Актуальные киберугрозы на Ближнем Востоке: 2023–2024

В странах Ближнего Востока продолжается цифровая трансформация как стратегическая мера для диверсификации экономики и снижения зависимости от сырьевых ресурсов. Ключевым элементом является усиление кибербезопасности и защита критически важной инфраструктуры для обеспечения устойчивости одобренных цифровых инициатив.

Например, Объединенные Арабские Эмираты (ОАЭ) увеличили инвестиции в кибербезопасность в рамках нового бюджетного плана. Власти объявили о внедрении новых стандартов киберзащиты для государственных учреждений и представили крупнейший за всю историю пятилетний бюджет (2022–2026), направленный в том числе на усиление безопасности киберпространства.

Саудовская Аравия, в свою очередь, инициировала программу CyberIC в рамках стратегии укрепления национальной безопасности и развития цифровой инфраструктуры. Программа направлена на поддержку более 60 стартапов в области кибербезопасности и реализуется в сотрудничестве с Национальным управлением кибербезопасности (NCA).

В условиях технологического прогресса и эволюционирующего ландшафта киберугроз внедрение передовых методов кибербезопасности становится ключевым элементом устойчивого развития и защиты государств на Ближнем Востоке. Компании и государственные учреждения сталкиваются с разнообразными вызовами, требующими интеграции комплексных защитных мер и оперативного реагирования.

Разработка и внедрение инновационных решений

Для повышения уровня кибербезопасности местные компании активно инвестируют в разработку и внедрение передовых технологий, таких как искусственный интеллект и машинное обучение. Эти технологии должны предотвращать угрозы на ранних стадиях, а также оптимизировать процессы реагирования на инциденты.

К примеру, саудовский гигант Saudi Aramco внедряет искусственный интеллект для обеспечения безопасности критической инфраструктуры. Венчурное подразделение компании инвестировало 9 млн $ в SpiderSilk, стартап из Объединенных Арабских Эмиратов, который предлагает услуги кибербезопасности на базе ИИ.

Согласно ежегодному отчету компании IBM, рост внедрения ИИ и автоматизации в организациях коррелирует со снижением средних затрат на инциденты информационной безопасности. Организации, не использующие ИИ и автоматизацию, понесли средние убытки в размере 5,72 млн $, тогда как компании, активно применяющие эти технологии, сократили эти затраты до 3,84 млн $.

Законодательные инициативы

Правительства на Ближнем Востоке осознают важность защиты критической инфраструктуры и данных в условиях растущих киберугроз и поэтому внедряют законодательные инициативы, направленные на усиление кибербезопасности.

14 сентября 2023 года вступил в силу первый в истории Саудовской Аравии закон о защите данных. Компании, работающие на Ближнем Востоке, должны оценить влияние нового законодательства на их процессы обработки персональных данных и обеспечить соответствие новым требованиям.

В Иордании Закон о киберпреступности № 17 от 2023 года вступил в силу 13 сентября 2023 года, заменив Закон о киберпреступности 2015 года. Новый закон, состоящий из 41 статьи, вводит расширенные меры по противодействию киберпреступлениям.

Обучение и повышение квалификации

Ключевым элементом национального суверенитета является межгосударственное сотрудничество в области создания квалифицированных кадровых ресурсов. Это включает подготовку специалистов по защите критически важных государственных секторов, проведение совместных киберучений для повышения компетенций национальных киберподразделений и реализацию совместных образовательных программ.

Партнерство с ведущими университетами и образовательными учреждениями позволяет создавать специализированные программы для повышения квалификации. Ключевую роль в подготовке специалистов в ОАЭ играют образовательные программы в высших учебных заведениях. Комиссия по академической аккредитации (CAA) внесла в национальный реестр 11 обучающих программ по кибербезопасности.

Эр-Рияд также начал вкладывать значительные средства в цифровое образование. Например, правительство создало национальную академию информационных технологий совместно с Saudi Aramco и IBM для обучения и развития местных талантов, а Google, Amazon и Oracle выступили в качестве партнеров программы, учрежденной для улучшения цифровых навыков саудовцев, стоимостью в 1,2 млрд $.

