2020. gads Latvijas kibertelpā - 5 klupšanas akmeņi
Nav noslēpums, ka liela daļa mūsu ikdienas 2020. gadā tika pārcelta uz kibertelpu, kur piedzīvots daudz jaunu izaicinājumu - virkne īpaši pielāgotu krāpšanas kampaņu, strauja pielāgošanās attālinātajam darbam, jaunas un kritiskas ievainojamības, kā arī līdz šim vēl neredzēti uzbrukumu paveidi.
2020. gadā īpaši audzis kiberuzbrukumu skaits privātpersonu iekārtām mājsaimniecībās – privātajiem datoriem, maršrutētājiem, viedajiem televizoriem u.c. Salīdzinot ar pirms-pandēmijas periodu, uzbrukumu skaits audzis par 15-30%. Periodiski tika novēroti kiberuzbrukumi arī pret attālinātā darba instrumentiem, piemēram, VPN (Virtual Private Network) un RDP (Remote Desktop Protocol) – pieaugums par aptuveni 20%.
Jāatzīmē, ka neatkarīgi no pandēmijas - 2020. gadā tika novērots nepārtraukts pieaugums arī krāpnieciska rakstura kampaņām. Mērķauditorija šādām kampaņām pārsvarā bija gala lietotāji, savukārt mērķis - autentifikācijas datu izgūšana. Kā redzamākās kampaņas 2020. gadā jāizceļ: krāpnieciskie telefonzvani dažādu banku klientiem, SMART-ID lietotājiem, kā arī masveidā saņemti e-pasti no vairāk kā 200 kompromitētām Latvijas iestādēm un uzņēmumiem ar pielikumā esošu Emotet saimes datorvīrusu.
2020. gadā atklātas arī vairākas īpaši kritiskas ievainojamības (Windows DNS: CVE-2020-1350, SMB: CVE-2020-0796, Windows Server: CVE-2020-1472, SAP: CVE-2020-6287 u.c.). Dažas no tām uzbrucēji pamanījās noteiktu laiku pielietot uzbrukumos, kamēr vēl nebija pieejami ielāpi, līdz ar to tās klasificējamas kā “Zero day” ievainojamības. Citus gadus ikviena no tām būtu sava veida “zvaigzne”, kas gozētos prožektoru gaismās, taču pērn bija grūti izšķirt, kura no ievainojamībām ir kritiskāka. Tādēļ aicinām lietotājus īpaši pievērst uzmanību aktuālajiem atjauninājumiem, tiklīdz tādi parādās.
2020. gadā CERT.LV ekspertiem izdevās apkopot arī 5 tipiskākos klupšanas akmeņus, kas novēroti ikdienas komunikācijā ar valsts un pašvaldību iestādēm, kā arī apstrādājot ienākošos ziņojumus par kiberincidentiem:
1. Attālinātais darbs
Pāreja uz attālināto darbu virkni organizāciju un uzņēmumu pārsteidza nesagatavotus, un, domājams, ir 2020. gada galvenā iezīme, kas radīja virkni izaicinājumu tieši darba devējiem un darbiniekiem:
- nepieciešamība nodrošināt darbiniekiem attālinātu piekļuvi darba infrastruktūrai un informācijai;
- nepieciešamība saglabāt atbilstošu drošības līmeni, ņemot vērā to, ka samazinājās centralizētas kontroles iespējas pār darbinieku rīcību un darbstacijās notiekošo, jo īpaši gadījumos, kad darba vajadzībām tika izmantotas privātās iekārtas;
- nepieciešamība izvēlēties un ieviest drošības prasībām atbilstošus attālinātās komunikācijas un videokonferenču rīkus.
Steigā, kuru diktēja COVID-19 pandēmijas straujā izplatība, virknē uzņēmumu un organizāciju tika pieļauti kompromisi attiecībā uz drošību, lai spētu pēc iespējas ātrāk pārslēgties uz pilnvērtīgu attālināto darbu. Neatbilstoši konfigurētas RDP piekļuves bija apdraudējums arī pirms-pandēmijas periodā, un pandēmijas apstākļos problēma tikai saasinājās. Uzbrucēji izmantoja gan nepietiekami aizsargātus RDP servisus, gan VPN vārtejas, lai kompromitētu sistēmas un piekļūtu uzņēmumu un organizāciju iekšējam tīklam. Diemžēl biežākā problēma izrādījās nepietiekami drošu paroļu izvēle, kuras uzbrucējiem izdevās uzminēt vai piemeklēt, kā arī neatjaunotas VPN iekārtas un papildu drošības mehānismu neesamība.
