УДК 004.056.57

Угрозы кибербезопасности 2022-2023: проблемы, риски и возможные решения

Токарев Евгений Валерьевич – студент Санкт-Петербургского государственного университета телекоммуникаций им. М.А. Бонч-Бруевича

Аннотация: статья посвящена анализу актуальных киберугроз на 2023 год, а также рассмотрению проблем и рисков в сфере информационной безопасности и поиску их возможных решений. Оценки основаны на анализе, синтезе и обобщении зарубежных и российских статистических данных, результатов официальных и журналистских расследований, мнений авторитетных экспертов в области кибербезопасности. Прогнозирование осуществлено с учетом сложностей политической обстановки, влияющей на выбор объектов для кибератак.

Ключевые слова: кибербезопасность; кибератаки; киберугрозы; киберпространство; киберпреступность.

События 2022 года стали серьезным испытанием для специалистов в сфере информационной безопасности, работающих с российскими компаниями. Это было связано с изменениями целей и объектов многих кибератак из-за политических взглядов некоторых хакерских активистов, политически мотивированными заказами на взломы и санкционным давлением на российский бизнес, ассоциированный с господдержкой. По причине санкционных ограничений для российских властей со стороны части западных стран возникает проблема сохранения возможностей для сотрудничества не только в правовой сфере по противодействию хакерским группировкам и распространению вредоносного ПО, но и проблема сохранения возможностей для сотрудничества в области совместных российских и зарубежных разработок новых методов и технологий защиты от киберугроз, а также легальной покупки зарубежных технологий. Кроме того, из-за ухудшения политических отношений между Россией, Украиной, США и рядом европейских стран многие киберпреступники и хакерские группировки выбирают в качестве мишеней для своих атак крупные российские бренды, российские государственные корпорации и просто любые компании, ведущие бизнес в России, из идейно-политических соображений, так как они полагают, что, нанося им ущерб, борются с не с ними, а с российскими властями. Таким образом, в настоящее время под наибольшей угрозой оказались именно государственный российские компании из-за их привлекательности в качестве мишеней для осуществления политически мотивированных кибератак, а также в связи с тем, что им тяжелее всего сохранить возможности легального приобретения иностранного ПО.

Это подтверждается статистическими данными за 2022 год. Так, эксперты «Positive Technologies» в своем ежегодном отчете о важных событиях и значимых угрозах в сфере кибербезопасности, сообщили, что государственный сектор являлся основной целью кибератак в РФ в прошлом году. В I квартале 2022 года количество атак, направленных на госучреждения, увеличилось практически в два раза по сравнению с последним кварталом 2021 года, а затем продолжало расти в течение всего года. Государственные учреждения столкнулись с наибольшим количеством кибератак среди организаций: их доля от общего числа атак составила 17%, что на 2 процента больше, чем в 2021 году. Всего за 2022 год эксперты «Positive Technologies» зафиксировали 403 подобных атаки, что на 25% больше, чем в 2021 год. Государственный сектор был целью множества преступных группировок (как вымогателей, так и APT-группировок), в числе которых – Cloud Atlas, Tonto, Gamaredon, MuddyWater, Mustang Panda. Злоумышленники использовали вредоносное ПО почти в каждой второй атаке на госучреждения. Наиболее популярными типами вредоносов оказались шифровальщики (56% среди атак с применением ВПО) и вредоносные программы для удаленного управления (29%) [3].

По наблюдениям экспертов еще в 2021 году наметился тренд на изменение ландшафта действий кибергруппировок, который в полной мере проявился в 2022. Раньше новые профессиональные (и, тем более, высокопрофессиональные) киберпреступные группировки возникали редко, им требовалось время на разработку своих методик совершения кибератак, а их участники проживали, как правило, в странах, где законы лояльны по отношению к преступлениям в киберпространстве. В связи с этим, специалистам в сфере кибербезопасности было не слишком сложно понять по «почерку» (тактикам, техникам, инструментам), что за группа может стоять за кибератакой. Однако в позапрошлом и прошлом году стало возникать много новых кибергруппировок. Это связано с тем, что инструментарий для кибератак сейчас распространяется на профильных форумах в дарквебе зачастую даже вместе с подробной и детальной инструкцией по его применению, в связи с чем пользоваться им может человек даже с не самым высоким уровнем подготовки. Фактически это снижает порог входа в киберпреступность, так как не нужно ничего разрабатывать и создавать самостоятельно, а надо всего лишь либо воспользоваться услугами взлома «под ключ», либо купить соответствующее ПО, которое теперь совсем несложно найти. И если услуги взлома «под ключ» все же были достаточно дороги, то самостоятельная покупка ПО обходится дешевле, что делает возможности для совершения киберпреступлений все более доступными. Однако в этом есть и своеобразный плюс: такие начинающие киберпреступники, чаще всего, менее осторожны и изобретательны, чем их более квалифицированные и опытные предшественники. Кроме того, значительная часть новосозданных группировок не преследовала никаких целей, кроме хайпа в медиасфере и желания нанести вред чьей-либо репутации за счет «слива» данных. Одна-две успешных кибератаки с хищением данных и нанесением репутационных издержек своим жертвам и пиар этих акций в медиасреде полностью удовлетворяли их амбиции, после чего энтузиазм подобных хакерских активистов снижался [2].

