Кибератаки на инфраструктуру Египта в 2024 году

К 2024 году Египет стал одним из ведущих цифровых центров Северной Африки и Ближнего Востока. Страна активно инвестирует в развитие цифровой инфраструктуры, создавая благоприятную среду для стартапов и крупных технологических компаний. Эти усилия способствуют быстрому росту цифровой экономики Египта и его превращению в регионального лидера в области информационных технологий.

Согласно данным DataReportal, в начале 2024 года число интернет-пользователей в Египте достигло 82,01 млн человек, что составляет 72,2% от общей численности населения страны (113,6 млн человек). По сравнению с началом 2022 года число интернет-пользователей в Египте увеличилось на 6,3 млн. Такой рост цифровизации во многом обусловлен реализацией программы «Цифровой Египет», которая является частью масштабного проекта «Vision 2030».

Согласно глобальному индексу кибербезопасности, Египет занимает одно из ведущих мест по уровню кибербезопасности как в регионе, так и в мире. Однако стремительное развитие цифровой среды, рост числа интернет-пользователей, а также особенности геополитических взаимоотношений с некоторыми странами привлекают внимание киберпреступников, хактивистов и APT-группировок.

В 2024 году основная часть кибератак в Египте была направлена на компьютерное оборудование, мобильные устройства и непосредственно на человека (социальная инженерия). Рассматривая собранную нами статистику, нужно понимать, что отдельно взятая кибератака могла быть направлена одновременно на все эти объекты.

В категорию компьютерного и сетевого оборудования также входит оборудование операторов мобильной связи. Ярким примером является инцидент, произошедший в начале марта 2024 года. Известная хактивистская группировка Anonymous Sudan через свой телеграм-канал объявила о проведении серии DDoS-атак, направленных на операторов связи. Используя свою инфраструктуру InfraShutdown, хактивисты атаковали двух крупнейших операторов мобильной связи — Vodafone Egypt и Etisalat Egypt. В результате атаки, длившейся свыше пяти часов, миллионы пользователей лишились доступа к услугам связи.

Атаки, рассчитанные на человеческий фактор, занимают второе место в рассматриваемой статистике. Люди остаются наиболее уязвимым звеном при обеспечении кибербезопасности, и хакеры активно этим пользуются.

В 2024 году многие страны, включая Египет, столкнулись с волной фишинговых атак, направленных на промышленные предприятия. Злоумышленники, рассчитывая на человеческий фактор, рассылали фишинговые письма от имени известных логистических компаний. Их целью было получить доступ к конфиденциальной информации. В письмах злоумышленники сообщали, что на имя организации поступил груз, а закрывающие документы доступны по прикрепленной ссылке, ведущей на PDF-файл. Однако при переходе по этой ссылке работники организаций попадали на фишинговую страницу. Там им предлагалось ввести логин и пароль от корпоративной почты для просмотра документов. Таким образом злоумышленники получали данные корпоративной почты, и это часто позволяло им завладеть и другой информацией — счетами, договорами, сведениями о внутренних процессах компании — с целью продажи, шантажа или для организации новых атак.

Атаки на мобильные устройства граждан Египта значительно менее распространены по сравнению с другими типами кибератак, однако активно используются APT-группировками. К примеру, вредоносная программа AridSpy, обнаруженная исследователями ESET, создана группировкой Arid Viper с целью кибершпионажа. AridSpy распространялась на Android-устройствах через мошеннические сайты, которые предлагали пользователям вручную скачать приложения, минуя Google Play. Вредоносное ПО интегрировалось в анонимные мессенджеры, такие как LapizaChat, NortirChat и ReblyChat. После установки на устройство вредоносный код, при отсутствии антивируса, загружал дополнительные компоненты со шпионскими функциями.

Анализ данных из открытых источников показал, что в рассматриваемый период социальная инженерия и ВПО стали ключевыми инструментами, используемыми злоумышленниками. На каждый из этих методов приходится по 36%, что в совокупности составляет 72% всех зафиксированных случаев.

В 2024 году для своих атак на организации Египта злоумышленники активно использовали тактику двойного вымогательства, при которой они не ограничиваются применением вредоносного ПО для шифрования данных жертвы, но также похищают конфиденциальную информацию, угрожая опубликовать ее в случае отказа платить выкуп. Одним из ярких примеров служит инцидент, произошедший в Налоговой администрации Египта. Злоумышленники зашифровали и похитили около 500 ГБ данных, обещая сделать похищенную информацию общедоступной. Ответственность за инцидент взяла на себя хакерская группировка Money Message.

Еще один инцидент был организован группировкой FunkSec, специализирующейся на шифровании, вымогательстве и шантаже. Хакеры смогли получить доступ к цифровой инфраструктуре авиакомпании EgyptAir, включая ее административные порталы и веб-почту. В открытых источниках о требованиях хакеров не сообщается, однако объявление о продаже доступа к ресурсам авиакомпании за 5 тыс. долларов в криптовалюте появилось на одной из площадок в дарквебе. Объем скомпрометированных данных также остается неизвестным.

В рассматриваемый период злоумышленники, стремясь получить финансовую выгоду, проявляли повышенный интерес к компрометации данных, представляющих особую ценность. Основываясь на данных Positive Technologies, собранных за 2024 год, можно заключить, что злоумышленники чаще всего интересовались коммерческой тайной и персональными данными пользователей.

