☰

Pārskats par Latvijas kibertelpā notiekošo politiskā saspīlējuma apstākļos

[Papildināts 21.03.2022]
 

Vispārīgā situācija

Arī martā Latvijas kibertelpā novērojama paaugstināta uzbrucēju aktivitāte, taču kopumā situācija joprojām ir stabila. Sekmīgi uzbrukumi ar būtisku ietekmi valsts un kritiskās infrastruktūras sektorā līdz šim nav konstatēti.

Konstatētie apdraudējumi

Turpinās jau kopš janvāra novērotā aktīvā skenēšana un ievainojamību meklēšana publiskā sektora infrastruktūrā. Lai iegūtu informāciju par iestādēs izmantotajām iekārtām, valsts iestāžu darbiniekiem tika izsūtīti arī mērķēti pikšķerēšanas e-pasti. Apjomīga pikšķerēšanas kampaņa pret valsts un pašvaldību iestāžu darbiniekiem un valsts kapitālsabiedrībām tika vērsta arī ar mērķi izvilināt e-pasta kontu lietotājvārdus un paroles. CERT.LV ir saņēmusi informāciju par vairāk nekā 5000 šādu e-pastu. Uzbrukumā tika izmantota kompromitēta Argentīnas valsts iestādes e-pasta kastīte, un nereti datu izkrāpšanai izveidotās viltus vietnes tika pielāgotas e-pasta saņēmēja izmantotajam e-pasta pakalpojumam. Aktuālās situācijas kontekstā CERT.LV aicināja iestādes, kurās krāpnieciskos e-pastus neapturēja mēstuļu filtri un tie nonāca līdz darbiniekiem, veikt darbinieku e-pasta paroļu nomaiņu, kā arī uzstādīt vairāku faktoru autentifikāciju (2FA, MFA), ja tas vēl nav izdarīts.

Gan valsts pārvaldes institūcijas, gan mediji un finanšu sektors piedzīvoja virkni piekļuves atteices jeb DDoS uzbrukumu, taču tie tika veiksmīgi atvairīti. Ņemot vērā to, ka līdzīgi uzbrukumi tika novēroti arī citās Eiropas valstīs, jāsecina, ka tie ir bijuši koordinēti, taču pagaidām vairāk ar mērķi novērst uzmanību un “radīt troksni”.

Tika novēroti traucējumi Viasat KA-SAT pakalpojumā, kas ietekmēja interneta pieejamību galvenokārt, Ukrainā, bet skāra arī lietotājus citviet Eiropā, tostarp Latvijā.

Sankcijas pret Krieviju un atsevišķām ar to saistītām personām var atstāt ietekmi uz to kompāniju, kuras darbojas Krievijā vai atrodas sankcijām pakļautu personu pārvaldībā, pakalpojumu pieejamību, piemēram, mail.ru vai vkontakte.ru. Latvijas iedzīvotāji tiek aicināti savlaicīgi veidot šajos un līdzīgos resursos uzglabāto savu datu un informācijas kopijas, kā arī izvēlēties alternatīvus pakalpojumu sniedzējus. Jāņem arī vērā, ka informācija, kas ir publicēta Krievijas pakļautībā esošos resursos, var kļūt pieejama Krievijas varas iestādēm un var tikt izmantota Krievijas interešu īstenošanai.

Līdzīga piesardzība jāievēro arī tām organizācijām un uzņēmumiem, kuri savā infrastruktūrā izmanto ar Krieviju saistītu uzņēmumu ražotus IKT produktus, piemēram 1C grāmatvedības programmatūru. Visos gadījumos, kur vien tas ir iespējams, CERT.LV aicina meklēt alternatīvus pakalpojumu sniedzējus. Ja pāreja uz alternatīvu pakalpojumu nav iespējama, lai novērstu potenciālus piegādes ķēdes uzbrukumus, jāapzinās, jāizvērtē un jācenšas mazināt ar produkta izmantošanu saistītie riski:

  • jānodrošina daudzfaktoru autentifikācijas (2FA, MFA) izmantošana;
  • regulāri jāpārskata piekļuves tiesības visiem ar sistēmas izstrādi un uzturēšanu saistītajiem tehniskajiem resursiem;
  • jāseko datu apmaiņai ar ārējām sistēmām un jāierobežo tā līdz nepieciešamajam minimumam;
  • jāveido un regulāri jātestē rezerves kopijas;
  • jāveic sistēmas drošības pārbaudes/testu pēc katras izmaiņu ieviešanas (testa apjomu nosakot atbilstoši veikto izmaiņu ietekmei un sistēmas risku novērtējumam).

