Pasibaigus dar vieniems kibernetinių saugumo incidentų kupiniems metams, apžvelkime kai kuriuos 2023 m. didelio atgarsio sulaukusius kibernetinius įvykius.
Tai buvo dar vieni svarbūs kibernetinio saugumo metai. Grėsmių sukėlėjai klestėjo nuolatinio makroekonominio ir geopolitinio neapibrėžtumo sąlygomis, naudodamiesi visomis turimomis priemonėmis ir išradingumu, kad įveiktų įmonių gynybą. Vartotojams tai buvo dar vieni metai, kuriuos jie praleido nerimaudami, spragtelėdami antraštes, kad sužinotų, ar jų asmeninei informacijai buvo padarytas poveikis. Remiantis „Verizon“ duomenų saugumo pažeidimų tyrimų ataskaita, už didžiąją daugumą (83%) pažeidimų atsakingi išorės subjektai, o beveik visi (95%) pažeidimai susiję su finansine nauda. Štai kodėl dauguma šiame sąraše pateiktų incidentų teks išpirkos reikalaujančioms programoms. Tačiau taip yra ne visada. Kartais priežastis gali būti žmogiškoji klaida arba piktų kėslų turintis vidinis įmonės darbuotojas. Kartais atakos turi didelį poveikį, net jei aukų skaičius palyginti nedidelis.
Taigi, nesilaikydami konkrečios tvarkos, pateikiame 10 didžiausių 2023 m. atakų sąrašą.
1) MOVEit
Ataka, atveda iki „Lace Tempest“ (Storm0950) „Clop" išpirkos reikalaujančios programinės įrangos. „MOVEit" turėjo visus ankstesnių grupės kampanijų, nukreiptų prieš „Accellion FTA“ (2020) ir „GoAnywhere MFT‘ (2023), požymius. Veikimo būdas paprastas: pasinaudoti nulinės dienos pažeidžiamumu populiariame programinės įrangos produkte, kad būtų galima gauti prieigą prie klientų aplinkos, o tada išvilioti kuo daugiau duomenų ir reikalauti išpirkos. Kol kas neaišku, kiek tiksliai duomenų buvo paimta ir kiek yra nukentėjusiųjų. Tačiau kai kuriais skaičiavimais - daugiau nei 2600 organizacijų ir daugiau nei 83 mln. asmenų.
2) Jungtinės Karalystės rinkėjų duomenys
Šių metų rugpjūčio mėn. Jungtinės Karalystės nepriklausoma partijų ir rinkimų finansavimo reguliavimo institucija atskleidė, kad programišiai pavogė asmeninę informaciją apie maždaug 40 mln. rinkėjų, įtrauktų į rinkėjų registrą. Ji teigė, kad tai buvo sudėtinga kibernetinė ataka, tačiau vėliau pasirodė pranešimai, kad registro saugumo būklė buvo prasta - organizacija neišlaikė „Cyber Essentials“ bazinio saugumo audito. Dėl to galėjo būti kaltas neatnaujintas Microsoft Exchange serveris, nors neaišku, kodėl komisijai prireikė 10 mėnesių, kad apie tai praneštų visuomenei. Ji taip pat teigė, kad piktavaliai galėjo tyrinėti jos tinklą nuo 2021 m. rugpjūčio mėn.
3) Šiaurės Airijos policijos tarnyba
Tai incidentas, kuris priskiriamas ir vidinio pažeidimo, ir pažeidimo, susijusio su santykinai nedideliu nukentėjusiųjų skaičiumi, kuris gali turėti itin didelį poveikį, kategorijai. Šiaurės Airijos policijos tarnyba rugpjūčio mėn. paskelbė, kad darbuotojas, atsakydamas į Freedom of Information (informacinės laisvės) prašymą, netyčia paskelbė slaptus vidaus duomenis svetainėje „WhatDoTheyKnow“. Informaciją sudarė maždaug 10 000 pareigūnų ir civilių darbuotojų, įskaitant dirbančius stebėjimo ir žvalgybos srityse, vardai, pavardės ir pareigybės. Nors informacija buvo prieinama tik dvi valandas, kol buvo pašalinta, to pakako, kad ji pasklistų tarp Airijos respublikonų, kurie ją toliau platino. Du vyrai, suimti dėl teroristinių nusikaltimų, buvo paleisti už užstatą.
4) DarkBeam
Didžiausias šių metų duomenų pažeidimas - skaitmeninio saugumo platformos „DarkBeam“ 3,8 mlrd. įrašų atskleidimas po to, kai buvo neteisingai sukonfigūruota „Elasticsearch“ ir „Kibana“ duomenų vizualizavimo sąsaja. Kibernetinio saugumo specialistas pastebėjo pažeidimą ir pranešė įmonei, kuri greitai ištaisė problemą. Tačiau neaišku, kiek laiko duomenys buvo atskleisti ir ar kas nors anksčiau buvo prie jų prisijungęs turėdamas piktų kėslų. Ironiška, kad tarp pažeistų duomenų buvo elektroninių laiškų ir slaptažodžių iš anksčiau registruotų, bet institucijoms nepraneštų duomenų saugumo pažeidimų. Tai dar vienas pavyzdys, kad reikia atidžiai ir nuolat stebėti, ar sistemos yra tinkamai sukonfigūruotos.