Партнерства и сотрудничество

Конференции по кибербезопасности стимулируют обмен знаниями и опытом. Объединенные Арабские Эмираты ежегодно проводят Gulf Information Security Expo & Conference (GISEC) и Gulf Information Technology Exhibition (GITEX), которые предоставляют платформу для обсуждения актуальных вопросов в области защиты информации и способствуют заключению значимых сделок.

Например, Cisco объявила о знаковом сотрудничестве с Du из Emirates Integrated Telecommunications Company (EITC). Инициатива направлена ​​на преобразование центра управления безопасностью (SOC) Du в передовой центр киберзащиты, использующий искусственный интеллект и автоматизацию для повышения безопасности и операционной эффективности.

Согласно исследованию компании IBM, средний ущерб от кибератак на организации на Ближнем Востоке составляет 8,75 млн $, что превышает средний мировой показатель почти в два раза. Усиливающиеся угрозы со стороны киберпреступников создают значительные финансовые и репутационные риски для бизнеса.

В рассматриваемый период Q3 2023 – Q2 2024 мы наблюдали на Ближнем Востоке тенденцию к синхронизации кибератак на организации региона с геополитической обстановкой. Это указывает на эволюцию стратегий современных конфликтов, где частью арсенала становятся кибератаки. В четвертом квартале 2023 года, в период эскалации конфликта между Израилем и ХАМАС, количество успешных кибератак в регионе удвоилось по сравнению с аналогичным периодом прошлого года, а в первом квартале 2024 года — утроилось.

При этом, если в начале конфликта большинство изученных атак было направлено на Израиль и Палестину, то впоследствии возросшая вредоносная киберактивность распространилась и на соседние страны, привлекая злоумышленников и киберпреступников со всего мира.

Различные хактивистские организации заявили о своих намерениях участвовать в кибератаках против одной из сторон конфликта. В числе этих групп оказалась Mysterious Team Bangladesh, известная своими регулярными кибероперациями, направленными против Франции. Группа объявила о готовности инициировать кибератаки на израильские цели и призвала к коллективным действиям. Кроме того, Mysterious Team Bangladesh осуществила DDoS-атаку на сайт Организации исламского сотрудничества, потребовав в своем телеграм-канале принятия жестких мер против Израиля.

С середины ноября 2023 года другая хактивистская группировка, принимавшая активное участие в конфликте, опубликовала множество конфиденциальных данных, принадлежавших израильским компаниям и правительственным учреждениям, включая министерство здравоохранения Израиля, управление природы и парков, министерство благосостояния и социального обеспечения, управление по ценным бумагам, государственный платежный шлюз и национальный архив.

Ближневосточный регион также регулярно подвергался атакам со стороны APT-группировок — киберпреступных групп, совершающих многоэтапные и тщательно спланированные атаки, направленные на конкретную отрасль экономики или группу отраслей. APT-группировки проводили  сложные и продолжительные атаки с целью кражи информации, разведки и саботажа. Практически все изученные нами APT-группы хотя бы раз атаковали государственные учреждения, при этом 69% таких групп были нацелены на энергетический сектор, что подчеркивает их стратегическую заинтересованность в дестабилизации критически важной инфраструктуры (КИИ). Водоснабжение, транспортные системы, электрические и коммуникационные сети — это основа функционирования государства. В четвертом квартале 2023 года мы уже видели всплеск атак на системы водоснабжения. Инциденты в этих системах могут привести к недопустимым событиям, таким как масштабные отключения электроэнергии и перебои в водоснабжении, что, в свою очередь, вызовет значительные социальные и экономические последствия. Так, в Иране действия хакерской группировки нарушили операции на 70% автозаправочных станций, которые полностью прекратили работу из-за проблем с программным обеспечением. Как отмечают СМИ , эта же группировка ранее брала на себя ответственность за кибератаки на иранские железнодорожные сети и сталелитейные заводы.

В рассматриваемом периоде Q3 2023 – Q2 2024 жертвами атак среди организаций чаще всего становились госучреждения (24% от всех атак), промышленные компании (17%), телекоммуникационные (7%) и IT-компании (7%).

