Kaip karas Ukrainoje pakeitė kibernetinių grėsmių lauką: saugumo ekspertų komentarai

Gegužės 31 d. vykusioje konferencijoje ESET WORLD 2022 kibernetinio saugumo sprendimų kompanija ESET pristatė T1 2022 kibernetinių grėsmių ataskaitą, kurioje apibendrinami pagrindiniai statistiniai duomenys iš ESET aptikimo sistemų ir išskiriami ryškiausi kibernetinio saugumo tyrimų pavyzdžiai. Naujausiame grėsmių ataskaitos numeryje pasakojama apie įvairias kibernetines atakas, susijusias su vykstančiu karu Ukrainoje, kurias analizavo arba padėjo suvaldyti tyrėjai. Tarp jų - kritinės infrastruktūros kenkėjiškos programos Industroyer, bandžiusios atakuoti aukštos įtampos elektros tinklus, sugrįžimas.

Kompanijos telemetrija užfiksavo ir kitų pokyčių kibernetinių grėsmių srityje, kurie gali būti susiję su situacija Ukrainoje. ESET vyriausiasis tyrimų vadovas Romanas Kováč paaiškina, kodėl minėtoje ataskaitoje tiek daug dėmesio skiriama su šiuo karu susijusioms kibernetinėms grėsmėms: „Įvairiose pasaulio dalyse siaučia ne vienas karinis konfliktas, tačiau mums šis karas yra kitoks. Prie pat Slovakijos rytinių sienų, kur yra pagrindinė ESET būstinė ir keli biurai, ukrainiečiai kovoja už savo gyvybes ir suverenitetą.”

Prieš pat Rusijos invaziją ESET telemetrija aptiko smarkiai sumažėjusį nuotolinio darbalaukio protokolo (angl. Remote Desktop Protocol; RDP) atakų skaičių. Mažėjimas matomas po dvejus metus trukusio nuolatinio augimo - ir, kaip aiškina tyrėjai, šis įvykių posūkis gali būti susijęs su karu Ukrainoje. Tačiau net ir esant tokiam kritimui, beveik 60 proc. įeinančių RDP atakų, užfiksuotų ataskaitoje, yra kilusios iš Rusijos.

Dar vienas šalutinis karo poveikis: jei anksčiau išpirkos reikalaujančios programinės įrangos grėsmės vengdavo taikinių, esančių Rusijoje, tai šiuo laikotarpiu, remiantis telemetrijos duomenimis, Rusija buvo labiausiai atakuojama šalis. ESET tyrėjai surado netgi užrakto ekrano variantų, kuriuose buvo naudojamas Ukrainos nacionalinis pasveikinimas „Slava Ukraini!”. Po Rusijos invazijos į Ukrainą padaugėjo mėgėjiškų išpirkos reikalaujančių programų ir wiper tipo virusų. Jų autoriai dažnai išreiškia palaikymą vienai iš kovojančių pusių ir atakas pateikia kaip asmeninį kerštą.

Nenuostabu, kad šis karas taip pat buvo pastebimai išnaudotas nepageidaujamoms elektroninėms žinutėms ir sukčiavimo grėsmėms. Iš karto po vasario 24 d. invazijos sukčiai ėmė naudotis žmonėmis, bandančiais paremti Ukrainą, ir viliojo fiktyviomis labdaros ir lėšų rinkimo organizacijomis. Tą dieną ir pakartotinai balandžio 12 d. ESET telemetrija užfiksavo didelius nepageidaujamų laiškų aptikimo šuolius. Didžiausios „teršiančios“ šalys: JAV (16 proc.), po to seka Kinija (13,2 proc.), Japonija (9,9 proc.), Lenkija (6,5 proc.), Prancūzija (5,7 proc.). Daugiausiai šlamšto tarp visų išsiųstų el. laiškų buvo aptikta Kinijoje (66 %), po to 23–34 proc. Singapūre, Pietų Korėjoje, Rusijoje ir Argentinoje.

ESET Lietuva IT inžinierius Ramūnas Liubertas pažymi, kad Lietuvoje, ypatingai balandžio mėn., fiksuojamas net 8 kartus padidėjęs JS/Adware.TerraClicks tipo grėsmių aptikimas: „JS/Adware.TerraClicks – tai naršyklių užgrobėjų kategorijai priskiriamas virusas. Šiai programai patekus į kompiuterį, pirmieji pokyčiai pastebimi jau atsidarius interneto naršyklę. Naršyklė gali pradėti veikti labai lėtai, strigti ar net visiškai išsijungti. Taip pat be jūsų sutikimo gali būti atidaromi įtartini puslapiai, o paieškos rezultatai pasipildyti erzinančiomis reklamomis. Negana to, šiam virusui aktyviai veikiant kompiuteryje, gali sutrikti bendra sistemos veikla. Jei tokius požymius pastebime savo įrenginyje – gali būti taip, kad jau užsikrėtėte tokio tipo virusu“, - teigia R. Liubertas.

Pastebėta ir daug kitų grėsmių, nesusijusių su Rusijos ir Ukrainos karu. „Galime patvirtinti, kad Emotet kenkėjiška programa, plintanti daugiausia per nepageidaujamus elektroninius laiškus - po praėjusių metų bandymų ją pašalinti, vėl sugrįžo ir atsidūrė mūsų telemetrijoje“, - aiškina R. Kováč. Emotet operatoriai skleidė vieną šlamšto kampaniją po kitos, o šio kenkėjo aptikimų skaičius išaugo daugiau nei šimteriopai. Tačiau, kaip pažymima grėsmių ataskaitoje, kenkėjiškomis makrokomandomis paremtos kampanijos galėjo būti paskutinės, atsižvelgiant į tai, kad Microsoft neseniai ėmėsi veiksmų Office programose išjungti makrokomandas iš interneto. Po šio pakeitimo Emotet operatoriai pradėjo bandyti kitus atakų vektorius, paveikusius žymiai mažesnį aukų skaičių.

ESET T1 2022 grėsmių ataskaitoje taip pat apžvelgiami svarbiausi tyrimų rezultatai, kurie atskleidė piktnaudžiavimą branduolio tvarkyklių pažeidžiamumais (angl. kernel driver vulnerabilities); didelį poveikį turinčius UEFI pažeidžiamumus; į „Android“ ir „iOS“ įrenginius nukreiptas kriptovaliutų kenkėjiškas programas; kol kas nepriskiriamą kampaniją, kurioje diegiama „DazzleSpy macOS“ kenkėjiška programa; „Mustang Panda“, „Donot Team", „Winnti Group“ ir APT įsilaužėlių grupuotės TA410 kampanijas.

Parašykite mums