Важливою подією лютого 2024 року стала вдала операція британських правоохоронців проти потужної ransomware групи Lockbit. На угрупування, які використовують ransomware Lockbit, припадає значна частина ransomware атак по всьому світу і припинення їх діяльності дозволить зменшити негативну динаміку таких атак. Ці зусилля британських правоохоронців були доповнені діями української поліції, які заарештували двох учасників цього угрупування. Загалом слід відзначити, що це вже другий помітний успіх правоохоронних органів у боротьбі з великими ransomware групами. Нещодавно американські правоохоронці зупинили роботу угрупування Hive і зараз шукають його лідерів (Державний департамент США оголосив винагороду за інформацію про них).
Вразливості у продуктах Ivanti вже другий місяць створюють проблеми користувачам та кібербезпековим органам по всьому світу. Виходять все нові дані про вразливості у продуктах Ivanti, а ENISA та CERT-EU навіть випустили спільні рекомендації для європейських споживачів. Ця ситуація розвивається на фоні істотного зрушення в кібербезпековій політиці ЄС – там запрацювала перша європейська схема сертифікації для продуктів ІКТ відповідно до Загальних критеріїв. Схема містить в собі елементи різних національних схем сертифікації та має на меті зробити використання ІТ-продуктів європейськими споживачами більш безпечним. Наразі схема лише в процесі впровадження, але ЄС покладає значні надії на неї та подальший розвиток.
7-8 лютого у столиці України відбувся перший Київський міжнародний форум з кібербезпеки 2024: «Стійкість під час кібервійни», започаткований НКЦК при РНБО України разом з партнерами. Загалом у Форумі взяли участь понад тисяча учасників, серед яких топ посадовці України, США, ЄС та НАТО. Під час заходу відбулося 10 панельних дискусій і понад 40 експертних доповідей, які розкривали роль кібербезпеки у сучасних війнах, досвід України у кібервійні, тему кібервійни і міжнародного права, кібердипломатії, посилення стійкості національної системи кібербезпеки через освіту, захищеність месенджерів, роль розвідки кіберзагроз, кібербезпека регіонів та інші. Також в рамках KICRF відбулись змагання з кібербезпеки, у яких взяла участь 21 команда фахівців із державного і приватного секторів. Під час зустрічей на полях форуму, українські та американські посадовці визнали успішною співпрацю між США та Україною у сфері обміну досвідом питань з кібербезпеки та обговорили короткострокові та довгострокові потреби України у сфері кіберзахисту.
Загострюються відносини між США та КНР у сфері кіберсуперництва. Слухання перед Спеціальним комітетом Палати представників з питань Комуністичної партії Китаю висвітлили зростаюче занепокоєння безпекових органів США щодо китайської кіберактивності. В деяких з виступів (як то керівника ФБР чи Колишнього директора Агентства національної безпеки США Пола Накасоне) звучали жорсткі оцінки дій китайських хакерських груп (наприклад, групи Volt Typhoon), які істотно відходять від дій кібершпигунства на користь прямих атак на об’єкти критичної інфраструктури чи створюють там позиції на випадок масштабного конфлікту (застосовуючи метод атаки Living-Off-the-Land). Так, за даними ФБР, група Volt Typhoon впровадила зловмисне ПЗ на сотнях мережевих маршрутизаторах та інших підключених до Інтернету пристроях, створюючи загрозу для водопостачання, електроенергії та залізничних перевезень, що може завдати реальної шкоди. Ще одна загроза від китайських хакерів – можливий негативний вплив на американську військову базу в Гуамі. Американські безпекові структури занепокоєні тим, що китайські кібератаки можуть мати дуже значний вплив на її функціонування. Як проміжний наслідок, 7 лютого CISA, NSA і ФБР разом із ключовими американськими та міжнародними урядовими агентствами (Австралії, Канади та Нової Зеландії) опублікували спільну консультацію щодо кібербезпеки, стосовно діяльності Volt Typhoon. Іншим наслідком стане прийняття більш жорстких вимог до стану кібербезпеки для інфраструктури портів в США (які істотно залежать від китайського обладнання). Очікується, що Президент США прийме найближчим часом відповідний Указ.
Серед досягнень українських кіберфахівців у лютому – затримання двох міжнародних злочинців та призові місця на двох міжнародних змаганнях у сфері кібербезпеки. У результаті спільної операції Служби безпеки, правоохоронних органів США, Великої Британії, Євросоюзу та інших країн-партнерів викрито учасників потужного міжнародного угруповання вимагачів LockBit. Також ГУР розповіло про атаку на російську систему управління дронами, що призвело втрати росіянами доступу до серверів. СБУ також наголосила на важливості інформації, зібраної кібершляхом, для здійснення складних кінетичних операцій.
Занепокоєння урядових структур щодо наступальних дій в кіберпросторі торкнулись і комерційного сектору. В лютому Великобританія та Франція спільно провели першу установчу конференцію, присвячену боротьбі із загрозою комерційного кіберрозповсюдження – тобто безконтрольного поширення з протиправною метою створених комерційними компаніями інструментів, які можуть використовуватись в наступальних кібердіях. За результатами учасники підписали декларацію Процесу Pall Mall, яка фіксує плани учасників ініціативи вивчати альтернативні політики та інноваційні методи боротьби з цією загрозою. Наразі Ізраїль майже не бере участі у цих ініціативах, адже ізраїльські компанії мають значну частку на експортному ринку шпигунського ПЗ.
Загрози кібербезпеці ОТ не лише не зменшуються, але стають все більш системними. Виробники обладнання та ОТ-рішень все частіше знаходять нові вразливості у своїх продуктах – лише у лютому Siemens виявив 275 вразливостей у своїх виробах які активно використовуються у сфері автоматизації виробничих процесів. Звіт Dragos Inc підтверджує, що зловмисники все інтенсивніше входять в цю, відносно нову, сферу – у 2023 році додалось ще три кіберугрупування, які націлені саме на ОТ інфраструктуру (таким чином Dragos наразі відстежує 21 таке угрупування). Проблеми є не лише з виявленням вразливостей, але і зі спробами їх виправити. Дослідження показали, що організації з системами OT часто знають про недоліки, які використовуються в їхньому середовищі, але вони не можуть вирішити проблему. Адже гарантійний термін дії деяких застарілих систем закінчився, а особливості технічних процесів чи бізнес-інтереси можуть ставати на заваді оновленню цих активів до найновіших операційних систем.
Кількість кіберінцидентів, опрацьованих CERT-UA за минулий рік зросла на 15,9% у порівнянні з 2022 роком та склала 2543 кіберінциденти. Найпоширенішими типами інцидентів є розповсюдження шкідливого ПЗ, фішинг, шкідливе підключення, компрометація облікового запису та компрометація системи. Зловмисники традиційно проводять розвідувальні операції, вдаються до довготривалого шпигунства та знищення даних та інформаційних систем.
Триває глобальна кібервійна, значною частиною якої є російсько-українське протиборство. російські хакерські групи продовжують проводити кібершпигунські операції проти України (зокрема, одну з таких атак проти українських військових відстежує компанія Securonix Threat Research) або атакують урядові сайти (як, наприклад, сайт Міністерства освіти України). Українські кіберфахівці активно протидіють цим спробам, в тому числі продовжуючи досліджувати наслідки масштабної кібератаки 2023 року проти телекомоператора «Київстар». За даними СБУ російські хакери готували другу хвилю атак, яка мала нанести ще більше шкоди оператору.
Ознайомитися з дайджестом детальніше: Cyber digest_Fеb_2024_UA