Государственные учреждения

Государственные учреждения хранят огромное количество конфиденциальной информации, включая личные данные граждан, государственную тайну и иную информацию ограниченного доступа. Эта информация может быть крайне ценной для киберпреступников. Кроме того, согласно нашему исследованию об утечках конфиденциальной информации в первом полугодии 2024 года, на теневых форумах больше всего предложений с данными из государственных учреждений пришлось среди прочих регионов на страны Ближнего Востока (16%). Это также объясняется тем, что регион находится под прицелом APT-группировок, которые преимущественно атакуют государственные организации.

В некоторых случаях данные становились доступны внешним злоумышленникам из-за действий инсайдеров, которые непреднамеренно или намеренно злоупотребляли своим доступом в сети организаций. Согласно отчету CPX, 23% обнаруженных в организациях ОАЭ угроз исходили от внутренних злоумышленников.

Промышленность

Почти треть атак (28%) на промышленные предприятия Ближнего Востока с использованием ВПО включали применение программ-вымогателей. Кроме того, эти предприятия подвергались специфической угрозе со стороны вредоносного ПО класса «вайпер», предназначенного для уничтожения пользовательских и системных данных, что может впоследствии приводить к выходу из строя оборудования. Особую опасность представляла компрометация инфраструктуры АСУ ТП, так как это может вызывать значительные сбои в работе критически важных объектов. Например, для осуществления атак на организации Израиля злоумышленники применяли вайпер BiBi, который делает данные целевых систем недоступными или непригодными для использования.

Телекоммуникационные компании

Телекоммуникационные компании вошли в топ атакуемых на Ближнем Востоке отраслей с долей 7% от общего количества инцидентов. Они обрабатывают и хранят данные о своих клиентах и зачастую используются в качестве звена атаки на организации других отраслей. Этот массив данных может быть использован для различных целей, включая шантаж, кражу личности и дальнейшие целенаправленные атаки.

Кроме того, злоумышленники могут использовать доступ к операторам связи для распространения вредоносного ПО, что может привести к массовому заражению устройств пользователей и кибератакам на государственные сети. Получив такой доступ, злоумышленники могут применить его для дестабилизации обстановки в периоды геополитической напряженности.

По данным исследователей из SentinelOne, региональные поставщики телекоммуникационных услуг подверглись атаке в рамках многоступенчатой кампании Operation Soft Cell. Атака была успешно нейтрализована до наступления недопустимых событий. При этом известно, что вредоносная активность в рамках этой кампании велась с 2012 года.

IT-компании

IT-компании также вошли в топ атакуемых на Ближнем Востоке отраслей с долей 7%. Во-первых, IT-компании могут обслуживать широкий спектр организаций, включая крупные корпорации и правительственные учреждения. Это делает их особенно привлекательными целями, поскольку успешная атака на IT-компанию может привести к компрометации значительного числа ее клиентов. Так, группировка APT34, нацелившись на государственных клиентов IT-компаний, разработала фальшивый веб-сайт, имитирующий компанию из ОАЭ, и от ее лица рассылала поддельные формы заявлений о приеме на работу. При открытии замаскированного под заявку на вакансию документа происходило выполнение вредоносного кода, предназначенного для кражи конфиденциальной информации.

Кроме того, подобные организации хранят большие объемы критически важных данных, таких как интеллектуальная собственность и информация пользователей, компрометация которых может принести киберпреступникам значительную выгоду через продажу на черном рынке.

Анализ инцидентов информационной безопасности показывает, что 86% атак на организации были связаны с компрометацией рабочих станций, серверов и сетевого оборудования. При этом успешные атаки на веб-ресурсы составили 27% от общего числа.

Наиболее популярным среди злоумышленников методом атаки на организации Ближнего Востока стало использование вредоносного ПО. Стоит отметить, что эта тенденция была выявлена и в нашем прошлом исследовании. При помощи ВПО злоумышленники могут как украсть конфиденциальную информацию, так и привести к остановке основного вида деятельности организации.

Наиболее распространенным типом вредоносного ПО в атаках на организации были инструменты для удаленного управления (33% случаев). Шпионское ПО заняло второе место и применялось в каждой пятой успешной атаке, где методом являлось использование ВПО. В 19% случаев злоумышленники использовали шифровальщики, что соотносимо с прошлым периодом.

