Самые мощные атаки во второй половине 2018 года совершили российские и китайские хакеры. Об этом свидетельствуют исследования зарубежных спецслужб. Речь идет как о криминальных группах, имеющих связи с мафией, так и организациях, которые, по-видимому, поддерживают спецслужбы этих стран. Хакерские группировки, такие как APT28 и APT29 (Advanced Persistent Threat — развитая устойчивая угроза) специализируются на шпионаже, кибератаках международных правительственных структур, распространении ложных сведений через социальные сети и СМИ и при этом хорошо финансируются. Американские специалисты по кибербезопасности связывают данные группировки с российскими спецслужбами.
8 июня 2018 года компания Unit 42 из Пало-Альто выпустила отчет, в котором был представлен анализ активности российской кибергруппировки, известной как Sofacy, а также Fancy Bear или APT28, за первую половину 2018 года. Компания Unit 42 выявила серию параллельно проводимых атак. Злоумышленники выбирали в качестве жертв организации одного типа, но использовали разные инструменты атак. В последнее время эта группировка применяла Zebrocy (вредоносное ПО, которое часто связывают с деятельностью Fancy Bear, так же как и технику, использующую несовершенства сетей DDE, чтобы запустить вредоносный код независимо от того, включены ли макросы).
Как правило, Zebrocy заражал компьютер через фишинговую рассылку. В присланном письме находились зараженные файлы MS Office со встроенным макросом. Если сотрудники компании-жертвы открывали прикрепленный файл, их компьютеры заражались вирусом.
Изначально злоумышленники атаковывали несколько устройств внутри одной организации. Однако последние атаки APT28 были направлены на сразу несколько компаний в разных странах. Хакеры рассылали фишинговые письма большому количеству разных получателей по доступным в интернете адресам, выбирая жертв атаки случайным образом.
Также APT28 при доставке вредоносного кода стала использовать иные слабые места DDE (Dynamic Data Exchange — механизм взаимодействия приложений в операционных системах Microsoft Windows и OS/2). Например, как было установлено Unit 42, в одном из случаев уязвимость DDE использовалась для установки Zebrocy. В другом случае — для отправки вредоносного ПО Koadic, который группа ранее не применяла.
Криминальная хакерская группа Сobalt (она же Carbanak) специализируются на кибератаках различных секторов экономики, включая финансовые и медицинские учреждения.
1 марта 2018 года международная следственная группа арестовала хакера, причастного к деятельности этих подразделений, однако работе злоумышленников это не помешало: 2 мая группировка Cobalt провела успешную фишинговую кампанию.
В первом полугодии также были зарегистрированы несколько атак, инициированных китайскими хакерами. Две, наиболее мощные, были направлены на западные оборонные военные объекты. В первом случае APT15 — хакерская группировка из Китая, специализирующаяся на кибершпионаже — похитила секретные материалы и информацию армии Великобритании. В ходе второй атаки китайские хакеры выкрали у подрядчика ВМФ США свыше 600 ГБ данных о подводных лодках и засекреченных системах вооружения.
В мае атака на Banco de Chile затронула 9 000 компьютеров и повредила 500 серверов, в результате чего нападавшие похитили 10 млн долларов США через систему SWIFT. На сегодняшний день это первая кибератака, сочетавшая в себе как попытку похитить деньги, так и полномасштабное уничтожение базы данных. Ответственность за нее возлагают на Северную Корею.
От вредоносных программных кодов пострадали компании различных отраслей. Однако в отчете BDO Global отмечается, что в 2018 г. Хакеры часто атаковали медицинские учреждения.
Как и в последние годы, большая часть кибератак на медицинские учреждения производилась с помощью «троянов-вымогателей» или ransomeware или же атаки начинались через письма, в которых содержались зараженные вирусом файлы или ссылки на сайты с вредоносным кодом.
Ситуацию существенно осложняет внедрение искусственного интеллекта (ИИ) и интернета вещей. По данным International Data Corporation, только в 2017 году инвестиции в ИИ должны были составить порядка 12,5 млрд долларов США. Но эти цифры меркнут на фоне инвестиций в развитие интернета вещей, которые, согласно прогнозам, превысят в текущем году 800 млрд долларов США, а к 2021 году достигнут уровня в 1,4 трлн долларов США. При этом, по данным компании Cynerio, специализирующейся на кибербезопасности в области здравоохранения, сегодня общее число подключенных к сети медицинских устройств оценивается в 10 миллиардов долларов США, а в следующие 10 лет этот показатель достигнет 50 миллиардов долларов США.
Очевидно, что новые медицинские устройства необходимо обеспечить хорошо разработанной и эффективной системой защиты. Согласно прогнозам, для решения этой задачи здравоохранению потребуется несколько лет.
Группа по кибербезопасности сети BDO составила рекомендации для компаний:
- будьте готовы к кибератакам. Злоумышленники все чаще прибегают к использованию новых инструментов кибератак. Высока вероятность того, что такие нападения станут очень распространенными и затронут абсолютно все страны и отрасли экономики;
- составьте план действий. Разработайте пошаговый план защиты от кибератак. Учитывайте, что атакованы могут быть сразу несколько устройств одной сети. Также необходимо рассмотреть возможность аварийного отключения различных систем в случае крупномасштабных и сложных разрушительных атак;
- планируйте ресурсы. Аварийные сценарии, как правило, финансируются в три раза меньше, чем необходимо. При возникновении чрезвычайных ситуаций большинство компаний не привлекают или не могут позволить себе привлечь специалистов и команды, обладающие соответствующей квалификацией. В этой связи мы настоятельно рекомендуем заранее планировать выделение дополнительных ресурсов.
Сергей Тиунов, управляющий партнер BDO Unicon Outsourcing, также рекомендует регулярно проводить обучение по кибербезопасности среди сотрудников. По его словам, наиболее частый способ атак — фишинговые письма. Поэтому крайне важно организовывать тренинги, семинары, где сотрудники могут узнать об источниках угроз, а также алгоритме действий, если инцидент все же произошел (открыт вредоносный файл, сотрудник установил ПО, которое повредило систему и т.д.).