«data-stats =» true «> Кибератаки на страну — новый отчет Гжегорц Штех, 09.02.2021, 17:26 Отчет CSIRT GOV о кибербезопасности Отчет о фишинге CSIRT Поделиться Твитнуть LinkedIn

Недавно был опубликован последний отчет о безопасности киберпространства Республики Польша в 2020 году, подготовленный группой реагирования на инциденты компьютерной безопасности CSIRT GOV. Больше инцидентов, больше атаки, больше угроз. Мы представляем некоторые данные и выводы из отчета.

В 2020 году команда CSIRT GOV зафиксировала в общей сложности 246 107 отчетов о потенциальных инцидентах в сфере ИКТ. Фактически происшествием оказалось 23 309 из них. И первое, и второе количество отчетов явно выше, чем в 2019 году. Как отмечают авторы отчета, особенно заметен рост фишинговых кампаний, которые являются одним из основных векторов атак, используемых киберпреступниками. Но фишинг был не единственной бедой прошлого года. Что еще?

Увеличивает, увеличивает, увеличивает…

Группа реагирования на инциденты компьютерной безопасности CSIRT GOV является важным подразделением в национальной системе кибербезопасности. Он отвечает, в частности, за: «распознавание, предотвращение и обнаружение угроз безопасности, важных с точки зрения непрерывности функционирования состояния ИКТ-систем органов государственного управления или систем и ИКТ-сетей, охватываемых униформой. список объектов, установок, устройств и услуг, включенных в критическую инфраструктуру, а также системы ИКТ владельцев и владельцев объектов, установок или устройств критической инфраструктуры ».

Самой большой группой инцидентов в 2020 году стали те, которые о государственных учреждениях

Количество событий, зарегистрированных в 2020 году как фактический инцидент и включенных в отчет, составило 23 309, что примерно на 88% больше, чем в 2019 году, при росте количества отчетов только на уровне около 8%. . Наибольшее количество заявок упало в первом и четвертом кварталах, что представляет собой почти трехкратное увеличение количества заявок по сравнению с остальными кварталами 2020 года. По словам специалистов CSIRT GOV, эта зависимость в основном связана с сигналами тревоги системы ARAKIS GOV (см. Ниже), количество которых увеличилось в указанные периоды из-за обнаруженных активных сканирований сетевых адресов, принадлежащих государственным административным учреждениям и операторам критической инфраструктуры. Дополнительным фактором стал повышенный уровень обнаружения угроз, связанный с развитием возможностей систем раннего предупреждения, действующих в инфраструктуре субъектов национальной системы кибербезопасности.

Наибольшее количество актуальных инциденты были зарегистрированы во втором квартале 2020 года при относительно небольшом количестве обращений. Увеличение количества реальных происшествий в этом квартале, вероятно, связано с так называемыми блокировка из-за эпидемии COVID-19.

В 2020 году, как и в 2019 году, большинство инцидентов было классифицировано по следующим трем категориям: ВИРУС, СКАНИРОВАНИЕ, ФИШИНГ

• Категория ВИРУС — самая многочисленная, на ее долю пришлось почти 72% всех инцидентов (рост более чем на 132% по сравнению с 2019 годом). Количество инцидентов в этой категории связано, прежде всего, с повышением эффективности идентификации вредоносных программ на основе системы обнаружения, сигнатуры и сетевые потоки.

• Во вторую группу входят инциденты, классифицируемые как SCAN. Они также являются результатом предупреждений ARAKIS 3.0 GOV и касаются злонамеренного или подозрительного трафика, направленного на адресацию подчиненных организаций CSIRT GOV. В случае категории SCAN наблюдается явная тенденция к росту, и в прошлом году инцидентов этого типа было почти на 39% больше, чем в 2019 году.