Стоит отметить, что современные версии Remote Access Trojans (RAT) могут маскироваться под легитимные приложения и использовать различные методы обхода антивирусных программ. Это позволяет RAT оставаться незамеченным на зараженных устройствах в течение длительного времени, поэтому они пользуются популярностью у злоумышленников.

Если говорить о шифровальщиках, то чаще других от действий вымогателей пострадали госучреждения (31%), промышленные компании (25%) и медицинские учреждения (13%). Так, атаке вымогателя подверглось Министерство финансов Кувейта. Правительство страны подтвердило, что при попытке взлома с использованием вредоносного ПО пострадали платежные и зарплатные системы, которые пришлось отключить до окончания расследования инцидента.

Телекоммуникационные компании региона также пострадали от вымогателей в рассматриваемый период. К примеру, киберпреступная группировка осуществила атаку на компанию Etisalat (ОАЭ) с использованием программы-вымогателя LockBit. Конфиденциальные файлы компании были загружены на сайт злоумышленников, где они были выставлены на продажу за 100 тысяч $. Преступники также установили дедлайн, после которого угрожали уничтожить все скомпрометированные данные.

Более чем в половине успешных атак на организации Ближнего Востока злоумышленники применяли социальную инженерию (54%). Существенный вклад в долю метода внесло использование фишинга на основе искусственного интеллекта и технологий машинного обучения. По данным исследования компании Acronis, развитие генеративных ИИ-систем способствовало увеличению объема вредоносного контента и росту применения ИИ в фишинговых атаках, затронувших более 90% организаций. В результате количество атак по электронной почте увеличилось на 222% в 2023 году по сравнению со вторым полугодием 2022 года.

С февраля 2024 года специалисты компании Check Point зафиксировали более 50 фишинговых кампаний, направленных на израильские муниципалитеты, авиакомпании, туристические агентства и средства массовой информации в рамках вредоносной активности APT-группировки MuddyWater. Некоторые письма предлагали загрузить новое приложение, другие — доступ к обучающим курсам.

В течение анализируемого периода число атак, связанных с эксплуатацией уязвимостей, составило 35% от общего числа, что свидетельствует о популярности этого метода атаки на организации Ближнего Востока. Это обусловлено рядом факторов, основными из которых являются:

Увеличение количества уязвимостей. Число уязвимостей постоянно растет: по данным Национального института стандартов и технологий США (National Institute of Standards and Technology, NIST), количество обнаруженных за 2023 год уязвимостей (28 902) превысило показатели за 2021-й (20 155) и 2022 год (25 081) на 42% и 14% соответственно. Кроме того, в 2023 году центр реагирования на компьютерные инциденты ОАЭ (aeCERT) сообщил о том, что доля уязвимости удаленного выполнения кода CVE-2021-36260 (уязвимость камер Hikvision) составила 32% от общего числа наиболее эксплуатируемых уязвимостей: проэксплуатировав эту уязвимость, злоумышленник может получить полный контроль над уязвимым устройством.

Увеличение числа подключенных устройств. Увеличение количества IoT-устройств и других систем, подключенных к интернету, которые расширяют поверхность атаки. Так, промышленные и транспортные компании на Ближнем Востоке внедряли устройства интернета вещей для повышения эффективности и автоматизации процессов. Однако многие из этих устройств имеют уязвимости и недостатки безопасности, которые могут быть эксплуатированы злоумышленниками.

Рост киберпреступности как бизнеса. Злоумышленники разрабатывают и продают эксплойты и инструментарий для атак, что способствует массовой и доступной эксплуатации уязвимостей.

Последствия атак на организации Ближнего Востока — рост количества утечек

Утечка конфиденциальной информации стала основным последствием успешных атак на организации Ближнего Востока за рассматриваемый период. При этом стоит отметить, что доля утечек среди других последствий значительно выросла ко второму кварталу 2024 года. Мы ожидаем, что эта тенденция сохранится.

Персональные данные утекали преимущественно из информационных систем торговых и финансовых организаций. Так, утечке данных подверглась одна из ведущих розничных сетей ОАЭ с головным офисом в Абу-Даби — Lulu Hypermarket. В результате инцидента было скомпрометировано более 200 тысяч записей о клиентах, включающих персональные данные, такие как адреса электронной почты и номера телефонов.