Также в России в 2022 году стало уделяться более пристальное внимание вопросам обеспечения безопасности Linux-систем, что также связано с санкционными ограничениями и переходом ряда отечественных компаний на Linux-системы. Киберпреступность отреагировала на изменения достаточно оперативно, уже в третьем квартале 2022 года количество атак с использованием вредоносного ПО на Linux-системы возросло на 30% по сравнению с первым и вторым кварталом этого же года [3]. Появились новые шифровальщики, руткиты со средствами удаленного управления, шпионское ПО, майнеры. Примечательно, что ранее российские компании, использующие Linux-системы, не сталкивались с подобными трудностями, а данная ситуация потребовала оперативного реагирования и переориентации всех систем обеспечения информационной безопасности компаний.

По-прежнему продолжают оставаться популярными рассылки фишинговых ссылок через электронную почту, соцсети и мессенджеры. Их применение резко возросло еще в 2020 году с переходом большей части сотрудников различных компаний на удаленную работу и до сих пор остается в тренде [1].

В 2022 году актуальной во всем мире стала проблема киберугроз, ассоциированных с использованием искусственного интеллекта. Киберпреступники стараются выявить и эксплуатировать возможные уязвимости ИИ, а также использовать ИИ для кражи данных. Эта угроза является весьма серьезной, так как сопутствующие риски информационной безопасности при запуске новых инфраструктур ИИ трудно просчитываются и во многом зависят от популярности данной инфраструктуры ИИ среди пользователей. Помимо того, специалистам по кибербезопасности пока не хватает опыта работы с киберугрозами, направленными на использование уязвимостей ИИ, так как почти все полноценно внедренные технологии ранее реализовывались или в редуцированном виде, или как концепты, но не полномасштабно. При этом исследователи заявляют, что компании-разработчики ИИ недооценивают риски и их оценки уровня безопасности куда более наивно-оптимистичны, чем реалистичны [5]. Разрешить проблемную ситуацию можно только в случае налаживания постоянного сотрудничества между специалистами в области кибербезопасности и ИИ-разработчиками.

Для российского киберпространства новым и ведущим трендом 2022 стала кибератака через мобильные приложения. Из-за введения пакетов западных санкций в финансовом секторе часть приложений российских банков была удалена из плэймаркетов для смартфонов Android и iOS. Пользователи, которым требовалось и дальше использовать банковские приложения для сохранения доступа к онлайн-услугам, стали искать, где еще можно их скачать. Этим не преминули воспользоваться киберпреступники, начавшие массово клонировать и распространять вредоносные клоны-приложения и фишинговые сайты-подделки известных банков. На руку злоумышленникам сыграли действия некоторых представителей банковского сектора, которые решили обойти санкционные ограничения, самостоятельно создавая клоны собственных приложений для плэймаркетов и внося еще большую путаницу для пользователей, растерявшихся и потерявших возможность отличить, где же настоящее банковское приложение, а где его вредоносная подделка. Кроме этого, быстрый выпуск приложений зачастую связан с пренебрежением правилами безопасной разработки или снижением общих требований к обеспечению безопасности. Если в западных странах пренебрежение правилами безопасной разработки характерно, в первую очередь, для мелких и небольших стартапов, то в России даже некоторые весьма крупные компании из-за санкционных ограничений стали осознанно снижать стандарты безопасности для сохранения привычного качества других параметров. Пока ситуацию нельзя назвать критичной или тяжелой, но нельзя не отметить, что это весьма настораживающая и потенциально опасная тенденция – особенно в условиях повышения количества и интенсивности кибератак на предприятия российского государственного сектора.

Еще одна прошлогодняя тенденция, которая может сохраниться в 2023 году – своеобразный обмен опытом между киберпреступными группировками. К нему относится переиспользование хакерсками группировками в своей среде инструментария друг друга, а также перепродажа и «шеринг» технологических наработок внутри преступного комьюнити. При этом отмечается, что нередко злоумышленники пользуются услугами «заказной разработки», когда обращаются за услугой не самого взлома или совершения атаки, а именно разработки программного обеспечения, которое поможет совершать желаемые кибератаки им уже самостоятельно.