5) Indijos medicininių tyrimų komisija
Dar vienas didžiulis įsilaužimas, šį kartą vienas didžiausių Indijoje, kuris buvo atskleistas spalio mėn., kai grėsmę keliantis veikėjas pardavė 815 mln. gyventojų asmeninę informaciją. Paaiškėjo, kad duomenys buvo išvilioti iš Indijos medicininių tyrimų COVID tyrimų duomenų bazės. Pasisavinti pacientų vardai, amžius, lytis, gyvenamosios vietos adresai, paso ir unikalūs ID numeriai (Aadhaar). Tai ypač pavojinga, nes kibernetiniams nusikaltėliams tai gali būti viskas, ko reikia įvairioms tapatybės klastojimo atakoms. Indijoje Aadhaar gali būti naudojamas kaip skaitmeninis asmens tapatybės dokumentas, sąskaitų apmokėjimui ir tapatybės įrodymui.
6) 23andMe
Piktavaliai teigė pavogę iš JAV įsikūrusios genetikos ir mokslinių tyrimų bendrovės net 20 mln. klientų duomenų. Pirmiausia jie pasinaudojo klasikiniais tapatybės klastojimo metodais, kad patektų į naudotojų paskyras - iš esmės pasinaudojo anksčiau pažeistais naudotojų prisijungimais. Tuomet kibernetiniai nusikaltėliai galėjo gauti prieigą prie DNR tyrimų ir iš potencialių giminaičių išgauti daug daugiau duomenų. Tarp pavogtų duomenų buvo profilio nuotrauka, lytis, gimimo metai ir vieta bei genetinės giminystės tyrimų rezultatai.
7) Greito atkūrimo DDoS atakos
Dar vienas neįprastas atvejis, susijęs su spalio mėn. atskleista nulinės dienos HTTP/2 protokolo pažeidžiamumo spraga, dėl kurios grėsmių sukėlėjai galėjo surengti didžiausias kada nors matytas DDoS atakas. Pasak „Google“, jos pasiekė didžiausią 398 mln. užklausų per sekundę (rps) lygį, palyginti su ankstesniu didžiausiu 46 mln. rps rodikliu. Gera žinia ta, kad „Google“ ir „Cloudflare“, šią klaidą ištaisė.
8) T-Mobile
JAV telekomunikacijų bendrovė pastaraisiais metais patyrė daug saugumo pažeidimų, tačiau sausio mėn. atskleistas pažeidimas yra vienas didžiausių iki šiol. Jis paveikė 37 mln. Klientų ir buvo pavogti klientų adresai, telefono numeriai ir gimimo datos. Antrasis balandžio mėn. atskleistas incidentas paveikė tik 800 klientų, tačiau buvo atskleista daug daugiau duomenų, įskaitant „T-Mobile“ sąskaitų PIN kodus, socialinio draudimo numerius, gimimo datas ir vidinius kodus, kuriuos įmonė naudoja klientų sąskaitoms aptarnauti.
9) MGM Resorts International ir Caesars Entertainment
Du didžiausi Las Vegaso kazino ir viešbučių vardai per kelias dienas nukentėjo nuo tos pačios ALPHV/BlackCat išpirkos reikalaujančios programos, žinomos kaip „Scattered Spider“. MGM atveju jiems pavyko gauti prieigą prie tinklo tiesiog atlikus tam tikrą „LinkedIn“ tyrimą ir tada surengus višingo ataką, kurios metu jie apsimetė IT skyriaus atstovais ir paprašė pateikti prisijungimo duomenis. Tai įmonei padarė didelę finansinę žalą. Ji buvo priversta išjungti pagrindines IT sistemas, dėl to kelioms dienoms sutriko lošimo automatų, restoranų valdymo sistemų ir net kambarių raktų kortelių veikimas. Įmonė apskaičiavo, kad tai kainavo 100 mln. dolerių. „Caesars Entertainment“ išlaidos neaiškios, nors įmonė pripažino, kad sumokėjo 15 mln. dolerių.
10) Pentagono informacijos nutekėjimas
Paskutinis incidentas - pamokanti istorija JAV kariuomenei ir visoms didelėms organizacijoms, kurios nerimauja dėl kenkėjiškų vidinių darbuotojų veiksmų. 21-erių metų Masačusetso oro nacionalinės gvardijos žvalgybos skyriaus darbuotojas Jack Teixeira nutekino itin slaptus karinius dokumentus tam, kad galėtų pasigirti savo „Discord“ bendruomenei. Vėliau jais pasidalijo kitose platformose, tuo pasinaudojo karą Ukrainoje stebintys rusai ir paviešino informaciją savo vietiniuose socialiniuose tinkluose. Jie suteikė Rusijai karinės žvalgybos informacijos, kenkiančios Ukrainai kare, tuo pačiu pakenkė Amerikos santykiams su jos sąjungininkais. Neįtikėtina, bet Jack Teixeira galėjo atsispausdinti ir pasiimti su savimi namo visiškai slaptus dokumentus, juos nufotografuoti ir vėliau įkelti į socialinį tinklą.
Tikėkimės, kad šios istorijos suteiks naudingų pamokų. Ir linkime šiais metais skirti dar daugiau dėmesio kibernetiniam saugumui ir jo užtikrinimui.