Государственный сектор региона также пострадал от утечек. К примеру, группировка INC Ransom заявила о компрометации делового совета США и Саудовской Аравии, некоммерческой организации, способствующей сотрудничеству между предприятиями обеих стран. Злоумышленники утверждали, что в их распоряжение попали 200 ГБ данных, которые включают финансовую документацию, электронную переписку, конфиденциальные соглашения и контракты.

Утечки учетных данных пользователей представляли собой еще одну распространенную угрозу для организаций с долей (18%) от общего количества инцидентов за рассматриваемый период. Эти данные часто становились целью атак, так как их можно использовать для дальнейшего проникновения в системы или продажи на теневых рынках.

Наибольшее количество публикаций об утечках и объявлений о продаже данных в регионе мы зафиксировали в ОАЭ (34%), Израиле (29%) и Иране (14%), что обусловлено высоким уровнем цифровизации и сложной геополитической обстановкой.

Доля кибератак на частных лиц сократилась в два раза по сравнению с предыдущим периодом, составив 10%. Киберпреступники оптимизировали свои методы, сместив фокус с массовых атак на более целенаправленные атаки на организации. Это позволяло им достигать значительных результатов при меньших затратах ресурсов. Вместе с тем утечки персональных данных предоставляли киберпреступникам значительные возможности для вредоносной деятельности против частных лиц, включая фишинг, социальную инженерию и мошенничество. Обладая украденными из организаций данными, они могут создавать правдоподобные сценарии атак, что увеличивает вероятность успеха. Значительное увеличение числа фишинговых атак, как на территории Бахрейна, так и в целом по региону, отметил главный специалист по информационной безопасности национального банка Бахрейна (NBB). Отдельно он подчеркнул, что киберпреступники все чаще нацеливаются на несовершеннолетних с целью получения конфиденциальной информации о кредитных картах их родителей.

Большая часть кибератак на частных лиц была реализована с использованием ВПО (77%). Чаще всего устройства частных лиц заражались вредоносным ПО, ориентированным на кражу данных, включая шпионское ПО (55%), программы удаленного администрирования (18%) и банковские трояны (9%).

Шпионское ПО на Ближнем Востоке применялось для кражи личных и финансовых данных, а также для слежки за политическими активистами и журналистами. В условиях внешних и внутренних конфликтов рост доли его использования составил 13%. Недавние независимые расследования в Иордании выявили новые случаи установки сложного шпионского ПО Pegasus, которое представляет значительную угрозу конфиденциальности. Это ВПО может незаметно активировать микрофоны, камеры и получать доступ к сообщениям и данным пользователей.

Некоторые вредоносы были таргетированы на частных лиц именно на Ближнем Востоке. Например, команда McAfee Mobile Research Team идентифицировала вредоносное ПО для Android, маскирующееся под официальное приложение госучреждения Бахрейна, которое якобы предоставляло услуги подачи заявок на получение водительских прав и удостоверений личности. Вредоносное ПО распространялось через социальные сети и SMS с использованием методов социальной инженерии, а целью этой атаки было финансовое мошенничество, что подтверждалось информацией, предоставленной жертвами киберпреступления.

В предыдущий период доли кибератак на мобильные устройства и компьютеры пользователей были сравнимы. Однако в текущем периоде Q3 2023 – Q2 2024 доля атак на мобильные устройства стала преобладающей, ее рост составил 23%.

Для киберпреступников мобильные устройства были привлекательной целью из-за возможности получить быстрый доступ к финансовым ресурсам, личным данным и другой ценной информации. Например, исследователи из Zimperium обнаружили более 200 поддельных мобильных Android-приложений, которые имитируют приложения крупных иранских банков, чтобы украсть информацию у их клиентов. Стоит отметить, что увеличение использования мобильных устройств для финансовых операций привлекает внимание киберпреступников, а мошенничество с мобильными платежами и банковскими приложениями становится все более распространенным.

