Атаки киберпреступников на Ближнем Востоке: итоги и прогнозы / forpes.ru

Главная
Атаки киберпреступников на Ближнем Востоке: итоги и прогнозы

Атаки киберпреступников на Ближнем Востоке: итоги и прогнозы +3

20.11.2024 09:40

ptsecurity 0 645 Источник

Страны Ближнего Востока вслед за экономическим ростом переживают период цифровой трансформации. Для многих государств это не просто вопрос удобства оказания услуг, а далеко идущая стратегия, позволяющая снизить зависимость от экспорта энергоресурсов.

Сосредоточение большого количества финансов и расширение ИТ-инфраструктуры привлекают не только инвестиции, но и хакеров. Некоторые из них включаются в противостояние государств в регионе, другие ищут материальную выгоду — так или иначе киберпреступники представляют серьезную угрозу. Каковы цели злоумышленников, какие методы они используют и как страны Ближнего Востока пытаются сдерживать нарастающий поток атак — читайте в нашем отчете под катом.

Цифровизация и усилия стран по укреплению киберзащиты

Государства региона заинтересованы в развитии ИТ-инициатив как в стратегической мере по диверсификации экономики и снижению зависимости от экспорта энергоресурсов.

Разумеется, огромные ресурсы и объемы данных привлекают злоумышленников, поэтому особое внимание уделяется защите ИТ-инфраструктуры. Например, Объединенные Арабские Эмираты (ОАЭ) включили расходы на информационную безопасность в бюджет, а Саудовская Аравия финансирует стартапы в области киберзащиты. Помимо этого, такие компании, как Saudi Aramco, вкладывают миллионы долларов в разработку искусственного интеллекта и машинного обучения для обнаружения угроз, чтобы сократить издержки от атак.

Специфика киберугроз: кто, кого и как атакует

Атаки киберпреступников на Ближнем Востоке отличает более разрушительный характер. Как показывает исследование компании IBM, средний ущерб для организаций в результате инцидента почти в два раза превышает средний мировой показатель и составляет 8,75 млн $.

Кроме того, в период с конца 2023 по вторую половину 2024 года наши эксперты наблюдали значительное влияние геополитической обстановки в регионе на активность киберпреступников. Это подтверждает тезис о том, что кибератаки становятся полноценной частью современных конфликтов. Так, эскалация военных действий между Израилем и ХАМАС привела сначала к двукратному, а затем и к трехкратному увеличению числа кибератак по сравнению с прошлым годом.

Какие страны чаще всего становились целями кибератак

Если в начале конфликта целями хакеров становились в основном Израиль и Палестина, то затем действия злоумышленников распространились и на другие страны. В конце 2023 года распределение атак выглядело следующим образом:

Вместе с разрастанием конфликта ситуация изменилась, и жертвами киберпреступников чаще стали становиться и другие государства:

Самые атакуемые отрасли

Жертвами атак среди организаций в рассматриваемый период чаще всего становились:

госучреждения — 24% случаев;
промышленные компании — 17%;
телекоммуникационные — 7%;
ИТ-компании — 7%.

Государственные учреждения

В первом полугодии больше всего предложений о продаже данных госучреждений приходилось на страны Ближнего Востока (16%). Причина этого — то, что в регионе повысилась активность APT-группировок, в том числе политически мотивированных.

Часть утечек происходила из-за действий инсайдеров — внутренних пользователей, которые намеренно или случайно нарушали меры безопасности. Так, согласно отчету компании CPX, активность инсайдеров стала причиной 23% инцидентов в организациях ОАЭ.

Промышленность

Чаще всего промышленные предприятия региона подвергались атакам с использованием вредоносного ПО. Особенно активно хакеры применяли программы-вымогатели, на которые пришлось 28% всех инцидентов, и вайперы (среди них можно выделить вайпер BiBi, целями которого стали технологические компании на территории Израиля).

Наиболее опасными были атаки на автоматизированные системы управления технологическими процессами (АСУ ТП). Подобные угрозы могут привести к сбоям в работе критически важных объектов и техногенным катастрофам.

Телекоммуникационные компании

Хакеры часто атакуют телекоммуникационные компании, чтобы завладеть данными абонентов и использовать их для шантажа, кражи личности и других целенаправленных кампаний. Другим вариантом развития событий может быть распространение вредоносного ПО через сети оператора.

? Особое внимание в рассматриваемый период привлекла кампания Operation Soft Cell, в рамках которой кибератаке подверглись сразу несколько ближневосточных телеком-операторов. Злоумышленники готовили нападение с 2012 года, однако угрозу удалось вовремя нейтрализовать — и хакеры не добились своих целей.

ИТ-компании

Компании из ИТ-сферы обслуживают широкий спектр организаций, включая крупные корпорации и правительственные учреждения, а также хранят большой объем критически важной и конфиденциальной информации. Все это делает такой бизнес желанной целью злоумышленников, которые хотят скомпрометировать инфраструктуру клиентов или заполучить ценные данные для продажи.

