Підсумки року українсько-російської кібервійни — які правила слід винести бізнесу та як захистити дані

З 2014 року Україна була випробувальним кіберполігоном для російських хакерів. Це надало можливість нашим фахівцям з інформаційної безпеки детально проаналізувати дії окупантів, вивчити їхню тактику та зробити важливі висновки.

Результати дослідження спеціалісти Держспецзв'язку виклали в аналітичному звіті. Команда GigaTrans зробила стислий огляд та відібрала найцікавіше.

Якими стали основні цифри кібервійни

Перша половина 2022 року демонструє значне зростання атак проти всіх галузей економіки – у середньому 605 на день. Найчастіше цілями хакерів ставали державний, фінансовий сектори та медіа – близько 2 600 атак щотижня, що на 44% більше, ніж у 2021 році.

У другій половині 2022 року фокус російських хакерів змістився зі ЗМІ до телекомунікаційної галузі та енергетичної системи. Загалом графік частотності кіберінцидентів можна спостерігати на графіку нижче.

Графік частотності кіберінцидентів у 2022 році

Основні методики окупантів

Найчастіше хакери вдавалися до фішингу. Але в третьому та четвертому кварталі 2022 року кіберзлочинці зосередилися на пошуку технічних вразливостей компаній. Для цього застосовували шкідливе програмне забезпечення та компрометацію облікових записів.

Графік кіберінцидентів за основними типами у 2022 році

Для злому та розповсюдження шкідливого ПЗ зловмисники зазвичай використовували електронну пошту. Цілями атак залишалися державні органи, енергетичні підприємства та об'єкти критичної інфраструктури.

Атаки в розрізі галузей

Найчастіше зазнавала атак з точки зору кібершпигунства критична інфраструктура: енергетичні компанії, комерційні організації, логістичні компанії, Міністерство енергетики, Міністерство фінансів, Міністерство закордонних справ та інші. Оборонні організації також часто ставали цілями атак: в основному це Міністерство оборони України та Держприкордонслужба.

Розглянемо детальніше атаки в розрізі кожної галузі.

Військовий та оборонний сектор

Всього у 2022 році зафіксовано 113 інцидентів.

Основні цілі хакерів: Міністерство оборони України, Збройні Сили України, Міністерство внутрішніх справ України, Національна гвардія України, Національна поліція України, Державна прикордонна служба України, державний концерн «Укроборонпром» та інші.

Мета окупантів: отримати доступ до планів оборонних організацій, інформацію про ключовий персонал, доступ до платформи Delta — національної військової системи ситуаційної обізнаності, яку використовують Сили безпеки і оборони України та системи “Шлях” державної прикордонної служби.

Найбільш використовуваним сценарієм був фішинг. Окрім російських зловмисників, спостерігалася активність хакерських угруповань з Ірану і Китаю. Проте це були поодинокі події від APT-угруповань і їх не можна пов'язувати з масованими нападами, спонсоровані державою-терористом.

Державний сектор

Всього у 2022 році зафіксовано 556 інцидентів.

Основні цілі хакерів: органи місцевої влади, ключові Міністерства, регіональні урядові організації, підприємства державної форми власності.

Серед основних методик хакерів зафіксовано кібершпигунство, психологічні операції на співробітників ключових підприємств та цивільне населення, зломи облікових записів. Окрім зафіксованих інцидентів також спостерігалося безліч кібероперацій проти урядових організацій в Україні.

Найбільш активні групи хакерів у державному секторі у 2022 році

Телеком та IT

Всього у 2022 році зафіксовано 43 інциденти.

Основні цілі хакерів: Міністерство транспорту та зв'язку України, телеком-оператори, провайдери, оператори мобільного зв'язку.

Мета ворога: досягти повної відсутності мобільного зв'язку та доступу до мережі Інтернет, що мало спричинити дезорганізацію та паніку серед цивільного населення. Відсутність зв'язку також впливає і на військовий фронт, без інтернету військовослужбовці та офіцери розвідки не можуть координувати дії вжити необхідних заходів.

