Правительственные хакеры стали опаснее, чем когда-либо

Из-за действий киберпреступных группировок, поддерживаемых правительствами Китая, России, Северной Кореи и Ирана, 2020 год был особенно сложным для сферы кибербезопасности.

Как сообщили эксперты Дмитрий Альперович (Dmitri Alperovitch) из некоммерческой организации Silverado Policy Accelerator и Сандра Джойс (Sandra Joyce) из ИБ-компании FireEye на конференции RSA 2021, двумя самыми громкими событиями прошлого года стали кибератаки на цепочку поставок SolarWinds и серверы Microsoft Exchange . Первый инцидент «был традиционной шпионской операцией», направленной против иностранных правительств, особенно США. Атака представляет собой модернизированный подход к проникновению «внутрь цепочек поставок, которые трудно обнаружить, и пребыванию там в течение длительного периода времени». Целью атаки была специфическая информация, при этом игнорировались даже финансовые сведения, позволяющие преступникам получить больше прибыли.

Характер инцидента SolarWinds резко контрастировал с атакой на серверы Microsoft Exchange. Эта крайне агрессивная тактика привела к тому, что многие организации, у которых не было возможности быстро исправить проблемы, оказались уязвимыми к последующим атакам со стороны других группировок.

Эксперты также отметили недавнюю киберактивность Китая. Китайские APT активно атаковали сектор здравоохранения и биотехнологий, особенно разработчиков и исследователей вакцин. Еще одним интересным моментом стало возобновление киберпреступной активности НОАК (Народно-освободительная армия), в том числе взлом Equifax. Китай также стал активнее использовать мобильные устройства для достижения политических целей и оказания давления на диссидентов внутри страны.

Иран в основном «воздерживался» от нападения на США в киберпространстве в течение всего прошлого года. Однако иранские хакеры все же вмешались в ноябрьские президентские выборы «более агрессивно, чем русские». Примером этого стала кампания по подделке сообщений электронной почты Proud Boys, в ходе которой была предпринята попытка запугать зарегистрированных избирателей-демократов.

Как отметили специалисты, правительство Северной Кореи спонсирует киберпреступность для финансирования своих проектов. Такие группировки, как APT38, регулярно предпринимают попытки ограбления банков по всему миру. В отличие от Ирана, России и Китая, которые часто используют готовые инструменты (например Cobalt Strike), Северная Корея активнее развивает и использует инструменты собственного производства.

В последнее время хакеры, связываемые с РФ, также активизировали деятельность, атаковав облачных провайдеров, системы аутентификации и идентификации для снижения рисков обнаружения. Еще одной вызывающей серьезное беспокойство деятельностью преступников является усиленное внимание к критически важной инфраструктуре, в частности к транспортной отрасли.

Самой опасным явлением в сфере кибербезопасности оказались программы-вымогатели. Злоумышленники все чаще используют запугивание для оказания давления на своих жертв, угрожая «опубликовать похищенные данные или позвонит конкурентам или клиентам». Эксперты подчеркнули, что в последнее время резко возросли суммы требуемых выкупов. Одним из примеров является недавняя попытка операторов REvil потребовать сумму в размере $50 млн у компании Acer.

Эксперты предполагают, что предстоящие Олимпийские игры в Японии могут попасть под прицел хакеров. Злоумышленники могут воспользоваться возможностью «послать сообщение и заявить о себе всему миру».