? Члены группировки APT34 создали поддельный сайт ИТ-компании, чтобы завладеть данными ее клиентов из числа государственных учреждений. Киберпреступники разместили на странице вредоносный файл под видом заявления о приеме на работу. Когда жертва открывала документ, запускался вредоносный код — и злоумышленники получали доступ к конфиденциальной информации.

APT-группировки и атаки хактивистов

Подавляющее большинство группировок хотя бы раз атаковали государственные учреждения, а 69% из них выбирали целью энергетический сектор. Судя по всему, киберпреступники стремились нарушить работу критически важной инфраструктуры и дестабилизировать обстановку в регионе.

? В четвертом квартале 2023 года мы зафиксировали всплеск атак на системы водоснабжения Израиля, а в Иране хакеры нарушили работу 70% автозаправочных станций.

Участие в конфликте Израиля и ХАМАС приняли и хактивисты — политически мотивированные хакеры.

? Mysterious Team Bangladesh заявила о подготовке атак на организации Израиля и призвала к сотрудничеству другие группировки. Кроме того, она оказывала давление на тех, кто, с ее точки зрения, занял недостаточно жесткую позицию в противостоянии. Например, жертвой DDoS-атаки со стороны Mysterious Team Bangladesh стала Организация исламского сотрудничества.

? Другая хактивистская группировка выкладывала в публичный доступ конфиденциальные данные израильских компаний и госучреждений. Жертвами атак стали министерство благосостояния и социального обеспечения, управление по ценным бумагам, государственный платежный шлюз и национальный архив.

Методы атак и арсенал киберпреступников

Атаки на организации Ближнего Востока злоумышленники чаще всего проводили с использованием ВПО; 86% инцидентов были связаны с компрометацией рабочих станций, серверов и сетевого оборудования.

Наиболее часто в атаках на организации киберпреступники использовали инструменты для удаленного управления (33% случаев). На втором месте — шпионское ПО, которое применяли в каждой пятой успешной атаке. На третьем месте с небольшим отрывом и долей в 19% случаев — шифровальщики. От действий вымогателей больше всего страдали госучреждения (31%), промышленные компании (25%) и медицинские организации (13%).

? В сентябре 2023 года жертвой программы-вымогателя стало Министерство финансов Кувейта. Злоумышленники вмешались в работу платежных и зарплатных систем — угроза была настолько серьезной, что их пришлось временно отключить.

Социальная инженерия

Злоумышленники пользовались методами социальной инженерии более чем в половине атак (54%). Примечательно, что для создания вредоносных сообщений хакеры активно применяли ИИ и машинное обучение: в результате число атак через электронную почту в 2023 году увеличилось на 222% по сравнению со вторым полугодием 2022 года.

? В исследуемый период члены APT-группировки MuddyWater провели более 50 фишинговых кампаний против израильских муниципалитетов, авиакомпаний, туристических агентств и СМИ.

Уязвимости

Эксплуатация уязвимостей стала причиной 35% атак в регионе за рассматриваемый период. Это связано с увеличением числа недостатков в системах, ростом количества подключенных устройств и с превращением киберпреступности в бизнес.

По данным Национального института стандартов и технологий США (National Institute of Standards and Technology, NIST), в 2023 году было обнаружено на 14% уязвимостей больше, чем в 2022-м, и на 42% больше, чем в 2021-м. Как выяснили сотрудники центра реагирования на компьютерные инциденты ОАЭ (aeCERT), в 32% случаев преступники эксплуатировали уязвимость камер Hikvision (CVE-2021-36260), чтобы перехватить контроль над устройством.

Компании на Ближнем Востоке активно внедряют так называемые умные устройства для повышения эффективности и автоматизации производства. Многие из этих гаджетов уязвимы и имеют другие проблемы с защитой, что увеличивает поверхность атаки.

Хакеры все чаще разрабатывают ВПО и эксплойты не для себя, а на продажу. Это делает кибератаки массовыми и доступными широкому кругу заинтересованных лиц.

Последствия атак: рост количества утечек

Чаще всего результатом успешной атаки в рассматриваемый период была утечка конфиденциальной информации. Эта тенденция усилилась во втором квартале 2024 года и, как мы думаем, сохранится в будущем. От раскрытия данных страдали преимущественно торговые и финансовые организации, государственный сектор и частные лица. Больше всего публикаций об утечках и объявлений о продаже данных мы зафиксировали в ОАЭ (34%), Израиле (29%) и Иране (14%).

? Так, от утечки данных пострадала одна из крупнейших розничных сетей ОАЭ — Lulu Hypermarket. Хакеры скомпрометировали более 200 тысяч записей о клиентах — адреса электронной почты и номера телефонов. Государственный сектор атаковала группировка INC Ransom: ее целью стал деловой совет США и Саудовской Аравии. По словам злоумышленников, в их распоряжении оказалось 200 ГБ данных, включая финансовую документацию, электронную переписку, конфиденциальные соглашения и контракты.

