Актуальные киберугрозы на Ближнем Востоке: 2022-2023

Государственные учреждения

В странах Ближнего Востока государственные учреждения являются наиболее привлекательными целями для киберпреступников: на их долю пришлось 22% от общего числа атак на организации. Основными последствиями таких атак являются нарушение основной деятельности (36%) и утечки конфиденциальной информации (28%). Отличительной особенностью атак на госучреждения в этом регионе является то, что в основном их совершают APT-группировки (56%), надолго закрепляясь в инфраструктуре жертвы с целью кибершпионажа: такие злоумышленники имеют высокую квалификацию и располагают целым арсеналом вредоносного ПО и эксплойтов для компрометации систем и эксфильтрации данных. Интересный способ атаки с использованием методов социальной инженерии продемонстрировала группировка TA456: операторы создали фейковый профиль привлекательной девушки, в переписке с госслужащими завоевывали их доверие, а затем распространяли шпионское ПО.

Промышленные организации

Организации промышленного сектора формируют бóльшую часть ВВП стран Ближнего Востока , высоко оцениваются на рынке и аккумулируют большое количество конфиденциальных данных, тем самым привлекая к себе внимание злоумышленников: промышленность занимает вторую строчку самых атакуемых отраслей (16%). В 33% случаев преступники получают доступ к системам компаний-жертв в ходе атак на пользователей по каналам социальной инженерии; в 62% атак с использованием вредоносного ПО было замечено ВПО для удаленного управления, а также ПО, удаляющее данные (31%).

Деятельность APT-группировок и группировок вымогателей на Ближнем Востоке чаще всего была нацелена на конечные устройства и серверы: 78% кибератак на организации Ближневосточного региона было направлено на компьютеры, серверы и сетевое оборудование. Атаки на пользователей с использованием социальной инженерии (41% — доля организаций, 96% — частных лиц) являются одним из самых популярных методов атак: по данным годового исследования компании Verizone, человеческий фактор стал причиной более 80% взломов в 2022 году, в том числе и на Ближнем Востоке. Веб-ресурсы замыкают тройку наиболее атакуемых объектов в атаках на организации: злоумышленники эксплуатируют веб-уязвимости, похищают данные пользователей. Кроме того, веб-приложения являются целью дефейса и DDoS-атак со стороны хактивистов.

Вредоносное программное обеспечение в атаках на Ближнем Востоке

Практически две трети атак на организации в странах Ближнего Востока происходят с использованием различных типов вредоносного ПО. ВПО для удаленного управления стало самым популярным в таких атаках, и неспроста: оно предоставляет злоумышленникам практически полный контроль над скомпрометированным устройством, отключает средства защиты и обеспечивает постоянство пребывания в инфраструктуре. Этот вид вредоносов популярен среди всех злоумышленников, особенно у APT-группировок.

Шпионское ПО получило широкое распространение в атаках на частных лиц. Чаще всего злоумышленники распространяли его под видом легитимных приложений, например, VPN-сервисов или приложений для создания виртуального номера.

Угроза со стороны группировок вымогателей является одной из главных во всем мире, в том числе и на Ближнем Востоке: активность операторов шифровальщиков в I квартале 2023 года возросла на 77% по сравнению с аналогичным периодом 2022 года. Согласно отчету Group-IB «Hi-Tech Crime Trends 2022/2023», наиболее атакуемыми странами в регионе Персидского залива стали ОАЭ (33%), Саудовская Аравия (29%) и Кувейт (21%).

Региональной особенностью Ближнего Востока является применение злоумышленниками вайперов. Вредоносы этого типа удаляют все пользовательские и системные файлы и выводят оборудование из строя. Особенно опасным случаем является попадание вайпера на устройства АСУ ТП, так как сбой в работе этого оборудования может привести к нарушениям технологического процесса и даже к аварийным ситуациям. Так, во II квартале 2022 года произошла крупная атака на три иранских сталелитейных завода, в результате которой были нарушены производственные процессы, а на одном из этих предприятий злоумышленникам удалось обрушить ковш с жидким чугуном, что вызвало пожар в цехе.

