Итоги года украинско-российской кибервойны — какие правила следует вынести бизнесу и как защитить данные

С 2014 года Украина была испытательным киберполигоном для российских хакеров. Это позволило нашим специалистам по информационной безопасности детально проанализировать действия окупантов, изучить их тактику и сделать важные выводы.

Результаты исследования специалисты Государственной службы специальной связи и защиты информации Украины изложили в аналитическом отчете. Команда GigaTrans сделала краткий обзор и отобрала самое интересное.

Какими стали основные цифры кибервойны

Первая половина 2022 года демонстрирует значительный рост атак против всех отраслей экономики — в среднем 605 в день. Чаще всего целями хакеров становились государственный, финансовый секторы и медиа — около 2600 атак еженедельно, что на 44% больше, чем в 2021 году.

Во второй половине 2022 года фокус российских хакеров сместился со СМИ в телекоммуникационную отрасль и энергетическую систему. В общем, график частотности киберинцидентов можно наблюдать на графике ниже.

График частотности киберинцидентов в 2022 году

Основные методики окупантов

Чаще хакеры прибегали к фишингу. Но в третьем и четвертом квартале 2022 года киберпреступники сосредоточились на поиске технических уязвимостей компаний. Для этого использовали вредоносное программное обеспечение и компрометацию учетных записей.

График киберинцидентов по основным типам в 2022 году

Для взлома и распространения вредоносного ПО злоумышленники обычно использовали электронную почту. Целями атак оставались государственные органы, энергетические предприятия и объекты критической инфраструктуры.

Атаки по отраслям

Чаще всего подвергалась атакам с точки зрения кибершпионажа критическая инфраструктура: энергетические компании, коммерческие организации, логистические компании, Министерство энергетики, Министерство финансов, Министерство иностранных дел и другие. Оборонные организации также часто становились целями атак: в основном это Министерство обороны Украины и Государственная пограничная служба Украины

Рассмотрим подробнее атаки в разрезе каждого сектора.

Военный и оборонный сектор

Всего в 2022 году зафиксировано 113 инцидентов.

Основные цели хакеров: Министерство обороны Украины, Вооруженные Силы Украины, Министерство внутренних дел, Национальная гвардия Украины, Национальная полиция Украины, Государственная пограничная служба Украины, государственный концерн «Укроборонпром» и другие.

Цель окупантов: получить доступ к планам оборонных организаций, информацию о ключевом персонале, доступ к платформе Delta — национальной военной системы ситуационной осведомленности, которую используют Силы безопасности и обороны Украины и системы "Путь" государственной пограничной службы.

Наиболее используемым сценарием был фишинг. Помимо российских злоумышленников наблюдалась активность хакерских группировок из Ирана и Китая. Однако это были единичные события от APT-групп, и их нельзя связывать с массированными нападениями, спонсируемыми государством-террористом.

Госсударственный сектор 

Всего в 2022 году зафиксировано 556 инцидентов.

Основные цели хакеров: органы местной власти, ключевые министерства, региональные правительственные организации, предприятия государственной формы собственности.

Среди основных методик хакеров зафиксированы кибершпионаж, психологические операции на сотрудников ключевых предприятий и гражданское население, взломы учетных записей. Кроме зафиксированных инцидентов, также наблюдалось множество киберопераций против правительственных организаций в Украине.

Наиболее активные группы хакеров в государственном секторе в 2022 году

Телеком и IT

Всего в 2022 году зафиксировано 43 инцидента.

Основные цели хакеров: Министерство транспорта и связи, телеком-операторы, провайдеры, операторы мобильной связи.

Цель врага: добиться полного отсутствия мобильной связи и доступа к сети Интернет, что должно вызвать дезорганизацию и панику среди гражданского населения. Отсутствие связи также влияет на военный фронт, без интернета военнослужащие и офицеры разведки не могут координировать действия принять необходимые меры.