Угрозы частным лицам

На фоне обострения геополитической обстановки число атак против частных лиц сократилось в два раза — до 10%. Судя по всему, в рассматриваемый период злоумышленники были более заинтересованы в целенаправленных кампаниях против конкретных организаций. С другой стороны, взлом корпоративных систем и госучреждений повысил эффективность фишинга и атак методом социальной инженерии: украденные данные позволяли хакерам создавать более правдоподобные фальшивые сообщения.

Большая часть кибератак на частных лиц проводилась с использованием ВПО (77%). Чаще всего злоумышленники применяли следующие виды вредоносов:

Шпионское ПО — 55%.
Программы удаленного администрирования — 18%.
Банковские трояны — 9%.

Шпионское ПО хакеры использовали как для кражи личных и финансовых данных, так и для слежки за политическими активистами и журналистами. На фоне обострения геополитической напряженности и внутренних конфликтов рост доли его использования составил 13%. Не обошлось и без широко известного трояна Pegasus, активность которого независимые исследователи фиксировали в Иордании.

? Другую шпионскую программу для смартфонов под управлением Android обнаружила McAfee Mobile Research Team. Троян выдавал себя за официальное приложение госучреждения Бахрейна и распространялся через социальные сети и SMS-сообщения, а целью атаки было финансовое мошенничество. В тот же период исследователи из Zimperium нашли в Google Play более 200 подделок под приложения крупных иранских банков.

Судя по всему, внимание хакеров привлекает повсеместное использования смартфонов для совершения финансовых операций. Если в аналогичный период прошлого года доли кибератак на мобильные устройства и на компьютеры были сопоставимы, то в третьем квартале 2023 — втором квартале 2024 года в 62% известных случаев взламывали именно мобильные устройства.

Прогнозы

Обострение геополитической обстановки

Хакерские группировки региона уже показали, что могут объединяться и координировать действия для проведения сложных DDoS-атак. Дальнейшее обострение геополитической обстановки только усилит эту тенденцию, особенно давление на СМИ и госучреждения. Для достижения целей злоумышленники могут привлекать добровольцев, чтобы использовать их ресурсы для вывода из строя целевых систем. При этом участникам кампании не нужно иметь специальные знания и навыки, необходимо только желание.

Атаки на критическую инфраструктуру

Страны Ближнего Востока импортируют до 85% продуктов, а поступление воды для нужд населения и производств зависит от систем опреснения. Из-за жаркого климата летом некоторые государства тратят до 70% электроэнергии на охлаждение и кондиционирование воздуха. Поэтому кибератаки на критическую инфраструктуру региона могут привести к перебоям в снабжении и вызвать не только экономический кризис, но и гуманитарные проблемы.

Сдвиг мотивации в сторону финансовой выгоды

Сейчас хактивисты политически мотивированы, однако позже они могут начать применять свои навыки для финансовой выгоды. Преступников мотивирует наличие рынков сбыта украденной информации и других ценных активов. Примеры успешных кибератак и получения выкупа еще больше подогревают аппетит хакеров.

В результате цифровизации финансовой отрасли компании сталкиваются с многочисленными вызовами: уязвимости, удаленная работа сотрудников, рискованное поведение клиентов. Все это создает благоприятную почву для роста числа кибератак.

Кибератаки на криптовалюту

Рынок криптовалюты развивается в регионе одним из самых быстрых темпов в мире. Прогнозируемая стоимость сегмента составляет 389,8 млрд $, и это неизбежно ведет к увеличению числа киберугроз. ? Например, в рассматриваемый период биржа Rain подтвердила факт взлома, в результате которого убытки составили около 15 млн $.

Кибератаки на промышленный IoT и инфраструктуру умных городов

Еще один активно растущий рынок в регионе — сегмент устройств интернета вещей (IoT). Как утверждают аналитики, к концу 2024-го годовой темп роста (CAGR) рынка превысит 10%, а выручка приблизится к 12 млрд $. Как и в случае с сегментом криптовалюты, это создает ряд вызовов в области ИБ. Проблемы в основном обусловлены недостаточной защитой как на аппаратном уровне, так и на уровне ПО, отсутствием стандартов безопасности устройств и недооценкой рисков со стороны потребителей.

Кибератаки на системы государственных услуг

В результате политики цифровизации государственных услуг появляются так называемые суперприложения — сервисы, подобные отечественным Госуслугам. Gartner прогнозирует, что к 2027 году пользоваться ими будет более 50% населения мира. Разумеется, такие сервисы есть и в странах Ближнего Востока. Например, на Hukoomi, официальном портале электронного правительства Катара, жители могут получить около 1500 услуг онлайн. Поскольку такие приложения хранят огромное количество персональных данных, они являются привлекательной целью для киберпреступников.

Чтобы быть готовыми к атакам, организациям нужно оценить свои активы и выявить среди них наиболее важные для бизнеса. Далее следует определить события, которые могут привести к критическим сбоям в работе, и провести аудит безопасности. По результатам проверки будет очевидно, каким узлам и системам требуется уделить наибольшее внимание, чтобы избежать непоправимого ущерба.

Подробнее ознакомиться с результатами нашего исследования киберугроз в Ближневосточном регионе, а также с рекомендациями по защите можно в полном тексте отчета.