополітичних викликів.
Загалом все більше компаній відзначають зростання уваги зловмисників до соціальної інженерії. Хоча «атаки на людину» і раніше були ключовим методом на початкових стадіях кібератак, однак ШІ дав новий поштовх цій діяльності. Можливості ШІ у створені більш достовірних фішингових імейлів, імітації голосу і навіть відео людей, поява можливості динамічного управління великою кількістю акаунтів в соціальних мережах – істотно змінює ландшафт загроз.
У сфері загроз критичній інфраструктурі найбільш помітним випадком стала вдала атака іранського кіберугрупування Cyber Av3ngers проти системи управління пов’язану з гідропідйомною станцією. Хоча компанія заявила про відсутність загроз для споживачів, але факт атаки на промислову систему є сталою тенденцією до спроб хакерів впливати на функціонування ОКІ. Це викликає особливе занепокоєння, оскільки багато промислових систем керування доступні через мережу Інтернет – наразі дослідники виявили близько сто тисяч таких систем, хоча посилення безпекових правил призвів до зменшення цієї цифри порівняно з 2019 роком. Це доповнюється виявленням нових 0-day вразливостей в промислових маршрутизаторах. Як контрзаходи безпекові організації (CISA, NSA) оприлюднюють все нові рекомендації щодо безпеки ОТ з відкритим кодом, а також відкрили репозиторій OT Intrusion Detection Signature and Analytics для швидшої ідентифікації та виявлення потенційно зловмисної кіберактивності у промислових OT-середовищах. Попри всі ці зусилля сектор охорони здоров’я США демонструє слабкий прогрес у поліпшенні власної кібербезпеки
Протягом жовтня-листопада 2023 року українським правоохоронним структурам вдалось провести декілька успішних операцій проти міжнародних груп кіберзлочинців. Один з найбільших успіхів – ліквідація угрупування, яке за допомогою використання ransomware заподіяла шкоду на 80 мільйонів доларів. Ці успіхи доповнюються іншими операціями Кіберполіції спільно з чеськими колегами, а також операцією проти групи, яка починаючи з 2020 року атакувала 168 компаній.
Розвиток міжнародної співпраці залишається вважливим вектором діяльності українських кібербезпекових структур. У листопаді 2023 року Україна (НКЦК РНБО та ДССЗЗІ) підписали Робочу угоду про співпрацю з ENISA (Європейською агенцією кібербезпеки). Для ENISA це стало першою такою угодою з партнером з-поза меж ЄС. Підписання таких документів – важливий елемент на шляху формування глобальної кіберкоаліції для протидії загрозам, що походять із росії та інших держав, які стоять по один бік з агресором.
Не припиняється ворожа діяльність – лише у звітному періоді російська APT29 атакувала посольства по всій Європі, угрупування UAC-0165 намагалось втрутитись в роботу 11 українських провайдерів – ці дані доповнюються черговим звітом Держспецзв’язку, який відзначає, що кількість зареєстрованих кіберінцидентів у першому півріччі 2023 року зросла більше ніж удвічі.
Українські кібербезпекові структури (Держспецзв’язку, СБУ) оприлюднили власні оцінки поточного українського ландшафту кіберзагроз в Україні та прогнозів на найближче майбутнє. Серед таких оцінок – зростання кількості складних атак на ланцюжки постачання, а компанії, які розробляють програмне забезпечення для критичної інфраструктури та військових, зазнаватимуть активних цілеспрямованих кібернападів у довгостроковій перспективі. З іншого боку вже зараз більшість ворожих кібератак спрямовані на доступ до електронного документообігу українських держустанов і технологічних систем інфраструктури. Саме тому СБУ та Держспецзв’язку звернули увагу енергетичних компаній на підвищені загрози кібербезпеці з боку росії у зимовий період. Базуючись на досвіді минулих років спеціальні служби вказують на вірогідність активних спроб російських хакерів вплинути на роботу об’єктів критичної інформаційної інфраструктури, енергетичної сфери та надання ними життєво-важливих сервісів.
Україна продовжує нарощувати власні спроможності щодо реагування на кіберінциденти. Зокрема, розширює практику проведення кібернавчань (наприклад НКЦК проведено змагання з кібербезпеки HackWave та INCIDENT RESPONSE DAYS 2.0, а також відбулись перші секторальні кібернавчання для транспортного сектору CIREX.CoBridge), запускає нові інструменти кібергігієни (наприклад Мінцифра запустила тест на знання правил безпеки в мережі «Кіберграм», а ДССЗЗІ провела всеукраїнський онлайн-урок з кібербезпеки для понад 20 тисяч глядачів) та стимулює інновації в секторі кібербезпеки.
Продовжується дискусія щодо більш радикальних змін у діяльності українських безпекових органів у сфері кібербезпеки. Так, у листопаді 2023 року українська військова розвідка вперше провела наступальну кібероперацію про яку оголосила публічно. Також секретар НКЦК при РНБО України Наталія Ткачук підкреслила необхідність якнайшвидшого створення українських кіберсил на основі досвіду України та успішних міжнародних кейсів.
Перша світова кібервійна триває й агресор не зменшує інтенсивність власних дій. При цьому відповідно до даних компанії Microsoft, у 2023 році авторитарні уряди (росії, КНР, Ірану та Північної Кореї) сконцентрувались на кібершпигунських операціях, намагаючись отримати більше інформації щодо важливих для них зовнішньополітичних ініціатив.
Водночас атаки на КІ – все ще важлива мета кібероперацій. Про це свідчить і звіт Mandiant щодо кібератаки угруповання SandWorm на системи операційних технологій (OT) української енергокомпанії наприкінці 2022 року. Актор вперше використав методи OT-level liveing off the land (LotL), щоб, ймовірно, спрацювали автоматичні вимикачі підстанції жертви, спричинивши незаплановане відключення електроенергії, яке збіглося з масовими ракетними ударами по критичній інфраструктурі по всій Україні. Кібератаки проти енергетики по всьому світу з боку російських злочинних груп – помітна тенденція, і такі дії стають все більш небезпечними. Прикладом є Данія, чиї 22 енергетичні кампанії зазнали скоординованої кібератаки у травні 2023 року. Підозрюється, що за цією атакою стоїть та ж Sandworm (APT28).
Детальніше ознайомитися з дайджестом: Cyber digest_Oct-Nov_2023_UA