Pērn – intensīvākais uzbrukumu periods visā Cert.lv vēsturē

Pagājušais gads Latvijas kibertelpā uzskatāms par izaicinājumiem bagātāko un kiberuzbrukumiem intensīvāko periodu visā informācijas tehnoloģiju (IT) drošības incidentu novēršanas institūcijas Cert.lv pastāvēšanas vēsturē kopš 2011.gada, ziņo tās pārstāvji.

Pērn Cert.lv reģistrēto un apstrādāto incidentu skaits pieaudzis par 40% salīdzinājumā ar 2021.gadu, savukārt

valsts pārvaldĒ IT sistēmu ievainojamību meklēšana augusi septiņas reizes, kopējais uzbrukumu apjoms četrkāršojies.

Lielākajā daļā gadījumu kiberapdraudējuma avots bijusi Krievija. Sabiedrībai redzamāki un ikdienā jūtamāki bija Krievijas agresīvo režīmu atbalstošo «haktīvistu» veiktie piekļuves lieguma jeb DDoS uzbrukumi. Toties par būtiskākiem un ar potenciālu ietekmi ilgtermiņā uzskatāmi Krievijas koordinētie uzbrukumi valsts informācijas sistēmām un kritiskai infrastruktūrai. Tie veikti, lai mēģinātu iegūt informāciju, kas varētu sniegt politiskas, militāras vai ekonomiskas priekšrocības, kā arī sagatavotu vidi destruktīvu kiberoperāciju realizēšanai nākotnē.

Krievija agresīvajā karā pret Ukrainu ir nepārprotami demonstrējusi mēģinājumus pielietot kiberoperācijas ne tikai informācijas ieguvei, bet arī militāro operāciju atbalstam. Paaugstināta kiberuzbrucēju aktivitāte bija vērojama vēl pirms februārī notikušā Krievijas iebrukuma Ukrainā. Tā izpaudās galvenokārt kā informācijas vākšanas mēģinājumi, veicot ievainojamību meklēšanu Latvijas IT resursiem. Sākoties karadarbībai Ukrainā, būtiski palielinājās pret Latvijas infrastruktūru vērsto ielaušanās mēģinājumu skaits. Maijā šiem uzbrukumiem pievienojās arī DDoS uzbrukumi.

Reaģējot uz sabiedrības un politiķu aicinājumu veikt padomju pieminekļa demontāžu Uzvaras parkā, intensīvus DDoS uzbrukumus Latvijas infrastruktūrai veica Killnet un citi līdzīgi Krievijas agresīvo režīmu atbalstoši haktīvistu grupējumi.

Lai arī apjomīgi, šie uzbrukumi bija kvalificējami kā huligānisms un lielākoties neradīja jūtamu ietekmi.

Izņēmuma gadījumi bija saistāmi ar organizācijām, kuras parasti nav DDoS uzbrukumu mērķi un to sagatavotības un aizsardzības līmenis bija zems. Piemēram, labdarības organizācijai Ziedot.lv, kas palīdzēja vākt līdzekļus pieminekļa nojaukšanai Uzvaras parkā un Ukrainas atbalstam.

Valsts un kritiskās infrastruktūras IT resursiem tika nodrošināta augsta noturība, pret DDoS uzbrukumiem sadarbojoties VAS Latvijas valsts radio un televīzijas centrs (LVRTC), SIA Tet un Cert.lv. Veiksmīgi koordinējot aizsardzības stratēģiju, infrastruktūra tika mērķtiecīgi sagatavota šādu uzbrukumu atvairīšanai.

Gada pēdējos mēnešos Krievijas kiberaktīvisti DDoS uzbrukumus papildināja ar Telegram kanālos publicētiem ziņojumiem par uzlauztām vietnēm un nopludinātiem datiem. Publicētā informācija piesaistīja sabiedrības uzmanību, taču tikai viens no publiski minētajiem uzbrukumiem (Valsts darba inspekcijas e–pasta kontam) bija reāls. Pārējos gadījumos par nopludinātu informāciju tika pasniegti publiski pieejami dokumenti.

Paralēli labi pamanāmajiem DDoS uzbrukumiem Latvijas kibertelpā tika realizētas arī vairākas Krievijas drošības dienestu atbalstītas kiberoperācijas – Whispergate, Ghostwriter, Gamaredon un Turla. Šie uzbrucēji organizēja mērķētus pikšķerēšanas uzbrukumus ar saņēmējam atbilstoši sagatavotu tekstu, kā arī uzbrukumus piegādes ķēdēm, kas orientēti uz valsts pārvaldes un kritiskās infrastruktūras uzņēmumu pakalpojumu sniedzējiem. Tāpat veiktas dezinformācijas kampaņas un citas informācijas ietekmes operācijas, kuras uzbrucēji realizēja pret Latviju.

Atsevišķos gadījumos kiberuzbrukumi bija veiksmīgi. To iemesls nebija sarežģītu uzbrukumu izmantošana, bet gan laikus neuzstādīti atjauninājumi vai tīklā pieejamas nedroši konfigurētas sistēmas un iekārtas, par kurām uzturētājs vai pakalpojumu sniedzējs bija aizmirsis. Tas kārtējo reizi apliecināja, ka uzbrucējs primāri koncentrējas uz vieglāko mērķi, kā arī nepārprotami norādīja, ka Latvijai jādara pēc iespējas vairāk, lai tā būtu maksimāli «ciets rieksts» agresoram, norāda Cert.lv.

