Нашествие хакеров в Казахстане: волна кибератак

Нашествие хакеров в Казахстане: волна кибератак

О кибератаках в Казахстане за прошлый год и этот. 
В начале двухтысячных годов мы беззаботно радовались возможностям всемирной паутины, смотря сквозь экран горбатого монитора на молодую в то время Windows XP. Мысли о киберпреступности были лишь мифом, способным восприниматься только в зарубежных блокбастерах или в книгах научно-фантастического жанра.

Но с тех пор цифровой мир трансформировался до неузнаваемости. Технологии, о которых мы знали лишь по фантастическим книгам и фильмам, сейчас стали вполне обычным явлением: искусственный интеллект, виртуальная и дополненная реальности, летающие машины, цифровые валюты и многое другое. Наступает полная цифровизация: мы получаем услуги онлайн, общаемся онлайн, оплачиваем онлайн и еще есть куча вещей, которые мы делаем онлайн. Это настолько прочно обосновалось в нашей жизни, что мы и представить себе не можем жизнь полностью в режиме оффлайн.

Вместе с приходом цифровых технологий, облегчивших нам жизнь, трансформировалась и преступность в киберпреступность. Таким образом, в мире IT появилась новая дисциплина – информационная безопасность или как ее еще называют по-другому, кибербезопасность.
На сегодняшний день вопрос кибербезопасности является одним из самых актуальных во всем мире. Объем мирового рынка кибербезопасности по итогам 2017 года достиг $120млрд. За последние 13 лет он вырос в 35 раз.

ЧТО КАСАЕТСЯ ДРУГИХ ЦИФР, ТО ПО ДАННЫМ ЗА 2017 ГОД РЕСУРСА COMPARITECH.COM, КАЗАХСТАН ОКАЗАЛСЯ НА ТРЕТЬЕМ МЕСТЕ В СПИСКЕ СТРАН С НАИБОЛЬШИМ ЧИСЛОМ ЖЕРТВ, ПОДВЕРГШИМСЯ ПРОГРАММАМ-ВЫМОГАТЕЛЯМ, А СОГЛАСНО ОТЧЕТУ ИССЛЕДОВАТЕЛЕЙ THREAT INTELLIGENCE, НАША СТРАНА ОКАЗАЛАСЬ НА 19 СТРОЧКЕ В РЕЙТИНГЕ СТРАН ПО УЯЗВИМОСТИ.

Прошедший год можно без всякого преувеличения назвать годом кибератак. Итак, чем запомнился тот год?
27 января была совершена хакерская атака на сайт АО «Центр развития торговой политики» при Министерстве национальной экономики РК. На его главной странице были размещены лозунги антиарабского движения за независимость Северной Африки. Этот взлом категорируется как WFHRF – дефейс, подмена главной страницы через уязвимость в механизме шаблонизации. Сайт функционировал на CMS Aster, по всей видимости, устаревшей и нелицензионной версии. Обнаружили это специалисты Центра анализа и расследования кибератак (ЦАРКА).
28 января хакерской группой ShadowTeam был совершен также массовый взлом сайтов в зоне gov.kz: сайтов районных госорганов Северо-Казахстанского округа, Департамента природных ресурсов ВКО и Управления экономики и бюджетного планирования Алматинской области. 
29 января ЦАРКА выявил взлом официального сайта маслихата Алматы, который совершила та же группа ShadowTeam. Специалистами ЦАРКА отмечается, что сайт работал на устаревшей и нелицензионной версии CMS DLE.
Дополнительно специалисты ЦАРКА отметили аналогичный взлом сайта Системы электронного документооборота. Согласно предварительной оценке сайт имел серьезную уязвимость, через которую и был осуществлен взлом других сайтов, расположенных на этом же сервере. В свободном доступе был корневой каталог сайта, а значит и исходный код всех скриптов.

КАК СООБЩИЛИ В ЦАРКА, НАБЛЮДАЕТСЯ СИСТЕМНОСТЬ ПРОБЛЕМЫ САЙТОВ ГОСУДАРСТВЕННЫХ ОРГАНОВ, ЗАКЛЮЧАЮЩАЯСЯ В ИСПОЛЬЗОВАНИИ ПОСТАВЩИКАМИ УСЛУГ РАЗРАБОТКИ И СОПРОВОЖДЕНИЯ САЙТОВ НЕЛИЦЕНЗИОННЫХ ИЛИ УСТАРЕВШИХ СИСТЕМ УПРАВЛЕНИЯ САЙТАМИ, СОДЕРЖАЩИХ УЯЗВИМОСТИ В БОЛЬШОМ КОЛИЧЕСТВЕ.