Чаще всего в дарквебе обсуждались в 2022 году следующие уязвимости [4]:

Рисунок 1. Самые обсуждаемые уязвимости в дарквебе в 2022 году.

По нашему мнению, для российского рынка в 2023 году возрастет опасность рисков уязвимости, связанной с Linux, в силу возрастания частоты использования Linux-систем российскими компаниями при малом предыдущем опыте их эксплуатации.

Обобщая все вышесказанное и опираясь на тенденции совершения преступлений в 2022 году в киберпространстве, мы можем сделать следующие предположения по поводу киберугроз, которые будут актуальными на протяжении 2023 года в России:

1. Политически мотивированные кибератаки на российские предприятия государственного сектора и иные крупные российские компании, известные бренды, а также сопутствующее этому и продолжающееся ограничение доступа российских пользователей к зарубежным технологиям и снижение доли участия России в международном сотрудничестве по вопросам кибербезопасности. Очевидно, что пока мировая геополитическая ситуация остается чрезвычайно напряженной и нет предпосылок ни для снятия санкций со стороны западных стран, ни для возобновления сотрудничества на прежнем уровне, ни для снижения интенсивности политически мотивированных кибератак. Остается принять, что данная ситуация является долгосрочной и работать над вопросами обеспечения информационной безопасности в новых реалиях. Кроме того, стоит рассматривать варианты сотрудничества по вопросам противодействия киберугрозам совместно с представителями азиатских и иных, не поддерживающих санкционные пакеты против РФ, государств.
2. Внедрение Linux-систем в более частую практику использования на российском рынке требует повышения безопасности базовых параметров по умолчанию, ужесточения контроля цепочки поставки ПО и оперативного выпуска обновлений безопасности от отечественных разработчиков дистрибутивов, в то время как перед корпоративными пользователями стоит задача интеграции Linux-систем в уже имеющиеся системы и налаживания их функционирования и взаимодействия в соответствии с требованиями обеспечения информационной безопасности.
3. Существуют опасения, что из-за сохранения санкционных ограничений компании будут прибегать к снижению стандартов безопасности, чтобы обеспечить сохранение других привычных функций. В данном случае необходима просветительская работа в сфере кибербезопасности и разъяснения, что оперативность внедрения разработок и продуктов не должна достигаться за счет повышения рисков возникновения уязвимостей для киберугроз.
4. Активное применение киберпреступниками технологий распространения фишинговых ссылок через мессенджеры, социальные сети и электронную почту продолжает оставаться актуальной проблемой. По-прежнему существует необходимость в просвещении персонала о соблюдении правил безопасности при открытии писем и сообщений от неизвестных отправителей, попыток перехода по ссылкам в них. Многофакторная аутентификация, наличие средств резервного копирования и восстановления данных – все это помогает предотвратить нанесение ущерба при подобных атаках или минимизировать его.
5. Мониторинг форумов в дарквебе помогает понять, какие наработки хакерских группировок выставляются в продажу, а также какие уязвимости чаще всего используют. Если тенденция на «передачу опыта» высококвалифицированных киберпреступников и распространение вредоносного ПО для взлома «под ключ» будет сохраняться и дальше, то подобное наблюдение может подсказать, какими технологиями будут чаще пользоваться новички.
6. Перспективы атак с использованием мобильных приложений и сайтов-клонов банков остаются актуальными, есть вероятность, что будут попытки перенесения этой практики на приложения других компаний. Пользователям требуется очень внимательно изучать интерфейс сайтов и приложений, чтобы не стать жертвой злоумышленников.

Список литературы

1. Bot Sentinel. URL: https://botsentinel.com/ [Bot Sentinel] (date accessed: 12.03.2023).
2. National vulnerability database URL: https://nvd.nist.gov/vuln/search/statistics?form_type=Basic&results_type=statistics&search_type=all&isCpeNameSearch=false [Information Technology Laboratory] (date accessed: 12.03.2023).
3. Positive Technologies: что принес ушедший год и каких вызовов кибербезопасности ждать в 2023-м. URL: https://www.ptsecurity.com/ru-ru/about/news/positive-technologies-chto-prines-ushedshij-god-i-kakih-vyzovov-kiberbezopasnosti-zhdat-v-2023-m/ [positive technologies] (date accessed: 13.03.2022).
4. Positive Technologies: какие уязвимости будут главными угрозами в 2023 году. URL: https://www.ptsecurity.com/ru-ru/about/news/positive-technologies-kakie-uyazvimosti-budut-glavnymi-ugrozami-v-2023-godu/ [positive technologies] (date accessed: 13.03.2022).
5. Weaponizing Machine Learning Models with Ransomware. URL: https://hiddenlayer.com/research/weaponizing-machine-learning-models-with-ransomware/ [hiddenlayer] (date accessed: 13.03.2022).