В Сети неспокойно
Очередной раунд обострения ситуации вокруг российско-украинских отношений начался в ноябре 2021 г. И на тот же период пришлась резкая активизация операторов ботнетов. Эксперты Qrator Labs обнаружили ботнет рекордного масштаба, состоящий из более чем 160 тыс. устройств. Это втрое больше, чем любой другой, который использовали злоумышленники (см. новость ComNews от 2 февраля 2022 г.). Правда, этот ботнет ориентирован не на традиционную функцию - DDoS-атаки, а на сбор данных, прежде всего с сайтов компаний, специализирующихся на электронной коммерции. Также в ноябре Qrator Labs зафиксировала ряд коротких (2-3 минуты), но мощных атак на свои системы и системы клиентов. При этом использовались зомби-сети, состоящие из подключенных к интернету устройств.
Аналитики "Лаборатории Касперского" за IV квартал 2021 г. зафиксировали рекордное количество DDoS-атак за весь период наблюдений. Однако столь значительный рост активности связывается, во-первых, с сезонным фактором (рост товарооборота в рознице, экзаменационные кампании в вузах и прочих учебных заведениях) и, во-вторых, с ситуацией на рынке криптовалют. "Мощности для организации DDoS и для майнинга криптовалюты хоть и не полностью, но взаимозаменяемы, поэтому владельцы ботнетов склонны перенаправлять мощности на майнинг при росте крипты и на DDoS - при ее падении. В IV квартале мы наблюдаем именно это: рост количества DDoS-атак на фоне падения криптовалют", - прокомментировал ситуацию системный аналитик "Лаборатории Касперского" Александр Гутников.
В середине февраля официальный сайт Министерства обороны Украины и порталы двух крупнейших украинских банков (Приватбанка и Ощадбанка) были атакованы киберпреступниками. Об этом сообщило издание Bleeping Computer со ссылкой на Twitter украинского Минобороны. Сайт оборонного ведомства был недоступен в течение более чем 12 часов. Функционировали со сбоями и сети банкоматов атакованных банков, что признал и Украинский центр стратегических коммуникаций и кибербезопасности. Сайт Приватбанка также был подвергнут дефейсу. Его ИТ-служба выступила с заявлением, что атака не ограничилась одним только DDoS и затронула внутренние системы банка.
21 февраля CERT-UA (Центр кибербезопасности правительства Украины) выпустил предупреждение о серии кибератак на госучреждения, банки и оборонный сектор. В информационном
23 февраля министр цифровой трансформации Украины Михаил Федоров
15 февраля Blleping Computer стало известно, что ФБР, АНБ и Агентство по кибербезопасности и защите инфраструктуры США выступили с совместным заявлением, что выявлена кибератака, которая привела к компрометации сетей целого ряда подрядчиков Министерства обороны США. Активность злоумышленников продолжалась с января 2020 г. Злоумышленникам удалось получить в свое распоряжение целый ряд конфиденциальных документов. Инцидент прямо связывают с деятельностью группировок APT29, APT28 и Sandworm Team.
Днем раннее ФБР сообщило о как минимум трех атаках на объекты критической информационной инфраструктуры США с использованием шифровальщиков. "Хакеры из группировки BlackByte целенаправленно атакуют американские объекты. Они смогли скомпрометировать внутренние сети нескольких крупных американских компаний, а также трех предприятий сельскохозяйственного, финансового, государственного сектора, относящихся к КИИ США. Группировка BlackByte работает по схеме RaaS ("вымогательство как услуга"). С помощью одноименного вредоносного софта хакеры проникают во внутренние сети организаций, зашифровывают файлы на физических и виртуальных серверах", -
Еще в мае 2021 г. "Ростелеком-Солар" и Национальный координационный центр по компьютерным инцидентам (НКЦКИ) объявили о выявлении и отражении серии кибератак на целый ряд федеральных органов государственной власти (см. новость ComNews от 19 мая 2021 г.). Первые попытки проникновения в инфраструктуру относились еще к 2017 г., но первые признаки, как отметил генеральный директор "Ростелеком-Солар", вице-президент "Ростелекома" по информационной безопасности Игорь Ляпунов, обнаружены только в 2019 г. Полностью ликвидировать последствия данного инцидента удалось еще спустя несколько месяцев.
Россия же предпринимала меры по защите объектов критической инфраструктуры. Так, на конференции "Инфофорум 2022" (см. новость ComNews от 4 февраля 2022 г.) Минцифры объявило о создании отраслевого Центра кибербезопасности. В задачу этого центра вошло не только купирование атак, но и их атрибуция. На том же форуме Минэнерго России анонсировало запуск пилотного проекта по созданию Единого отраслевого центра координации и противодействия кибератакам (см. новость ComNews от 10 февраля 2022 г.).
Но в целом помогает злоумышленникам то, что до 70% ИТ-инфраструктуры уязвимы для атак. Это показало исследование BI.ZONE, дочерней компании Сбербанка, специализирующейся на кибербезопасности. Специалистам BI.ZONE удалось получить права администратора домена, что позволило просматривать ресурсы на любом ПК, который входит в данный домен, устанавливать там любое ПО, манипулировать учетными записями и т.д.
Также аналитики словацкого антивирусного вендора Eset в самом конце 2021 г. выявили 20%-ный рост атак на пользователей мобильных устройств на платформе Android по сравнению с годом раннее. Исследователь угроз Eset Лукас Стефанко рассказал, что чаще всего вредоносное программное обеспечение попадает в гаджеты при скачивании из неофициальных магазинов клонов легальных приложений. Также все более популярными становятся и официальные программы слежки, которые используются для шпионажа. В пятерку стран, где мобильный шпионаж распространен наиболее широко, вошли Индия, Бразилия, Мексика, Украина и Россия. При этом на Россию приходится 10% от общемирового количества заражений шпионским ПО. Основным каналом распространения такого рода зловредов являются официальные магазины приложений.