2. Divu faktoru kas?
Informācijas un datu aizsardzībai daudziem tiešsaistes pakalpojumiem arvien populārāka kļuva divfaktoru autentifikācijas iespēja (angliski tiek lietots termins "two-factor authentication" vai arī 2FA) - mehānisms, kas papildina paroli un palīdz pārliecināties, ka lietotājs tiešām vēlas konkrētajā brīdī piekļūt informācijai vai datiem un ir tas, par ko uzdodas. Kā liecina CERT.LV ekspertu novērojumi, tad daļai iedzīvotāju šī papildu mehānisma nozīme un darbība joprojām nav skaidra. Šis fakts piesaistīja arī lielu krāpnieku interesi, kas bieži tika vērsta tieši pret banku izmantoto divfaktoru autentifikācijas risinājumu - SMART-ID. Izmantojot iedzīvotāju nezināšanu, krāpnieki zvanīja un prasmīgi uzdevās par SMART-ID vai banku darbiniekiem, lai panāktu otrā faktora ievadi un izkrāptu finanšu līdzekļus.
Lielākai ticamībai krāpnieki viltoja banku telefona numurus un steidzināja lietotājus veikt nepārdomātas darbības, aizbildinoties, ka nepieciešams novērst nelikumīgas darbības lietotāja bankas kontā. Gan bankas, gan CERT.LV regulāri atgādināja sabiedrībai, ka bankas nezvana klientiem un nelūdz izpaust lietotājvārdus, paroles vai ievadīt SMART-ID kodus.
Arī WhatsApp lietotnes kontu pārņemšanas uzbrukumi daudzkārt tika realizēti, uzbrucējam no upura izkrāpjot jaunas iekārtas pievienošanai nepieciešamo autentifikācijas kodu. Īstenojot šos uzbrukumus arī tika izmantota lietotāja lētticība vai nezināšana par lietotnes izmantošanu, nevis tehnoloģiski smalkas un sarežģītas metodes.
3. Sociālo tīklu kontu nedienas
Sociālie tīkli turpina ieņemt arvien lielāku lomu cilvēku savstarpējā komunikācijā un nemainīgi kļūst par arvien populārāku risinājumu arī iestāžu, organizāciju un uzņēmumu komunikācijā ar sabiedrību. Arī šeit sevi aktīvi pieteica krāpnieki, kuri centās pārņemt savā kontrolē profilus ar gana lielu sekotāju skaitu, lai pārvērstu tos par dažādu, lielākoties Āzijas tirgum domātu, preču un pakalpojumu reklāmu platformām. Krāpnieki, izmantojot iebiedēšanas taktiku un izliekoties par, piemēram, Facebook administrāciju, draudēja lietotājiem ar konta darbības apturēšanu, kā iemeslu minot autortiesību pārkāpumus vai citu lietošanas noteikumu pārkāpumus. Rezultātā, lietotāji brīvprātīgi ievadīja un nodeva savus piekļuves datus krāpnieku rokās.
4. Izspiešanas daudzās nokrāsas
Arī šogad uzbrucēji apliecināja savu radošo izdomu, demonstrējot, cik daudzos un dažādos veidos ir iespējams veikt izspiešanu. Ja līdz 2020. gada sākumam plaši izplatīti bija izspiešanas e-pasti, kuros individuāliem lietotājiem tika draudēts ar kompromitējošu ierakstu nosūtīšanu draugu un paziņu lokam, ja netiks samaksāta izpirkuma maksa, tad 2020. gada pirmajā pusē parādījās arī līdzīgi e-pasti uzņēmumiem, kuros tika draudēts publiskot datubāzi, kas nesankcionēti izgūta no uzņēmuma mājas lapas / sistēmas. Jāatzīst, ka abos gadījumos tie bija tikai draudi, un informācijas vai kompromitējošu materiālu krāpniekiem patiesībā nemaz nebija.