Рекомендации для частных лиц

Вот актуальные рекомендации для частных лиц в странах Ближнего Востока, которые помогут защитить личную информацию и минимизировать риски кибератак:

• Не используйте один и тот же пароль для разных аккаунтов.
• Рассмотрите использование менеджера паролей для хранения и генерации сложных паролей.
• Для всех важных учетных записей (почта, социальные сети, банковские сервисы) включите двухфакторную аутентификацию.
• Установите и регулярно обновляйте антивирусное ПО для защиты от вредоносных программ, которые могут похитить ваши данные.
• Вводите данные кредитных карт только на известных и проверенных сайтах.
• Никогда не делитесь личной информацией, такой как пароли или данные кредитных карт, по электронной почте или телефону, если вы не уверены в легитимности запроса.
• Загружайте приложения только из официальных магазинов, таких как Google Play и App Store.
• Перед установкой приложения убедитесь, что оно разработано доверенной компанией.
• Объясните детям, что нельзя раскрывать личную информацию (имя, возраст, адрес, номер телефона) незнакомым людям в интернете.

Влияние геополитической обстановки

Рост напряженности может способствовать росту числа DDoS-атак на СМИ и государственные учреждения.

Хакерские группировки, атакующие регион, способны создавать альянсы и координировать свои действия для реализации сложных и масштабных атак. Такие альянсы позволят участникам обмениваться специализированными знаниями и ресурсами, включая вычислительные мощности, ботнеты и доступ к различным уязвимостям. Это повысит эффективность атак и усилит их разрушительный потенциал.

Для участия в DDoS-атаках злоумышленники могут мобилизовать добровольцев, используя их интернет-ресурсы для вывода из строя целевых веб-серверов. Этот процесс организован таким образом, что участникам будет достаточно настроить предоставленные DDoS-инструменты и запустить атаку — глубокие технические знания не нужны. Основное требование — готовность к участию.

Кибератаки на критическую инфраструктуру

Регион импортирует около 85% продуктов питания, а водоснабжение для населения, промышленности и сельского хозяйства обеспечивает за счет систем опреснения морской воды. Энергозатраты на охлаждение — еще один критический фактор, влияющий на экономическую устойчивость региона. Высокие температуры в течение значительной части года требуют интенсивного использования систем кондиционирования воздуха. В некоторых странах на охлаждение уходит до 70% от общего потребления электроэнергии в летние месяцы.

Кибератаки на объекты КИИ могут повлечь недопустимые события в любом регионе. На Ближнем Востоке они могут привести, в частности, к перебоям в снабжении энергией и водой, что может вызвать экономический кризис и гуманитарные проблемы.

Сдвиг мотивации злоумышленников в сторону финансовой выгоды

Хактивисты, изначально мотивированные политическими или социальными целями, могут перераспределить свои технические навыки на финансово мотивированные атаки, обеспечивая материальную поддержку своих организаций или удовлетворение личных потребностей.

Существование теневых рынков, где можно продать украденные данные, инструменты для взлома и другие ценные активы, стимулирует злоумышленников к финансовым преступлениям, а случаи получения выкупа или продажи данных могут вдохновлять на аналогичные действия. Примеры успешных кибератак, получивших широкую огласку, создают иллюзию легкости получения денег через такие схемы.

Финансовый сектор является приоритетной целью для финансово мотивированных кибератак из-за высокой концентрации конфиденциальных данных и денежных средств. Отрасль сталкивается с серьезными вызовами, включая уязвимости, обусловленные удаленной работой, и рискованное поведение клиентов, предоставляющих свои учетные данные третьим лицам в процессе цифрового банкинга. Эти факторы усложняют контроль и управление информационной безопасностью.

Согласно прогнозам аналитиков, развитие банковской системы и благоприятный климат для международных банков стимулируют рост рынка кибербезопасности на Ближнем Востоке, который достигнет 23,4 млрд $ к 2028 году при среднегодовом темпе роста (CAGR) — 9,6%. В условиях растущей цифровизации и увеличения объема онлайн-транзакций финансовые организации будут вынуждены усиливать меры по защите от угроз, таких как фишинг, вредоносное ПО и внутренние угрозы.

Кибератаки на криптовалюты

По данным отчета Chainalysis, регион MENA является одним из самых быстрорастущих рынков криптовалют в мире с прогнозируемой стоимостью в 389,8 млрд $. Однако наряду с позитивными сдвигами возрастают киберугрозы, представляющие серьезные риски для участников криптовалютного рынка.

