Здравоохранение, образование, социальная защита, поддержка бизнеса и многие другие госуслуги уже доступны в цифровом формате. И это только начало: в России к 2030 году планируется вывести в онлайн абсолютно все государственные сервисы и обеспечить хранение 90% отчетных документов в электронном виде. С одной стороны, нам станет удобнее пользоваться услугами. С другой — это подольет масла в огонь с точки зрения кибербеза. Злоумышленники и так на протяжении последних шести лет чаще всего атакуют именно госсектор, а с развитием новых технологий у них появятся новые возможности для этого. Кроме того, у киберпреступников будет больше шансов дотянуться и до нас — конечных пользователей.
В целях личной кибербезопасности полезно быть в курсе актуальных киберугроз для госсектора, чтобы не дать планам злоумышленников осуществиться. Из нашего исследования, которое мы представили на Восточном экономическом форуме, вы узнаете, как действуют злоумышленники, почему государственные учреждения остаются самыми атакуемыми, какие события могут быть недопустимыми для госорганизаций и как защититься. Если времени мало, но хочется ознакомиться с основными трендами, смело ныряйте под кат.
Живые мишени
Киберпреступники прекрасно знают, что в госсекторе работает много людей: в разных странах занятость в органах государственного управления достигает 30% от общей занятости населения. У всех этих сотрудников есть свои человеческие слабости — в 94% атак киберпреступники брали жертв на крючок с помощью фишинговых электронных писем.
Интересно: количество инцидентов, в которых используются методы социальной инженерии, увеличивается: 43% — в первом полугодии 2023 года, 57% — в первой половине 2024-го. По всему миру фишинговые кампании против государственных организаций проводятся чаще, чем против других отраслей.
Благодаря массовым утечкам персональных данных злоумышленники могут придумывать хитрые схемы атаки: они составляют подробный цифровой портрет жертвы и легко втираются в доверие.
? Группировка Shedding Zmiy для атак на госструктуры создала в Telegram поддельный аккаунт специалиста по ИБ целевой компании и от его имени выманила у сотрудника учетные данные для доступа к внутренним узлам.
Вредоносный арсенал
Наиболее распространенный инструмент, который используют злоумышленники в атаках, — вредоносное ПО (ВПО). На его долю пришлось 56% успешных киберинцидентов, причем популярность ВПО продолжает расти.
Причин тому несколько: вредоносы просты в использовании, их легко купить, арендовать или заказать на теневом рынке, и они эффективны за счет комбинирования автоматизированных инструментов. Атаки с применением ВПО могут привести к серьезным нарушениям работы и утечкам.
? В апреле 2023 года атака вымогателей Royal на компьютерные серверы администрации города Даллас вызвала отказ систем полиции, судов, службы 911, онлайн-оплаты счетов и публичных библиотек. В результате утечки атакующие получили доступ к 1,2 ТБ конфиденциальных данных более 26 000 человек.
Не только ради денег
Самый популярный у злоумышленников тип ВПО — шифровальщики. И хотя на их долю пришлось 49% кибератак, направленных на госсектор (это очень много!), снижение популярности этого типа ВПО нельзя не заметить (см. рис. 1). Одна из причин — многие страны на законодательном уровне принимают решение не платить выкуп вымогателям. Это делает госучреждения непривлекательными целями с точки зрения финансовой выгоды, но злоумышленники все равно продолжают атаковать госсектор, чтобы нарушить работу организаций, уничтожить или украсть данные.
? В апреле 2022 года произошла атака на правительство Коста-Рики. Злоумышленники из группировки Conti взломали сети Минфина, Министерства науки, инноваций и технологий, а также других ведомств и потребовали выкуп в размере 20 миллионов долларов. Однако правительство объявило, что платить злоумышленникам не намерено; президент Коста-Рики ввел в стране чрезвычайное положение. Это первый в мире случай, когда режим ЧС ввели из-за кибератаки.
Затаившиеся в сети
В то время как популярность шифровальщиков постепенно снижается, злоумышленники все чаще используют вредоносное ПО для удаленного управления — remote access trojan, RAT (см. рис. 1). При этом большинство таких программ имеют функции шпионского ПО.
Киберпреступники применяют как простые вредоносы, такие как LazyStealer, так и инструменты со сложными методами уклонения от обнаружения и защитными механизмами.
? В апреле 2024 года была обнаружена атака группировки BlackTech на технологические, исследовательские и правительственные секторы в Азиатско-Тихоокеанском регионе. В ходе атак применялся обновленный модульный бэкдор Waterbear и его новая версия Deuterbear для получения скрытого доступа и слежки за целевыми системами. Атакующие модифицировали прошивки маршрутизаторов и использовали шифрование для скрытия своих действий и поддержания постоянного доступа к сетям жертв.