• Фишинговые кампании также являются одним из наиболее важных типов угроз. Несмотря на то, что они основаны на использовании методов социальной инженерии, они представляют реальную угрозу безопасности систем ИКТ и могут также представлять собой этап, который инициирует более обширную атаку, предоставляя доступ к инфраструктуре ИКТ данной организации. Рост зарегистрированных инцидентов, связанных с категорией ФИШИНГ, составляет почти 19% по сравнению с 2019 годом.

Как отмечают авторы публикации, еще одним типом угроз, угрожающих безопасности ИКТ, являются уязвимости ИТ-ресурсов, которые понимаются как слабые места в системе ИКТ, возникающие в результате ошибок конфигурации или отсутствия соответствующей политики безопасности, связанной с обновлением и проверкой правильно реализованных ИКТ. решения. Эта категория увеличилась более чем на 34% по сравнению с 2019 годом.

ATP в действии

Согласно цитируемому отчету, наибольшую группу инцидентов в 2020 году составили инциденты с государственными учреждениями (8356). Здесь был рост по сравнению с 2019 годом почти на 118%. Количество инцидентов, связанных с критически важной инфраструктурой (около 283%), службами и армией (почти 311%), увеличилось меньше, но больше, чем в 2019 году.

Все чаще это атаки ATP (продвинутые долгосрочные атаки). атаки — Advanced Persistent Threats), относящиеся к группе наиболее опасных киберпреступников.

• ATP Kimsuky Velvet Chollima — Кампания Кимсуки была обнаружена как нападение на польские правительственные учреждения и организации, действующие в рамках Организации Объединенных Наций. Атаки использовали «целевой фишинг», а сообщения, содержащие файлы вредоносных программ, были нацелены на конкретных людей, например, работающих в отделах, связанных с международными контактами.

• APT Gamaredon (примитивный медведь) — эти атаки были нацелены на польские дипломатические миссии и другие польские учреждения, работающие в Украине. Им предшествовало распознавание, и последняя вредоносная программа была отправлена ​​только на выбранные хосты. На основе анализа проведенных атак было отмечено использование специализированного вредоносного ПО.

• APT 36 (Mythic Leopard) — это атаки, направленные на польские министерства с использованием государственная инфраструктура, ранее принадлежавшая группе APT 36. стран. Было обнаружено вредоносное ПО, представляющее собой модифицированную версию программного обеспечения RAT под названием Quasar. Действия, предпринятые группой хакеров, были направлены на получение информации, которая не является широко доступной.

Социальная инженерия по-прежнему эффективна

Согласно отчету, инциденты в категориях ФИШИНГ и ОДЕЖДА увеличились на 24% по сравнению с 2019 годом. В настоящее время это один из основных векторов атак киберпреступников. В течение отчетного периода наиболее распространенной фишинговой кампанией были рассылки электронной почты, маскирующиеся под службу поддержки или администраторов, с использованием логотипов и эмблем государственных административных учреждений или операторов критически важной инфраструктуры для дальнейшей аутентификации корреспонденции. Вероятно, целью этих действий было получение учетных данных для почтовых ящиков государственной администрации и получение информации, содержащейся в них. Государственное управление также стало целью крупномасштабных фишинговых кампаний в Интернете, в ходе которых использовались изображения, среди прочего, курьерские компании, такие как Poczta Polska, InPost, а также операторы связи Orange и Play. Наиболее частой целью этих атак была попытка заражения вредоносным ПО или получение данных авторизации для электронных банковских услуг и кража средств. Сообщения такого типа содержали информацию о предполагаемой почте и ссылку, по которой можно было произвести дополнительную оплату за отправку. В других случаях в содержании корреспонденции говорилось о необходимости оплаты счета за телекоммуникационные услуги.

COVID как возможность атаковать

Из-за глобальной эпидемии в 2020 году также было много фишинговых кампаний, пытающихся использовать пандемию для распространения угроз.