В отличие от банковских систем, где средства клиентов защищены множественными уровнями безопасности, включая аутентификацию, шифрование и мониторинг транзакций в режиме реального времени, криптовалюты хранятся в цифровых кошельках, которые подвержены рискам компрометации через фишинг, вредоносное ПО и другим видам атак.

Кроме того, сами криптовалютные биржи и платформы децентрализованных финансов становятся целями для атак. Взломы, эксплойты смарт-контрактов и атаки на инфраструктуру могут приводить к значительным потерям активов. Например, криптовалютная биржа Rain, регулируемая в ОАЭ и Бахрейне, подтвердила серьезный инцидент взлома, в результате которого убытки, по имеющимся данным, составили около 15 млн $.

Кибератаки на промышленный IoT и инфраструктуру умных городов

Внедрение IoT-устройств в промышленность и инфраструктуру умных городов представляет собой значительный шаг вперед в повышении эффективности, автоматизации и качества жизни. По прогнозам, к концу 2024 года выручка на этом рынке достигнет 11,96 млрд $, а годовой темп роста рынка (CAGR) 2024–2028 годов — 10,39%. Однако с быстрым развитием IoT-технологий возникает ряд серьезных вызовов в области информационной безопасности.

Расширение сети подключенных устройств увеличивает поверхность атаки, предоставляя злоумышленникам новые векторы для вторжения. Основными источниками уязвимостей являются недостаточная защита устройств на уровне аппаратного и программного обеспечения, отсутствие стандартизации в области безопасности и недооценка риска со стороны организаций.

Удаленный доступ к критическим системам может привести к реализации недопустимых событий, которые могут включать нарушение производственных процессов, перебои в предоставлении городских услуг и даже физическое повреждение инфраструктуры. Например, компрометация системы управления дорожным движением может вызвать коллапс на дорогах, а атака на системы энергоснабжения — парализовать работу целой агломерации.

Кибератаки на системы государственных услуг

Цифровая трансформация значительно улучшает взаимодействие граждан с государственными органами. В 2023 году Бахрейн сделал значительный шаг к цифровизации государственных услуг, проведя около 10,4 млн транзакций через цифровые каналы. Это позволило сократить операционные расходы правительства на 85%.

Единой точкой входа для множества государственных систем и услуг являются суперприложения, которые являются высокоприоритетными целями для целенаправленных атак. Взлом такого приложения может предоставить доступ к большому количеству различных баз данных и сервисов с минимальными усилиями.

По прогнозам Gartner, к 2027 году более 50% населения мира будут активными пользователями нескольких суперприложений. К примеру, официального портала электронного правительства Катара Hukoomi, включающего более 1400 услуг, которые граждане могут запрашивать в режиме онлайн.

Чтобы противостоять растущим вызовам, критически важно разработать и внедрить комплексную стратегию киберзащиты на уровне государства. Эта стратегия должна включать в себя защиту критической инфраструктуры, координацию действий между государственными и частными секторами, а также международное сотрудничество для обмена информацией и ресурсами.

Ввиду повышенной активности киберпреступников и серьезности последствий успешных кибератак организации в странах Ближнего Востока должны уделять первоочередное внимание кибербезопасности. Им необходимо использовать инструменты, услуги и методики, которые могли бы расширить возможности мониторинга и реагирования на инциденты информационной безопасности, а также повысить осведомленность и бдительность их сотрудников для предотвращения кибератак. Одной из актуальных методик решения основных проблем является комплексный подход результативной кибербезопасности, который направлен на построение постоянной и автоматизированной системы защиты всей IT-инфраструктуры с учетом специфики деятельности и бизнес-процессов.

Для построения такой системы организациям необходимо выявить и оценить подлежащие защите информационные активы, а также определить недопустимые события — события, которые наступают в результате кибератаки и делают невозможным достижение операционных и (или) стратегических целей или приводят к значительному нарушению основной деятельности организации.

После того как активы и недопустимые события будут выявлены, следует провести мероприятия по оценке защищенности систем (киберучения, пентесты) и верифицировать недопустимые события (оценить возможность их реализации). По результатам оценки защищенности организация должна выбрать те компоненты защиты, которые позволят обеспечить три основные составляющие результативной кибербезопасности:

Мониторинг

Система безопасности в реальном времени должна определять, что происходит с защищаемыми активами и насколько соответствуют стандартам защищенности элементы инфраструктуры.