Злоумышленники чаще всего были нацелены на кражу конфиденциальной информации и кибершпионаж (что соответствует общемировой тенденции к похищению данных), а также на нарушение основной деятельности организаций. Ввиду некоторой закрытости региона (случаи кибератак на Ближнем Востоке редко освещаются в открытых источниках) доля инцидентов, последствия которых остались неизвестны, остается достаточно высокой.

Группировки, атаковавшие организации и частных лиц на Ближнем Востоке

С точки зрения киберзащищенности Ближний Восток находится в потенциально уязвимом положении: богатый нефтью регион, страны которого ускоренными темпами проводят масштабную цифровизацию, внедряют инновационные технологии в процессы управления государством и важные отрасли экономики, в 2023 году станет одним из наиболее привлекательных для вымогателей, мошенников, APT-группировок и хактивистов. Основываясь на данных из открытых источников и на нашей статистике, можно сделать вывод, что большинство успешных кибератак на Ближнем Востоке осуществляется и будет осуществляться с помощью методов социальной инженерии, распространения и внедрения вредоносного ПО, эксплуатации веб-уязвимостей и уязвимостей в программном обеспечении.

Наиболее актуальными угрозами безопасности стран Ближневосточного региона в 2023 году являются:

• Кибератаки на правительственные организации. Злоумышленники (в частности, APT-группировки) могут направить свои усилия на компрометацию систем госучреждений, чтобы получить конфиденциальные данные, осуществлять кибершпионаж, нарушить деятельность или оказать влияние на принятие решений.
• Кибератаки на критически важную инфраструктуру. Эти атаки могут иметь самые серьезные последствия как для одной организации, так и для экономики или безопасности целой страны. Преступники могут избрать своими целями организации ТЭК, телекоммуникационные и финансовые учреждения, здравоохранение или транспорт.
• Фишинг и социальная инженерия. Атаки, основанные на фишинге и методах социальной инженерии, будут проводиться для получения доступа к системам организаций всех отраслей экономики, а также в отношении частных лиц.
• Распространение вредоносного ПО. Атаки с использованием вредоносов (трояны удаленного доступа, шпионское ПО, шифровальщики) останутся серьезной угрозой для организаций и отдельных пользователей.
• Хактивизм. Хактивисты могут использовать дефейс веб-ресурсов, DDoS-атаки или внедрение вредоносного ПО, чтобы нанести ущерб информационным системам и получить несанкционированный доступ к конфиденциальной информации. Кроме того, они способны вести киберпропаганду и распространять ложную информацию с целью влияния на общественное мнение.

Увеличение числа группировок и, следовательно, количества кибератак повысило потребность в обеспечении кибербезопасности организаций на Ближнем Востоке: согласно прогнозу International Data Corporation, расходы на обеспечение безопасности в регионе в 2023 году увеличатся почти на 8% в годовом исчислении, а наибольшая доля расходов (41%) придется на программное обеспечение.

Руководства стран Ближнего Востока в полной мере осознают серьезность киберугроз и создают нормативную базу для регулирования деятельности в киберпространстве:

• Катар внедрил положение для организаций в соответствии с законом о защите конфиденциальности персональных данных № 13 от 2016 года, чтобы обеспечить защищенность данных пользователей.
• Бахрейн ввел в действие закон о защите персональных данных (Personal Data Protection Law, PDPL) 1 августа 2019 года. Он был создан по образцу похожего документа, действующего в Европейском Союзе. Наказание для правонарушителей может составлять до 1 года лишения свободы.
• В ноябре 2021 года Объединенные Арабские Эмираты издали Федеральный закон № 45 (Закон ОАЭ о защите данных), который устанавливает более строгие стандарты конфиденциальности и защиты информации и определяет права и обязанности сторон в процессе обработки персональных данных.

Ввиду повышенной активности киберпреступников и серьезности последствий успешных кибератак организации в странах Ближнего Востока должны уделять первоочередное внимание кибербезопасности. Им необходимо использовать инструменты, услуги и методики, которые могли бы расширить возможности мониторинга и реагирования на инциденты информационной безопасности, а также повысить осведомленность и бдительность их сотрудников для предотвращения кибератак. Одной из актуальных методик решения основных проблем является комплексный подход результативной кибербезопасности, который направлен на построение постоянной и автоматизированной системы защиты всей IT-инфраструктуры с учетом специфики деятельности и бизнес-процессов.