Команда CSIRT GOV выявила, среди прочего, такие кампании:

• спуфинг на страницу, напоминающую распространение коронавируса, содержащую файл .exe с вредоносной программой под названием AZORult. Это вредоносная программа, которая украла такую ​​информацию, как пароли, файлы cookie и историю просмотров. Кроме того, он мог загружать дополнительные модули на зараженные машины.

• Фишинговая кампания по рассылке электронных писем, мотив которой был основан на предположительно официальном сообщении, опубликованном ВОЗ — Всемирной организацией здравоохранения. Сообщение содержало вредоносное вложение под названием «официальное заявление who.img», которое на самом деле оказалось исполняемым файлом «OfficialStatement By WHO.exe».

Метод «Отправить по почте»

В 2020 году также наблюдалось увеличение количества инцидентов, связанных с использованием изображения Poczta Polska. Они появлялись циклично, хотя наиболее активную активность можно было наблюдать во время предстоящих выборов на пост президента Республики Польша, которые должны были проводиться по переписке. Это были как электронные письма, так и SMS-сообщения, содержащие вредоносное вложение или ссылку, перенаправляющую на вредоносное ПО.

Также регулярно наблюдаются массовые рассылки, в которых пользователь получает информацию о взломанном компьютере и заражении вредоносным ПО, благодаря чему преступник получает конфиденциальную информацию о жертве. Эта кампания была направлена ​​на вымогательство средств в виде криптовалюты Биткойн.

ARAKIS наблюдает

Система ARAKIS 3.0 GOV — это специализированная распределенная система раннего предупреждения об угрозах ИКТ, возникающих на интерфейсе между внутренней сетью и Интернетом. Основная задача системы — обнаружение и автоматическое описание угроз в ИКТ-сетях на основе агрегирования, анализа и сопоставления данных из различных источников. В 2020 году в сетях ИКТ организаций, участвующих в проекте ARAKIS 3.0 GOV, было зарегистрировано в общей сложности 1 813 243 995 потоков, что превратилось в 1 758 813 предупреждений, сгенерированных системой.

Где обновление ?

В 2020 году команда CSIRT GOV провела исследование в четырнадцати государственных административных учреждениях и важнейших объектах инфраструктуры, в ходе которого они рассмотрели 82 системы ИКТ.

В рамках оценки безопасности команда CSIRT GOV провела серию тестов, направленных на выявление значительных уязвимостей, влияющих на безопасность ИКТ-инфраструктур учреждения. Эксперты выявили ряд уязвимостей — от уровня информации до ошибок, относящихся к критическим категориям. Всего было выявлено 4325 уязвимостей, включая 95 критических и 223 серьезных, которые могут привести к нарушению безопасности злоумышленниками и, таким образом, к эскалации атаки. Опять же, наиболее важными (критическими и высокими) уязвимостями, выявленными при оценке безопасности систем ИКТ, были версии программного обеспечения, содержащие уязвимости, раскрытие которых часто было вызвано использованием устаревших версий.

Для коммерческого воспроизведения контента Computerworld необходимо приобрести лицензию. Свяжитесь с нашим партнером YGS Group по адресу [email & # 160; protected] Поделиться Поделиться Твитнуть LinkedIn Авторы и время; Grzegorz Stech Computerworld

С 1998 года связан со СМИ, с 2005 года — с названиями бизнеса и технологий. . Он опубликовал около десятка наименований, в шести он занимал руководящие и редакционные должности. Он руководил PR-агентством и бизнес-издательством; сотрудничал с аналитическими центрами и медиа-центрами, создавая для них контент и отчеты; он создавал специальные тематические приложения для крупнейших общенациональных ежедневных газет.

В 2006–2007 годах он возглавлял журнал финансовых директоров IDG Poland, который выходит раз в два месяца. Через несколько лет он вернулся в издательство, чтобы начать сотрудничество с должностями генерального директора, ИТ-директора и Computerworld.

Его заинтриговало взаимодействие между бизнесом и технологиями. Без последнего сейчас трудно найти эффективный бизнес…

Подробнее: Гжегож Штех

#hpe_special_offers.