Sociālajā tīklā Facebook tika izplatītas ar karadarbību Ukrainā saistītas lasītājus biedējošas viltus ziņas ar mērķi panākt, lai lietotāji atver ziņai pievienoto krāpniecisko saiti un ievada krāpnieku izveidotajā vietnē savus sociālā tīkla piekļuves datus (lietotājvārdu un paroli), tādējādi nododot tos krāpniekiem. CERT.LV aicināja iedzīvotājus par šādām krāpnieciskām ziņām informēt pašu Facebook, kā arī piekodināja šādas ziņas neizplatīt tālāk savam kontaktu lokam.

Tika novērotas arī pikšķerēšanas aktivitātes, kas vērstas pret iedzīvotājiem ar mērķi izkrāpt internetbanku piekļuves datus, un, domājams, nav saistītas ar politiskajiem procesiem. Dažās no šīm krāpniecībām tika pamanīta inovatīva pieeja krāpniecisko vietņu izveidē - iedzīvotāju uzticības veicināšanai tika izmantoti latviskoti domēna vārdi ar mīkstajiem un garajiem burtiem, piemēram,
manabanka-drošība.com.

Aizsardzībai pret krāpniecisku un ļaunatūru saturošu vietņu apmeklējumu aicinām izmantot CERT.LV un NIC nodrošināto bezmaksas risinājumu DNS ugunsmūris (uzstādīšanas un izmantošanas informācija vietnē https://dnsmuris.lv/).

Kopsavilkums

Lai arī saspringta, situācija Latvijas kibertelpā joprojām tiek veiksmīgi kontrolēta. CERT.LV sadarbībā ar partneriem turpina uzraudzīt tajā notiekošo un nodrošināt regulāru atbalstu gan valsts un pašvaldību iestādēm, gan kritiskās infrastruktūras uzņēmumiem. Līdz šim sekmīgi uzbrukumi valsts un kritiskās infrastruktūras sektorā ir notikuši ar zemu un īslaicīgu ietekmi.

 

[Oriģinālā ziņa 08.03.2022]

Vispārīgā situācija

Latvijas kibertelpā jau kopš janvāra vidus ir jūtama paaugstināta aktivitāte, kas ir būtiski pieaugusi kopš februāra vidus un jo īpaši kopš kara sākuma. Kopumā situācija ir stabila, sekmīgi uzbrukumi ar būtisku ietekmi valsts un kritiskās infrastruktūras sektorā līdz šim nav konstatēti.

Būtiski augusi uzbrukumu intensitāte pret Latvijas valsts iestādēm un kritiskās infrastruktūras uzņēmumiem. Pieaudzis nelielu pakalpojumu atteices uzbrukumu (DDoS) skaits, kā arī tīklu skenēšana – programmatūras versiju un ievainojamību meklēšana, arī finanšu sektorā. Novēroti arī mērķēti pikšķerēšanas e-pasti valsts pārvaldes darbiniekiem ar mērķi iegūt pieeju darbinieku iekārtām un izgūt sensitīvu informāciju. Jāņem gan vērā, ka uzbrucēju primārais fokuss šobrīd ir vērsts uz Ukrainu, un līdzšinējie uzbrukumi Latvijas kibertelpai veikti ar mērķi radīt troksni, iebiedēt un novērst uzmanību.

Lai arī līdz šim uzbrucēju uzmanības centrā galvenokārt ir bijis publiskais sektors, īpaša modrība jāievēro privātā sektora pārstāvjiem, kuri nodrošina produktus vai pakalpojumus valsts pārvaldes iestādēm, finanšu sektoram vai citiem nozīmīgiem uzņēmumiem un organizācijām, jo pret šiem pakalpojumu sniedzējiem var tikt vērsti kiberuzbrukumi ar mērķi iegūt piekļuvi klientu informācijai un infrastruktūrai (tā sauktie piegādes ķēžu uzbrukumi).