Для построения такой системы организациям необходимо выявить и оценить подлежащие защите информационные активы, а также определить недопустимые события — события, которые наступают в результате кибератаки и делают невозможным достижение операционных и (или) стратегических целей или приводят к значительному нарушению основной деятельности.

После того как активы и недопустимые события будут выявлены, следует провести мероприятия по оценке защищенности систем (киберучения, пентесты) и на практике реализовать (верифицировать) недопустимые события. По результатам оценки защищенности организации должны выбрать те компоненты защиты, которые позволят обеспечить три основные составляющие результативной кибербезопасности:

• Мониторинг

Система безопасности в реальном времени должна определять, что происходит с защищаемыми активами и насколько соответствуют стандартам защищенности элементы инфраструктуры.

Внедрение систем класса SIEM (security information and event management) позволяет отслеживать и анализировать события безопасности, выявлять атаки и оценивать соответствие требованиям безопасности защищаемых элементов инфраструктуры.

Для выявления атак в промышленных системах SIEM-решения могут дополняться специализированными продуктами для анализа трафика систем АСУ ТП: такие продукты отслеживают неавторизованные действия и активность вредоносного ПО без негативного влияния на производственные процессы.

• Реагирование

Система должна понимать цель злоумышленника для быстрого и эффективного реагирования на инциденты, а также предотвращать наступление недопустимых событий.

Совместное использование решений классов XDR (extended detection and response) и SIEM дает возможность выявлять атаки в инфраструктуре и реагировать на них как вручную, так и в автоматическом режиме. Расширения возможностей обнаружения угроз и последующего реагирования можно добиться использованием песочницы для статистического и динамического анализа угроз, например выявления сложного вредоносного ПО. При проведении экспертных расследований инцидентов используются NTA-решения (network traffic analysis) для глубокого анализа трафика и обнаружения вредоносной активности. Также NTA-системы выступают в качестве сенсоров SIEM-решений для отображения информации о состоянии сети и выполняют роль инструмента для проактивного поиска угроз.

• Управление активами

Одна из основных функций системы безопасности — постоянная инвентаризация активов и их классификация с учетом недопустимых событий и способов развития кибератак.

Системы класса VM (vulnerability management) автоматизируют процессы управления активами, выявления и исправления уязвимостей в элементах инфраструктуры в зависимости от степени опасности уязвимости. Также VM-системы отслеживают уровень защищенности инфраструктуры от эксплуатации уязвимостей, используемых в реальных атаках.

В случае, если компания занимается разработкой программных продуктов и веб-приложений, необходимо внедрять процессы безопасной разработки ПО и использовать средства анализа исходного кода для выявления уязвимостей и недостатков проектирования на этапе разработки.

Использование платформ bug bounty может помочь организациям построить процесс непрерывного анализа защищенности их сервисов и оптимизировать затраты на безопасность.

Сотрудники — главный актив организаций и в то же время один из основных векторов развития атак на корпоративные системы. Необходимо повышать уровень киберграмотности сотрудников (security awareness) при построении надежной защиты компании. Соблюдение правил цифровой гигиены снижает вероятность компрометации конечных точек. Пользователи, знающие актуальные угрозы, не будут вестись на уловки злоумышленников и открывать вложения из подозрительных электронных писем или подключать незнакомые устройства, а сообщат о подозрительной активности и попытках атак в SOC (security operations center).

Комбинация правильно настроенных средств защиты информации, непрерывности процессов и опытной команды специалистов по ИБ позволяет достичь максимальной автоматизации и централизации управления безопасностью и достичь главной цели — защиты организации от недопустимых событий.

Отчет содержит информацию об актуальных угрозах информационной безопасности Ближневосточного региона, основанную на собственной экспертизе компании Positive Technologies, а также на данных авторитетных источников. Под Ближним Востоком в отчете понимаются следующие страны: Бахрейн, Египет, Израиль, Иордания, Ирак, Иран, Йемен, Катар, Кипр, Кувейт, Ливан, Объединенные Арабские Эмираты (ОАЭ), Оман, Палестина, Саудовская Аравия, Сирия.

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий киберпреступных группировок. Наше исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.