Эти категории информации представляют особую ценность для хакеров. Одним из примеров незаконной деятельности по продаже похищенных данных является пост в дарквебе о продаже базы, содержащей персональные данные 85 млн граждан Египта. Согласно сообщению, опубликованному на хакерском форуме BreachForums, в руки злоумышленников попали такие конфиденциальные данные, как национальные идентификационные номера (NID), имена граждан, информация об их семьях, страховые номера и номера мобильных телефонов. Специалисты Dark Entry, специализирующейся на анализе дарквеба, подтвердили подлинность похищенных записей. По предварительным данным, причиной утечки стала уязвимость сайта.

Важно отметить, что цифра в 85 млн на первый взгляд может показаться завышенной. Как пояснили в Dark Entry, вполне возможно дублирование данных: у многих граждан Египта несколько страховых полисов, оформленных через разных работодателей. Каждый такой полис, в свою очередь, может быть привязан к разным номерам телефонов и содержать уникальные страховые данные.

Мы нашли в дарквебе более сотни объявлений о продаже или бесплатном распространении баз данных, содержащих конфиденциальную информацию. Эти же цифры подтверждаются и аналитикой платформы SOCRadar.

Статистика объявлений в дарквебе, классифицированных по категориям жертв, показывает, что основную массу предложений о продаже или распространении похищенных данных и прав доступа составляют компиляции данных, полученных в результате фишинговых атак и манипуляций с платежной информацией физических лиц.

Под данными физических лиц мы понимаем информацию о гражданах Египта и пользователях египетских сервисов, которая распространяется без привязки к конкретным инцидентам. Кроме того, в эту категорию включаются скомпрометированные идентификационные документы граждан (паспорта и иные личные документы), а также комболисты (базы данных, не содержащие полной информации о жертвах, сформированные путем объединения ранее опубликованных утечек).

Данные рядовых граждан пользуются высоким спросом в дарквебе по причине того, что применяются в мошеннических схемах, продаются третьим лицам или применяются для объединения с данными из других утечек (это увеличивает ценность базы данных, полученной в результате компиляции).

Значительная доля объявлений приходится на сферу онлайн-торговли. Это объясняется тем, что торговля — активно развивающееся цифровое направление с постоянно растущим числом как клиентов, так и магазинов. Личные данные покупателей и их предпочтения, платежная информация, контакты и адреса — все это очень ценится злоумышленниками и может перепродаваться или использоваться в других преступлениях. Например, на одной из площадок в дарквебе была выставлена на продажу база данных крупного магазина пищевых добавок, включающая 600 тыс. записей о клиентах: там были имена, домашние адреса, адреса электронной почты и номера телефонов.

Компании из сферы услуг и транспортные организации занимают третье место по количеству пострадавших, чьи данные были обнаружены в продаже. Среди выставленной на продажу информации — данные ресторанов, агрегаторов такси и других сервисов. Всего лишь в двух объявлениях, представленных на рис. 12, общий объем скомпрометированных данных уже превышает 1 млн записей.

Также в дарквебе можно найти объявления о продаже данных из финансовой сферы. На одной из площадок мы нашли базу данных, содержащую информацию о 10 тыс. клиентов и сотрудников одного из египетских банков. В базу входят имена, сведения о поле, возрасте, номера счетов и мобильных телефонов. Важно отметить, что сравнительно небольшое число подобных объявлений связано, вероятно, с высоким уровнем защиты финансовых организаций.

Сравнивая количество инцидентов кибербезопасности за рассматриваемый период, о которых сообщается в СМИ, с информацией из дарквеба, можно сделать вывод, что, несмотря на применяемые меры защиты, хакеры демонстрируют высокую степень изобретательности и адаптивности. Нужно понимать, что тенденция к продаже скомпрометированных данных в дарквебе сохранится, однако стоимость и практическая ценность самих данных будут зависеть от их актуальности (с одной стороны, данные в комболистах постепенно устаревают, но с другой стороны — злоумышленники периодически добавляют новые).

Несмотря на значительные успехи Египта в области цифровизации, на укрепление позиций в рейтингах по кибербезопасности, страна сталкивается с рядом серьезных вызовов. Государство всячески стимулирует процесс цифровой трансформации, и это делает Египет привлекательной целью для киберпреступников, что подтверждается разнообразием методов атак и сведениями, обнаруженными в дарквебе.

Выявленные проблемы, связанные с группировками-вымогателями, а также с активностью злоумышленников в дарквебе, подчеркивают необходимость внедрения более продвинутых подходов к обеспечению защиты. Одним из таких подходов является методология результативной кибербезопасности, применяемая для обеспечения высокой устойчивости бизнеса к кибератакам.

Поскольку часть атак в стране связана с методами социальной инженерии, крайне важно уделить внимание повышению осведомленности людей в области цифровой гигиены. Причем обучение необходимо не только для рядовых сотрудников организаций, но и для лиц, ответственных за обеспечение кибербезопасности. Помогут в этом специальные курсы.

Разнообразие похищенных данных в дарквебе по разным отраслям может косвенно свидетельствовать о недостаточной защите веб-ресурсов организаций. Наличие решений класса web application firewall (WAF) поможет не только защититься от угроз из списка OWASP Top 10, но также обнаружить уязвимости и автоматически блокировать их эксплуатацию. А применение network traffic analysis (NTA) позволит обнаружить скрытое вредоносное ПО, выявить попытки перемещения злоумышленника внутри периметра и эксплуатацию уязвимостей в сети.

Обеспечение кибербезопасности в организации требует комплексного подхода. Помимо WAF и NTA-систем Positive Technologies может предложить и другие решения, способные усилить киберустойчивость организаций к хакерским атакам. Применение базовых принципов результативной кибербезопасности в сочетании с внедрением современных технических решений и повышением уровня осведомленности сотрудников позволит не только снизить количество киберинцидентов в стране, но и укрепить ее позиции в международных рейтингах защищенности.