RAT, как и шпионское ПО, применялись в трети успешных кибернападений на госучреждения. Заметьте, это в полтора раза чаще, чем в атаках на финансовые организации, и почти в четыре раза чаще, чем в атаках на медицинские учреждения. Со шпионским ПО похожая ситуация. Дело в том, что эти виды ВПО обладают высокой степенью маскировки и позволяют злоумышленникам длительное время присутствовать в сети госучреждений, собирать данные и манипулировать ими в нужный момент.
Еще одна причина высокой доли применения RAT и шпионского ПО — атаки APT-группировок. Среди всех отраслей госсектор пользуется у них наибольшей популярностью.
Учетные данные ведут за периметр
Среди популярных способов заражения вредоносами — фишинговые электронные письма (64% успешных атак) и компрометация компьютеров, серверов и сетевого оборудования (28%).
Злоумышленники для получения доступа к ИТ-инфраструктуре используют учетные данные, скомпрометированные в результате подбора или разведки по сети или по утекшим базам. При этом для совершения атаки киберпреступникам не всегда нужны учетные данные администратора — иногда бывает достаточно почтовых аккаунтов в доменной зоне госучреждения.
? В результате атаки на системы оплаты грантов Министерства здравоохранения и социальных служб США было украдено около 7,5 миллиона долларов. Злоумышленники завладели доменными учетными записями электронной почты грантополучателей и использовали целевой фишинг, чтобы заставить платежных работников США предоставить им доступ к учетным записям пользователей.
Кроме того, злоумышленники покупают или обменивают учетные данные скомпрометированных устройств в дарквебе. В каждом шестом объявлении речь идет о доступе к инфраструктуре госорганизаций. Что предлагают киберпреступники и сколько денег за это просят — читайте в полном исследовании.
Самый атакуемый регион
Судя по объявлениям в дарквебе, наибольший интерес для злоумышленников представляют государственные организации Азии (33%).
Мы уже рассказывали о том, что Азиатско-Тихоокеанский регион был самым атакуемым в 2022 году. В 2022–2023 годах он стал лидером по количеству кибератак именно на госсектор, и эта тенденция сохраняется: за рассматриваемый период 21% успешных инцидентов был направлен на госучреждения. Интерес злоумышленников подогревают лидирующие позиции азиатских стран в области технологических инноваций и несоответствующий им уровень безопасности, а также актуальные геополитические проблемы. Почти половина всех успешных атак на госсектор были целевыми.
Защита от недопустимых событий
Кибератаки на госсектор способны привести к печальным последствиям. Чаще всего инциденты заканчивались нарушением основной деятельности организации (48%) и утечками данных (41%), а также наносили ущерб интересам государства (27%).
При этом важно понимать, что последствия кибератак могут повлиять не только на целевое учреждение, но и на другие организации и даже на все государство. К сожалению, защититься абсолютно от всех киберугроз не получится, но можно снизить риски реализации недопустимых для организаций событий, опираясь на принципы результативной кибербезопасности. Следуя этой концепции, можно повысить киберустойчивость ИТ-инфраструктуры и добиться состояния, при котором злоумышленник, даже проникнув в периметр, не нанесет организации непоправимого ущерба. Учитывая специфику отрасли, мы рекомендуем применять этот подход в разрезе всего государства: строить результативную кибербезопасность не на уровне определенной организации, а в масштабах всего госсектора.
Результативная кибербезопасность включает в себя несколько блоков:
Определение недопустимых событий. Например, для суда это может быть вмешательство в процесс судебного делопроизводства, утечка данных о судебных разбирательствах; для местных органов власти — недоступность телефонов экстренных служб в течение нескольких часов и финансовые потери существенной доли бюджета. Каждая госорганизация в лице руководителя и CISO должна самостоятельно сформулировать для себя недопустимые события: составить список и оценить пороги ущерба поможет руководство, определить целевые системы и построить возможные сценарии реализации инцидентов — специалисты по ИТ и ИБ. Вторым шагом нужно провести инвентаризацию ИТ-активов госучреждений, выявить потенциальные точки проникновения злоумышленников и соотнести эту информацию с бизнес-процессами.
Кибертрансформация. Сюда входят: харденинг ИТ-инфраструктуры, обучение сотрудников, мониторинг и реагирование на инциденты, проверки защищенности, оптимизация бизнес-процессов и налаживание коммуникации между ИТ и ИБ, а также оценка эффективности принципов результативного кибербеза.
Подтверждение киберустойчивости. Этот блок включает в себя поддержание высокого уровня защищенности и запуск программ багбаунти, в том числе ориентированных на реализацию недопустимых событий.
Ознакомиться со всеми современными киберугрозами для госсектора, примерами недопустимых событий для госучреждений и полным списком рекомендаций по защите можно в исследовании на нашем сайте.