Наступательные действия России в киберпространстве должны вызывать обеспокоенность у CISO
Наступательные действия России в киберпространстве должны вызывать обеспокоенность у CISO
Недавние кибератаки на западные хозяйствующие субъекты, действующие в Украине, также направлены на срыв бизнеса или ведение шпионажа. CISO должен следить за тем, чтобы такие атаки не распространялись за пределы Украины.
Энн Нойбергер, заместитель советника по национальной безопасности по кибербезопасности, признала, что «в настоящее время нет конкретных реальных угроз для Соединенных Штатов», однако продолжила: «Мы работаем с частным сектором, делимся и делимся конкретной информацией, и просят принять меры для снижения рисков кибербезопасности своей организации, давая очень конкретные советы о том, как это сделать». Эти слова были произнесены 2 февраля в ходе брифинга для СМИ. Нойбергер говорил о продолжающемся присутствии российских киберугроз для Украины и за ее пределами. Нойбергер был ясен: «Мы предупреждали в течение нескольких недель и месяцев, как в частном порядке, так и публично, что кибератаки могут быть частью широкомасштабных усилий России по дестабилизации и вторжению в Украину. Русские использовали киберпространство как ключевой элемент власти». прогноз за последнее десятилетие, в том числе ранее в Украине, в 2015 году.
Примерно в то же время аналитики угроз из подразделения 42 сети Palo Alto Networks опубликовали информацию об обнаружении атак со стороны «Гамаредона» (также известного как «Армагеддон», «Примитивный медведь», «Шакворм» и «Актиниум») на западное правительственное учреждение (еще не идентифицированное). в Украине. Кстати: Гамаредон был идентифицирован в ноябре 2021 года Службой безопасности Украины (СБУ) во главе с пятью российскими сотрудниками Федеральной службы безопасности (ФСБ), работающими под эгидой Центра информационной безопасности ФСБ из офисов, расположенных в оккупированном Россией Крыму.
Проверьте также:
В ноябре СБУ выявила 5000 атак Gamaredon на:
• Управление объектами критической инфраструктуры (электростанции, системы отопления и водоснабжения).
• Сбор данных, включая кражу и сбор разведывательных данных, включая ограниченный доступ к информации (относящийся к сектору безопасности и обороны и государственным учреждениям).
• Получение медийного и психологического воздействия.
• Утаивание информационных систем.
В Техническом отчете SSU об атаках Gamaredon подробно описывается состав группы, а также ее путь от безвестности до реальной угрозы национальной инфраструктуре и реальной угрозы в кибератаках.
В отчете Unit 42 освещаются усилия группы Gamaredon, направленные на то, чтобы западное правительственное подразделение воспользовалось исключительными индивидуальными потребностями Украины. Группа прислала резюме кандидата в формате Word. Jamaridon делает ставку на то, что резюме, загруженное «кандидатом», не будет подвергаться такому же контролю, как фишинговые электронные письма, полученные группами. В отчете также упоминается отчет эстонской группы CERT от 27 января 2021 года о Gamaredon, в котором указано, что с 2020 года группа Gamaredon нацелена на страны Европейского Союза, используя методы целевого фишинга (это метод кибератаки, используемый хакерами для кражи конфиденциальных данных). информации или установить вредоносное ПО на устройства конкретных жертв).
Между тем, команда Symantec Threat Hunter опубликовала собственное исследование 31 января 2022 года, в котором говорится, что Shuckworm специализируется на «кибершпионаже», что согласуется с открытием SSU в ноябре 2021 года. Отчет группы Threat Hunter включает интересный пример из серии атаковать Gamaredon, которая началась с вредоносного документа. Временные рамки тематического исследования охватывают период с 14 июля по 18 августа 2021 года.
Вскоре, 4 февраля, Microsoft Threat Intelligence Center и Digital Security Unit поделились информацией об угрозе, исходящей от группировки ACTINIUM, которая вот уже десять лет нацелена на Украину. В отчете подчеркивается, что целью этой группы являются правительство, военные, неправительственные организации, судебные органы, правоохранительные органы и некоммерческие организации. Выводы Microsoft отражают выводы других аналитиков о том, что усилия группы сосредоточены на сборе инсайдерской информации и обеспечении надежного доступа.
Нойбергер пришел к выводу, что Соединенные Штаты работают с Европейским союзом и НАТО над «повышением национальной и союзнической устойчивости в киберпространстве». Она подчеркнула, что усилия США направлены на предоставление планов действий в чрезвычайных ситуациях в киберпространстве для «координации и поддержки Украины и друг друга в случае таких инцидентов… Мы работаем с частным сектором, делясь и обмениваясь конкретной информацией, и просим их принять меры для риски кибербезопасности.» для их организации и давая очень конкретные советы о том, как это сделать.
В свете вышеизложенного и в связи с ростом напряженности в Украине 9 февраля органы кибербезопасности США, Австралии и Великобритании выпустили совместную рекомендацию в отношении растущей глобальной угрозы программ-вымогателей (оповещение (AA22-040A)). В предупреждении подчеркивается наблюдаемый рост числа инцидентов с программами-вымогателями в 14 из 16 критически важных секторов инфраструктуры в Соединенных Штатах.
Дэвид Кляйн, кибер-евангелист Cymulate, прокомментировал: «CISO следует принять во внимание это предупреждение от различных киберкоманд, поскольку оно признает, что наступательная и деструктивная деятельность Соединенных Штатов против преступников-вымогателей заставила некоторые преступные организации отвлечь внимание от целей. «игры» И они перешли к более легким целям среднего размера. В нынешних условиях размер явно не является специфическим для того, чтобы быть целью.
Об авторе
Кристофер Берджесс проработал в Центральном разведывательном управлении (ЦРУ) более 30 лет. Соавтор книг «Украденные секреты», «Утраченное состояние», «Предотвращение кражи интеллектуальной собственности и экономического шпионажа в двадцать первом веке».
Источник: ОГО
.