2020. gadā uzbrucēji neaprobežojās tikai ar automatizētu draudu e-pastu izsūtīšanu. Gada otrajā pusē visā Eiropā aktivizējās piekļuves atteices jeb DDoS uzbrukumi uzņēmumiem. Uzbrucēji pieprasīja izpirkuma maksu, draudot apturēt uzņēmuma darbību, īstenojot apjomīgu DDoS uzbrukumu. Draudu pamatotības apliecināšanai atsevišķos gadījumos tika veikti arī iebiedēšanas uzbrukumi līdz pat 180 Gb/s apjomā un tika solīti uzbrukumi līdz pat 2 Tb/s. Iebiedēšanas uzbrukumi gan neilga vairāk par dažām dienām, biežāk tie ilga mazāk par stundu, un jāuzsver, ka arī atkārtoti uzbrukumi lielākajā daļā gadījumu nesekoja. Ja uzņēmums neuzsāka komunikāciju ar izspiedējiem, tie zaudēja interesi un mainīja mērķi.
Tika novērota arī risku diversifikācija no uzbrucēju puses. Ja uzbrucējiem, izmantojot, piemēram, vāju RDP paroli, bija izdevies piekļūt uzņēmuma sistēmām, tika veikta darbstaciju un serveru šifrēšana, pieprasot samaksu par datu atjaunošanu. Pirms datu šifrēšanas iegūtie dati tika kopēti, lai gadījumā, ja uzņēmumam vai organizācijai izrādītos sagatavotas datu rezerves kopijas datu atgūšanai, pieprasītu izpirkuma maksu par datu nenopludināšanu.
Šādos un līdzīgos izspiešanas gadījumos CERT.LV atgādina, ka ir svarīgi neuzsākt komunikāciju ar izspiedējiem un noteikti nemaksāt izpirkuma maksu. Visbiežāk izpirkuma maksas samaksāšana neatturēs uzbrucējus, bet tieši pretēji - veicinās atkārtotus uzbrukumus nākotnē, jo būs gūts apliecinājums, ka attiecīgais mērķis ir spējīgs un gatavs maksāt. Tāpat atgādinām, ka maksājot uzbrucējiem, tiek nodrošināts uzbrucēju finansējums, kas ļauj tiem pilnveidot metodes un izmantotās tehnoloģijas, kā arī motivē turpināt uzbrukumus.
Vērts pieminēt, ka arī Latvijas Interneta pakalpojumu sniedzēji piedāvā saviem korporatīvā segmenta klientiem DDoS aizsardzības pakalpojumus šādu uzbrukumu atvairīšanai.
5. Emotet - ļaunatūra ar bumeranga efektu?
2020. gada otrajā pusē vairākos kampaņveidīgos uzbrukumos globālajā un arī Latvijas tīmeklī tika izplatīta spiegojošā ļaunatūra Emotet. Upuris ļaunatūru parasti saņēma e-pastā no e-pasta adrešu grāmatiņā esoša jau inficēta kontakta. Emotet no inficētās iekārtas ievāca kontaktu sarakstu un e-pastu sarakstes, kā arī citu sensitīvu informāciju. Fragmentus no iegūtajām sarakstēm ļaunatūra iekļāva e-pastos, ar kuru palīdzību sevi izsūtīja tālāk, tā radot iespaidu, ka saņemtais e-pasts ir uzticams un tiek turpināta iesākta sarakste. Emotet, pēc nonākšanas datorā, veica mēģinājumus izplatīties organizācijas iekšējā tīklā, kā arī lejuplādēja iekārtā vēl citas ļaunatūras, piemēram, TrickBot (kuras mērķis ir finanšu informācijas izgūšana), veica tālāku šifrējošo vīrusu izplatīšanu un citas ļaundabīgas darbības. Latvijā īsā laika periodā ar Emotet tika inficētas vairāk kā 200 organizācijas. Tika zaudēta kontrole pār e-pastu sarakstēm un citu informāciju. Ir paredzams, ka pēc gada vai ilgāka perioda iegūtā informācija var parādīties atkārtotos uzbrukumos vai tikt izmantota citās, mērķētās ļaundabīgās kampaņās.
Ko sagaidīt no 2021. gada?