В первом полугодии оккупанты пытались нанести удар по сфере телекоммуникаций и получить доступ ко всей наземной ИТ-инфраструктуре. Во втором полугодии атаки были нацелены преимущественно на частные ИТ-компании. Для этого хакеры использовали провайдеров и хостинг-провайдеров в качестве точки входа в коммерческую деятельность предприятия.

Логистика и транспортный сектор

Всего в 2022 году зафиксировано 19 инцидентов.

Основные цели хакеров: Министерство транспорта и связи Украины, ПРаТ "Укрзализныця".

Цель врага: шпионаж и сбор разведданных. Получить доступ к путям проникновения западного оружия и месту их хранения. Контроль над цепями снабжения и основными военными путями.

Основные атаки пришлись на три группы объектов:

• почтовые службы — целью было ограничить доставку товаров на передовую, значительная часть которой получалась благодаря волонтерству;
• железнодорожные сообщения — ключ к прочной и быстрой доставке тяжелого оружия к линии фронта;
• логистическая сфера — компании, в которых заключены контракты с Министерством обороны и другими критически важными организациями, поддерживающими боевые подразделения военными поставками.

Медиа

Всего в 2022 году зафиксировано 29 инцидентов.

Основные цели хакеров: государственные СМИ: пресса, радио, телевидение, информационные агентства и частные СМИ.

Цель врага: в первом полугодии 2022 специалисты фиксировали попытки хакеров использовать частные украинские СМИ с целью психологической манипуляции общественности и дестабилизации правительства. Во втором полугодии основной удар приходился именно на частные СМИ. Песчаный червь (Sandworm) — российская группировка хакеров, нанесшая наибольшее количество атак на данный сектор.

Энергетический сектор

Всего в 2022 году зафиксировано 29 инцидентов.

Основные цели хакеров: Институции проектирующих и строящих газо- и нефтепроводы, электрические сети, государственные электроснабжающие компании.

Цель врага: нанести удары по основным ключевым объектам энергетического сектора Украины, чтобы оставить гражданское население без электроснабжения.

В течение второго полугодия оккупанты активно атаковали критическую инфраструктуру. Основная стратегия россии заключалась в полном отключении гражданского населения от электроснабжения для осуществления психологического воздействия и возможности переговоров.

Банковская сфера

Всего в 2022 году зафиксировано 12 инцидентов.

Основные цели хакеров: Национальный банк Украины, коммерческие и государственные банки, филиалы иностранных банков.

Основная цель: "взорвать" финансовую систему Украины, распространить панику и сделать банковские услуги недоступными для населения, что в результате привело бы к общему экономическому спаду.

Как защитить данные бизнеса и сотрудников

Поскольку представители крупного бизнеса и корпорации инвестируют в инструменты кибербезопасности, хакеры стали чаще нацеливаться на малый и средний бизнес и используют их как цепи поставок. Как защитить данные:

1. Минимизировать кражи учетных данных и злоупотребление аккаунтом. Защита идентичности ваших пользователей — ключевое требование защиты вашей сети и ресурсов компании от злоумышленников. Специалисты рекомендуют включить многофакторную аутентификацию и использовать защиту Active Directory.
2. Используйте безопасные системы подключения к Интернету и решения для удаленного доступа. Доступ к сети Интернет должен быть защищен от внешних атак путем постоянного обновления и регулярной оценки уязвимости, а также аудитов целостности системы. Важно также не забывать о двухфакторной аутентификации.
3. Используйте средства защиты от вредоносных программ, обнаружение вторжений, мониторинг данных и защиту конечных точек в компании. Государственный центр киберзащиты имеет набор инструментов и датчиков, которые можно предоставлять организациям бесплатно.
4. Учите персонал кибергигиене. Сочетание сервисов защиты и осведомленного персонала позволяет вам более эффективно идентифицировать, выявлять и предотвращать вторжения.