В першому півріччі окупанти намагалися завдати удар по сфері телекомунікацій та отримати доступ до всієї наземної ІТ-інфраструктури. У другому півріччі атаки були націлені переважно на приватні ІТ-компанії. Для цього хакери використовували провайдерів та хостинг-провайдерів як точку входу в комерційну діяльність підприємства.

Логістика та транспортний сектор

Всього у 2022 році зафіксовано 19 інцидентів.

Основні цілі хакерів: Міністерство транспорту та зв'язку України, ПРаТ “Укрзалізниця”.

Мета ворога: шпигунство та збір розвідданих. Отримати доступ до шляхів проникнення західної зброї та місця їх зберігання. Контроль над ланцюгами постачання і основними військовими шляхами.

Основні атаки припали на три групи об'єктів:

поштові служби — метою було обмежити доставку товарів на передову, значна частина якої отримувалася завдяки волонтерству;
залізничні сполучення — ключ до міцної та швидкої доставки важкої зброї до лінії фронту;
логістична сфера — компанії, в яких укладені контракти з Міністерством оборони та іншими критично важливими організації, які підтримують бойові підрозділи військовими поставками.

Медіа

Всього у 2022 році зафіксовано 29 інцидентів.

Основні цілі хакерів: Державні ЗМІ: преса, радіо, телебачення, інформаційні агентства) та приватні ЗМІ.

Мета ворога: у першому півріччі 2022 році спеціалісти фіксували спроби хакерів використовувати приватні українські ЗМІ з метою психологічної маніпуляції громадськості та дестабілізації уряду. У другому півріччі основний удар припадав саме на приватні ЗМI. Піщаний хробак (Sandworm) – російське угруповання хакерів, яке нанесло найбільшу кількість атак на даний сектор.

Енергетичний сектор

Всього у 2022 році зафіксовано 29 інцидентів.

Основні цілі хакерів: Інституції, що проєктують і будують газо- і нафтопроводи, електричні мережі, державні електропостачальні компанії.

Мета ворога: завдати ударів по основним ключовим об'єктам енергетичного сектору України аби залишити цивільне населення без електропостачання.

Впродовж другого півріччя окупанти активно атакували активно критичну інфраструктуру. Основна стратегія росії полягала у повному відключенні цивільного населення від електропостачання задля здійснення психологічного впливу та отримання можливості переговорів.

Банківська сфера

Всього у 2022 році зафіксовано 12 інцидентів.

Основні цілі хакерів: Національний банк України, комерційні та державні банки, філії іноземних банків.

Основна мета: “підірвати” фінансову систему України, поширити паніку та зробити банківські послуги недоступними для населення, що в результаті призвело б до загального економічного спаду.

Як захистити дані бізнесу та співробітників

Оскільки представники великого бізнесу та корпорації дедалі більше інвестують в інструменти кібербезпеки, хакери стали частіше націлюватися на малий і середній бізнес і використовують їх як ланцюги поставок. Тож як захистити дані:

Мінімізуйте крадіжки облікових даних і зловживання обліковим записом. Захист ідентичності ваших користувачів — ключова вимога для захисту вашої мережі і ресурсів компанії від зловмисників. Спеціалісти рекомендують ввімкнути багатофакторну автентифікацію і використовувати Захист Active Directory.
Використовуйте безпечні системи підключення до Інтернету та рішення для віддаленого доступу. Доступ до мережі Інтернет повинен бути захищений проти зовнішніх атак шляхом постійного оновлення та регулярної оцінки на вразливість, а також аудитів цілісності системи. Важливо також не забувати про двофакторна аутентифікацію.
Використовуйте засоби захисту від шкідливих програм, виявлення вторгнень, моніторинг даних та захист кінцевих точок в компанії. Державний центр кіберзахисту має набір інструментів і датчики, які можна надавати організаціям безкоштовно.
Навчайте персонал кібергігієні. Поєднання сервісів захисту і обізнаного персоналу надає вам можливість більш ефективно ідентифікувати, виявляти та запобігати вторгненням.