Tāpat 2022.gada laikā tika konstatēti pieci gadījumi, kuros tika kompromitēti IT risinājumu izstrādes uzņēmumi. Uzbrucēju mērķis bija piekļūt šo uzņēmumu klientu datiem un sistēmām. Vairumā gadījumu

šie uzbrukumi bija sekmīgi tāpēc, ka izstrādes uzņēmumi neievēroja kiberdrošības labo praksi savas iekšējās infrastruktūras plānošanā un uzturēšanā.

Paviršā attieksme bija vērojama arī attiecībā uz klientu drošību – ērtības labad tika apieti vai ignorēti drošības principi, kas tika praktizēti klientu infrastruktūrā, tādējādi tika radīti «caurumi« klientu aizsardzībā.

Kompromitēto uzņēmumu starpā vairākiem bija auditoru izsniegti atbilstības ziņojumi. Ņemot vērā šajos uzņēmumos ignorētās drošības prakses, kas sekmēja to kompromitēšanu, Cert.lv secinājis, ka auditoru darbs veikts pavirši vai nepietiekamā apjomā, procesā neiekļaujot praktiskas pārbaudes.

Lai novērstu riskus, ko rada šādas neatbilstības, valsts kritiskās infrastruktūras un aizsardzības iepirkumiem jānodrošina ietvars, kurā iespējams pārliecināties par pakalpojumu sniedzēja drošības procesiem un labās prakses ievērošanu.

Pērn vairākos incidentos tika konstatēts, ka uzņēmumam vai iestādei ir iegādāts tehnoloģisks risinājums draudu analīzei un aizsardzības pilnveidošanai, taču tas tiek izmantots tikai daļēji vai arī netiek izmantots nemaz, jo trūkst zināšanu par to, kā šo risinājumu integrēt esošajā infrastruktūrā, un trūkst izpratnes par to, kā interpretēt jauniegūtos datus.

Vairākkārt nācās arī konstatēt, ka salīdzinoši vieglu pieeju mērķa infrastruktūrai uzbrucējiem sniedza nepilnības iestādes vai uzņēmuma IKT pārvaldības procesos. Lai arī formāli aprakstītas, bet bieži vien praksē netika ieviestas kontroles procedūras. Tas rezultējās novecojušās, aizmirstās vai kļūdas pēc publiskajam tīmeklim pieslēgtās sistēmās. Iestādes un uzņēmumi nespēja pamanīt šīs sistēmas un nevarēja laikus identificēt apdraudējumu.

Lai arī karadarbība Ukrainā pieklusināja krāpnieciskās aktivitātes Latvijas kibertelpā, tās ne brīdi nemitējās pavisam un maijā atsākās ar jaunu sparu. Finansiāli motivētu uzbrucēju mērķi nebija tikai uzņēmumi. Tāpat kā citus gadus, pērn novērota viļņveidīga krāpnieku aktivitāte, mērķēta uz iedzīvotāju datu izvilināšanu un finanšu līdzekļu izkrāpšanu.

Neīstenojās pagājušajā gadā izteiktā prognoze par mākslīgā intelekta izmantošanu sarežģītu krāpniecisku uzbrukumu veikšanā. Tā vietā uzbrucēji izmantoja jau ierastas un labi pārbaudītas metodes, vēsta Cert.lv.

Krāpnieciskās loterijās tika solītas pievilcīgas balvas, kuru saņemšanai iedzīvotāji tika aicināti viltus vietnēs ievadīt maksājumu karšu datus. Draudīgos zvanos it kā banku vai tiesībsargājošo iestāžu vārdā krāpnieki centās izvilināt personīgu informāciju vai panākt, ka zvana saņēmējs apstiprina krāpnieku iniciētas darbības, piemēram, ievadot Smart-ID kodu. Izmantojot gan telefona zvanus, gan reklāmas sociālajos tīklos ar atsaucēm uz plaši pazīstamiem uzņēmumiem un personībām, krāpnieki centās ievilināt iedzīvotājus viltus investīciju platformās, lai izkrāptu finanšu līdzekļus. Krāpnieki ievietoja maksas reklāmas arī Google, tā panākot, ka viltus banku vietnes parādās kā pirmie meklēšanas rezultāti.

Cert.lv norāda, ka esošajos ģeopolitiskajos apstākļos jārēķinās, ka Latvija un tās infrastruktūra gan publiskajā, gan privātajā sektorā ļoti iespējams būs arī 2023.gada kiberuzbrukumu mērķis tādām valstīm kā Krievija, Baltkrievija, retāk Ķīna, kas veic ofensīvas kiberoperācijas pret Latviju.

Cert.lv ir Latvijas Universitātes Matemātikas un informātikas institūta struktūrvienība, kuras uzdevumi ir uzturēt vienotu elektroniskās informācijas telpā notiekošo darbību atainojumu, sniegt atbalstu informācijas tehnoloģiju drošības incidentu novēršanā vai koordinēt to novēršanu Latvijas IP adrešu apgabalos un .lv domēna vārdu zonā.

Lasiet arī: Aicina Latvijas sabiedrību un uzņēmējus izmantot bezmaksas rīku aizsardzībai no kiberapdraudējumiem

Saistītie raksti

Jaunākās Ziņas