В начале февраля хакерской атаке подверглись сайты СМИ из Караганды и Шымкента, на сайтах которых были удалены некоторые видеосюжеты и статьи.
20 февраля ЦАРКА зафиксировал распространение ссылки на вредоносное ПО. PAC-файл крал логин и пароль пользователей онлайн-банкинга Сбербанка, Альфа-Банка и Народного банка.
Как пояснили специалисты, вредоносный файл мог попасть с помощью перехода на вредоносный сайт, скачивания через незащищенное ПО и внешние носители. Программа устанавливается в браузер и меняет конфигурации прокси в prefs.js на самом компьютере в rundll32.exe. Затем скрипт обрабатывает запросы и перенаправляет данные злоумышленникам.
29 марта, ЦАРКА предупредила о рассылке фишинговых писем с домена, похожего на официальный ресурс Национального банка. В то время атакам были подвержены несколько казахстанских банков. Дело было в том, что вредоносные ПО отправлялись через [email protected], а настоящий адрес банка – [email protected]. По сообщению службы в фишинговых письмах были документы с макросами и эксплойтами CVE-2012-0158, CVE-2015-1641, а также в виде файлов с расширением .scr в архивах с паролем. Атакующая группа специализировалась на краже денежных средств у финансовых организаций. Также центр сообщил о том, что после заражения сети банка происходит кража средств через банкоматы. Таким образом пострадали несколько банков, которые предпочли об этом умолчать, чтобы не потерять репутацию.
7 апреля была зафиксирована рассылка вредоносного файла от имени Сбербанка. В письме был архив с якобы выставленным лицевым счетом для оплаты. После заражения информация на устройстве удалялась.
12 мая произошла крупная мировая атака вируса-шифровальщика WannaCry. По данный ВВС, под сильным ударом оказались компьютерные системы Великобритании, Испании, Италии, Германии, Португалии, Турции, Украины, Казахстана, Индонезии, Вьетнама, Японии и Филиппин. После взлома на экранах зараженных компьютеров появлялось объявление о блокировке данных с требованием перевести злоумышленникам денежные средства. Вирус-шифровальщик WannaCry по предварительным оценкам на 12 мая заразил более 45 тысяч компьютеров по всему миру.
В числе организаций, подвергшихся атаке, называются региональные подразделения МВД РФ, отделения «Мегафона», «Сбербанка России», аэропорты Германии, органы здравоохранения в Великобритании. Основная масса заражений приходится на Россию и Украину. В Казахстане вирус атаковал компьютеры в офисе оператора Кашагана NCOC.

ОДНОЙ ИЗ ГЛАВНЫХ ОПАСНОСТЕЙ WANNACRY ЯВЛЯЕТСЯ ТО, ЧТО НА КОМПЬЮТЕР ПЕРВОЙ ЖЕРТВЫ ВИРУС ПОПАДАЕТ ПУТЕМ ФИШИНГОВЫХ ПИСЕМ. ЗАТЕМ ОН СКАНИРУЕТ КОМПЬЮТЕР НА УЯЗВИМОСТИ И ЗАРАЖАЕТ ДРУГИЕ КОМПЬЮТЕРЫ, НАХОДЯЩИЕСЯ В ОДНОЙ ПОДСЕТИ. ДЛЯ АТАКИ ИСПОЛЬЗОВАЛСЯ ИНСТРУМЕНТ ETERNALBLUE, КОТОРЫЙ СНАЧАЛА БЫЛ РАЗРАБОТАН В АНБ США, А ПОТОМ ПОПАЛ В СВОБОДНЫЙ ДОСТУП.

В августе на сервер сайта EXPO-2017 была совершена DDoS-атака. Злоумышленники попытались с помощью распределенной атаки с разных IP-адресов вывести из строя сервер, генерируя высокую нагрузку, равную 20 тыс. запросам в секунду.
А в конце сентября была зафиксирована массированная DDoS-атака в виде ложных запросов на интернет-ресурсы банков второго уровня Казахстана. Интернет-ресурсы банков были недоступны в течение определенного времени. Атака осуществлялась с зарубежных IP-адресов. Работы по блокировке атак вела Государственная техническая служба. От этой массовой кибератаки пострадал ряд банков, однако большинство решило об этом умолчать, чтобы не потерять репутацию. Известно, что среди них были Казкоммерцбанк и Национальный банк РК.
Что касается 2018 года, то и первый месяц не обошелся без происшествий. В ЦАРКА сообщили, что их системой мониторинга интернет-ресурсов WebTotem был обнаружен скрипт майнера на сайтах balans.kz, urist.kz и kodeks.kz. Впоследствии, киберпреступникииспользовали данные 10 тыс. бухгалтеров с сайта balans.kz и доступ в корпоративную сеть АО «Казгидромет» для продажи на «черном рынке» Казнета. И хоть АО «Казгидромет» отрицали взлом, ЦАРКА все же привели доказательства. Несколько дней спустя былобнаружен вирус-майнер на сайте Генеральной Прокуратуры РК.
Эти киберпреступления лишь малая часть того, что происходит у нас в стране. Ежедневно совершаются кибератаки не только против организаций, но и против обычных граждан. И хотя в некоторых случаях удается схватить киберпреступников, многие из них все еще на свободе и вполне возможно, что в эту секунду они взламывают другие сервера. Мы пользуемся множеством сервисов и услуг онлайн. Можем ли мы быть уверенны в том, что и наши данные не окажутся в руках «плохих» хакеров?

Кибербезопасность в Казахстане в плачевном состоянии. И этот факт делает страну уязвимой не только для местных преступников, но и для тех, кто находится и вне пределов страны. Если государство не примет срочные меры, виртуальные нападения принесут вполне реальные потери куда в большем масштабе, чем когда-либо.

® https://z.astanahub.com/longread/cyberattacks-kazakhstan/