Внедрение систем класса SIEM (security information and event management) позволяет отслеживать и анализировать события безопасности, выявлять атаки и оценивать соответствие защищаемых элементов инфраструктуры требованиям безопасности.

Для выявления атак в промышленных системах SIEM-решения могут дополняться специализированными продуктами для анализа трафика систем АСУ ТП: такие продукты отслеживают неавторизованные действия и активность вредоносного ПО без негативного влияния на производственные процессы.

Реагирование

Система должна понимать цель злоумышленника для быстрого и эффективного реагирования на инциденты, а также предотвращать наступление недопустимых событий.

Совместное использование решений класса XDR (extended detection and response) и SIEM позволяет выявлять атаки в инфраструктуре и реагировать на них как вручную, так и в автоматическом режиме. Расширить возможности обнаружения угроз и последующего реагирования можно с помощью песочницы для статистического и динамического анализа угроз и выявления сложного вредоносного ПО. При проведении экспертных расследований инцидентов используются NTA-решения (network traffic analysis) для глубокого анализа трафика и обнаружения вредоносной активности. Также NTA-системы выступают в качестве сенсоров SIEM-решений для отображения информации о состоянии сети и выполняют роль инструмента для проактивного поиска угроз.

Управление активами

Одна из основных функций системы безопасности — постоянная инвентаризация активов и их классификация с учетом недопустимых событий и способов развития кибератак.

Системы класса VM (vulnerability management) автоматизируют процессы управления активами, выявления и исправления уязвимостей в элементах инфраструктуры в зависимости от степени опасности уязвимости. Также VM-системы отслеживают уровень защищенности инфраструктуры от эксплуатации уязвимостей, используемых в реальных атаках.

Если компания занимается разработкой программных продуктов и веб-приложений, необходимо внедрять процессы безопасной разработки ПО и использовать средства анализа исходного кода для выявления уязвимостей и недостатков проектирования на этапе разработки.

Использование платформ bug bounty может помочь организациям построить процесс непрерывного анализа защищенности своих сервисов и оптимизировать затраты на безопасность.

Сотрудники — главный актив организаций и в то же время один из основных векторов развития атак на корпоративные системы. Необходимо повышать уровень киберграмотности сотрудников (security awareness) при построении надежной защиты компании. Соблюдение правил цифровой гигиены снижает вероятность компрометации конечных точек. Пользователи, знающие актуальные угрозы, не будут открывать вложения из подозрительных электронных писем или подключать незнакомые устройства, а будут сообщать о подозрительной активности и попытках атак в SOC (security operations center).

Комбинация правильно настроенных средств защиты информации, непрерывности процессов и опытной команды специалистов по ИБ позволяет достичь максимальной автоматизации и централизации управления безопасностью и достичь главной цели — защиты организации от недопустимых событий.

Отчет представляет собой анализ актуальных угроз информационной безопасности на Ближнем Востоке, основанный на внутренней экспертизе компании Positive Technologies, данных из дарквеба и информации из авторитетных источников. Исследование ориентировано на организации и частных лиц, интересующихся современным состоянием информационной безопасности.

В отчете под Ближним Востоком понимаются следующие страны: Бахрейн, Египет, Израиль, Иордания, Ирак, Иран, Йемен, Катар, Кипр, Кувейт, Ливан, Объединенные Арабские Эмираты (ОАЭ), Оман, Палестина, Саудовская Аравия и Сирия.

Цели исследования включают выявление наиболее актуальных методов и мотивов кибератак, а также определение ключевых тенденций в изменении ландшафта киберугроз.

Согласно нашей оценке, большинство кибератак остаются нераскрытыми из-за репутационных рисков, что затрудняет точное определение количества угроз даже для организаций, занимающихся расследованием инцидентов и анализом действий киберпреступных группировок.

В отчете каждая массовая атака, такая как фишинговая рассылка на множество адресов, рассматривается как одно событие, а не как несколько отдельных инцидентов. Все термины, использованные в исследовании, приведены в глоссарии на сайте Positive Technologies.