Казахстан на втором месте по числу кибератак на страны СНГ
Высокий интерес киберпреступников к Казахстану подтверждается большим количеством объявлений (28%) в дарквебе[2], связанных с этой страной: республика занимает третье место по числу упоминаний среди других членов Содружества. При этом для Казахстана наиболее актуальны объявления о продаже фальшивых документов (48%) и обналичивание денег (38%). Цены на первые варьируются от 7 до 2700 долларов США.
В числе популярных целей киберпреступников, помимо СМИ, — госучреждения (12%), финансовые организации (12%) и телекоммуникации (7%). Что касается последних, Казахстан вошел в топ-3 стран СНГ, в которых эта отрасль является одной из самых атакуемых. На серверах телекоммуникационных компаний хранятся и обрабатываются большие объемы данных, поэтому киберпреступники стремятся взломать эти серверы и наладить постоянный доступ к ним, чтобы регулярно выгружать новые сведения. Например, после того как в феврале 2024 года на GitHub были опубликованы конфиденциальные данные китайской компании iSoon, выяснилось, что злоумышленники более двух лет полностью контролировали инфраструктуру казахстанских операторов связи.
В атаках, нацеленных на кражу информации, киберпреступники чаще всего стремились собрать персональные и учетные данные; для этого они использовали специальное вредоносное ПО — инфостилеры RedLine, Vidar, Raccoon и AZORult. Утекшая информация, как правило, применяется в дальнейших атаках, продается или распространяется бесплатно в дарквебе. Цены на базы данных жителей стран СНГ колеблются от 100 до 50 000 долларов США.
Используя ВПО в атаках на организации СНГ, в том числе Казахстана, злоумышленники в 74% случаев доставляли вредоносы на компьютеры жертв через фишинговые письма. Например, в декабре 2023 года была обнаружена рассылка в адрес казахстанского госоргана, нацеленная на заражение трояном SugarGh0st[3].
Методы социальной инженерии применялись в 53% всех атак, направленных против Казахстана. Например, в июне 2024 года специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировали фишинговое письмо, направленное сотруднику казахстанской организации. В нем злоумышленники требовали обновить пароль, форма смены которого находилась в HTML-файле, прикрепленном к письму. При вводе нового пароля данные перенаправлялись на легитимный сервис для заполнения разных форм и таким образом попадали к киберпреступникам.
Для улучшения ситуации в области информационной безопасности на уровне государства необходимо развивать нормативно-правовую базу на национальном, региональном и международном уровнях, а также налаживать тесное сотрудничество между госорганами и бизнесом, создавая центры реагирования на киберинциденты. Специалисты советуют выстраивать взаимодействие в области ИБ с другими странами, в том числе обмениваться опытом предотвращения кибератак, проводя киберучения. К числу необходимых мер эксперты также относят обеспечение многоуровневой защиты объектов КИИ и инвестирование в подготовку кадров в сфере ИБ.
Бизнесу специалисты рекомендуют придерживаться концепции результативной кибербезопасности, которая включает в себя определение недопустимых для компании событий, обучение сотрудников практическим аспектам ИБ и подготовку ИТ-инфраструктуры к отражению кибератак. Для мониторинга киберугроз и оперативного реагирования на них рекомендуется использовать SIEM-системы. Для того чтобы повысить эффективность защиты и обеспечить более быструю реакцию на атаки, эксперты советуют подключить продукты класса NTA, предназначенные для анализа сетевого трафика, а также EDR-системы, которые обнаруживают киберугрозы на конечных точках. Для выявления атак в промышленной инфраструктуре SIEM-системы можно дополнить специализированными продуктами для анализа трафика АСУ ТП. Кроме того, результативная кибербезопасность подразумевает регулярные проверки эффективности реализованных мер защиты — для этого рекомендуется принимать участие в программах багбаунти.
[1] В отчете рассматриваются 10 стран — членов СНГ: Азербайджан, Армения, Белоруссия, Казахстан, Киргизия, Молдавия, Россия, Таджикистан, Узбекистан и Туркменистан (ассоциированный член).
[2] Эксперты Positive Technologies проанализировали 431 уникальное объявление на различных теневых форумах и в телеграм-каналах. Учитывались сообщения с упоминанием стран СНГ, опубликованные в 2023 году и первой половине 2024 года.
[3] Вредоносная программа для удаленного доступа, используется кибершпионской группировкой SneakyChef.