Turpinoties attālinātā darba režīmam, saglabāsies arī uzbrucēju interese par attālinātai piekļuvei un saziņai izmantotajām tehnoloģijām - RDP, VPN un tiešsaistes saziņas rīkiem. Turpināsies paroļu piemeklēšana, nepietiekami aizsargātu sistēmu ļaunprātīga izmantošana, kā arī jaunu ievainojamību meklēšana. Tādēļ iesakām rūpēties par regulāru atjauninājumu uzstādīšanu, nodrošinot maksimāli ātru jaunatklāto “caurumu aizlāpīšanu” (vēlams atjauninājumus iespējot automātiskā režīmā), un ievērot kiberdrošības labo praksi, uzstādot programmatūru un konfigurējot iekārtas. Efektīvākai aizsardzībai iespējams izmantot Zero Trust pieeju, kas paredz rūpīgas pārbaudes jebkuram sistēmas procesam un pieslēguma mēģinājumam, sekojot principam - visu uztvert ar aizdomām.
Gan savu personīgo, gan organizācijas iekšējo servisu papildu aizsardzībai un ārējo pakalpojumu izmantošanai, kur vien iespējams, CERT.LV iesaka iespējot divfaktoru autentifikāciju. Tā apgrūtinās uzbrucēju piekļuvi attiecīgajiem resursiem vai informācijai, pat ja tiem būs izdevies izvilināt vai uzminēt paroli. Kibertelpā izskanējis pat apgalvojums, ka katra sistēma, kurā netiks izmantota divu vai vairāku faktoru autentifikācija, 2021. gadā tiks kompromitēta. Būtiski gan ir uzsvērt, ka nepieciešams nodrošināt ne vien divfaktoru autentifikācijas uzstādīšanu, bet arī pārliecināties par to, ka lietotāji izprot šī aizsardzības mehānisma darbību.
Ņemot vērā, ka arvien vairāk darbību tiek veiktas tiešsaistē - attālinātais darbs, sanāksmes, mācības, iepirkšanās, saziņa - kā arī jau notikušās datu noplūdes un potenciālās noplūdes nākotnē, jārēķinās ar pielāgotākiem un mērķētākiem uzbrukumiem. Efektīva aizsardzība ir apmācības kiberdrošības jomā, lai uzlabotu lietotāju spēju atpazīt un novērst potenciālo kiberuzbrukumu, kā arī drošības procedūru izstrādāšana un ievērošana, nepieļaujot kompromisus vai steigā pieņemtus kļūdainus lēmumus. Šeit noderīga būs CERT.LV izstrādātā kiberdrošības rokasgrāmata: https://rokasgramata.esidross.lv/
Daļā uzņēmumu un organizāciju 2020. gads atstās ietekmi uz pieejamo finansējumu tehnoloģisko risinājumu pilnveidošanai un kiberdrošības veicināšanai. Tie būs papildu izaicinājumi drošībai.
Ārkārtas situācijas un grūti prognozējamās nākotnes dēļ daudziem komersantiem piespiedu kārtā nākas būt elastīgiem un izmēģināt digitālus risinājumus savu pakalpojumu un preču pārdošanai tiešsaistē. Tā kā daļa šo risinājumu, iespējams, tapuši steigā, drošības aspektu atstājot otrajā plānā, tad pastāv bažas, ka tuvākā nākotnē par šo kļūdu varētu nākties maksāt klientam – ar nozagtiem norēķinu karšu datiem vai privāto informāciju. Priekš drošākas iepirkšanās internetā, CERT.LV iesaka izmantot atsevišķu maksājumu karti, kurā ir ierobežots līdzekļu daudzums.
Lai pasargātu sevi un savu organizāciju, CERT.LV vērš uzmanību uz pieejamo bezmaksas rīku apdraudējumu novēršanai https://dnsmuris.lv/. DNS ugunsmūris ir CERT.LV un NIC (.LV domēna vārdu reģistra uzturētājs) kopprojekts, kas paredzēts individuālu lietotāju un organizāciju aizsardzībai no kiberapdraudējumiem, tādiem kā viltus banku lapas, krāpnieciskas tirdzniecības platformas, vīrusus izplatošas vietnes u.c.
Ikdienas aizsardzībai kibertelpā CERT.LV aicina ikvienu interneta lietotāju domāt kritiski, uzticēties savai saprāta balsij, izkopt veselīgu piesardzību un jebkurā situācijā censties saglabāt mieru un “vēsu prātu”!