Latvijas iestādēm un uzņēmumiem jārēķinās arī ar to, ka kiberuzbrukumi ir atkārtoti izmantojami pret daudziem mērķiem, un pret Ukrainu vērsts uzbrukums, piemēram, ar līdz šim nezināmu (0-day) ievainojamību plaši izplatītā programmatūrā varētu tikt izmantots arī pret mērķiem Latvijā. Lai pasargātu savu infrastruktūru, aicinām iepazīties ar CERT.LV publicētajiem ieteikumiem un incidenta gadījumā sazināties ar CERT.LV komandu.

Savukārt iedzīvotājiem jāievēro ierastā piesardzība, jo arī šajos apstākļos atrodas krāpnieki, kas cenšas izmantot iedzīvotāju satraukumu un bažas, lai ar provokatīviem vai satraucošiem paziņojumiem izkrāptu finanšu līdzekļus un pieejas sociālo tīklu kontiem. Lai pasargātu savus kontus, CERT.LV aicina uzstādīt divu faktoru autentifikāciju visur, kur tas vien ir iespējams, kā arī izmantot CERT.LV bezmaksas risinājumu DNS ugunsmūris (uzstādīšanas un izmantošanas informācija vietnē https://dnsmuris.lv/).

Pamanāmāko incidentu apskats

9. februārī tika saņemta informācija par plašu krāpnieciskas ziņas izplatību lietotnē Signal, kurā it kā Signal vārdā tika paziņots par laimestu. Ziņojuma saņēmējs laimesta iegūšanai tika aicināts atvērt ziņojumā iekļauto saiti. Atverot saiti, lietotājam tika parādīta izlozes simulācija, paziņojums par veiksmi izlozē un aicinājums ievadīt maksājumu kartes datus it kā laimesta saņemšanai. Ticamības palielināšanai vietnē tika simulēta komentāru sadaļa, kurā tika ievietotas arvien jaunas atsauksmes no fiktīviem lietotājiem, kas it kā ir saņēmuši savus laimestus. CERT.LV saņemtajos incidenta pieteikumos Signal ziņas tika sūtīta no numuriem ar valsts kodu "+7" (Abhāzija, Kazahstāna, Krievija), savukārt izmantotie pilsētu/ mobilo operatoru kodi norādīja uz Krievijas mobilo operatoru BeeLine. CERT.LV aicināja, saņemot negaidītus paziņojumus īsziņās vai mobilajās lietotnēs (Whatsapp, Signal, Telegram u.c.), kas satur saiti, un, iespējams, steidzina uz rīcību, saiti vaļā nevērt un savus datus nevadīt, par šādiem sūtījumiem informēt CERT.LV, kā arī bloķēt sūtītāju.

24. februārī līdzīgā laika nogrieznī tika novēroti darbības traucējumi gan Tet digitālās TV, gan GO3 digitālās TV pakalpojumu darbībā. Tā kā šāda nejauša sakritība laikā ir ar ļoti mazu varbūtību, CERT.LV uzskata arī šos notikumus par, iespējams, koordinētiem incidentiem, kamēr nav pierādīts pretējais. Abi pakalpojumu sniedzēji spēja atjaunot pakalpojumu pieejamību 1-2 stundu laikā. Pēdējā informācija par Tet digitālās TV pakalpojuma atteici liecina, ka incidents ir bijis vairāku apstākļu sakritība, kuru pamatcēlonis nav ārēja iejaukšanās.

25. februārī vairāku iestāžu darbinieki Latvijā saņēma krāpnieciskus e-pastus angļu valodā, kuros tika aicināti izteikt atbalstu kādai no militārajā konfliktā iesaistītajām pusēm - Ukrainai vai Krievijai. Atbalstu bija iespējams izrādīt - pērkot balsis un tādā veidā balsojot. CERT.LV vērsa iedzīvotāju uzmanību, ka tā ir krāpšana ar mērķi iegūt lietotāju norēķinu karšu datus. Iedzīvotāji tika aicināti būt modriem, kā arī Ukrainu un tās iedzīvotājus atbalstīt, veicot ziedojumu oficiālajā ziedot.lv mājas lapā. Ja norēķinu karšu dati tomēr ievadīti šādās pikšķerēšanas vietnēs, par to nekavējoties jāinformē sava banka.

4. martā sociālajā tīklā Facebook tika izplatīti krāpnieciski paziņojumi, kuros iedzīvotāji tikai aicināti noskatīties Krievijas prezidenta uzrunu, kurā it kā tiek pausti globāla kara draudi. Viltus ziņa tika publicēta ar mērķi, lai, izmantojot sensacionālu un biedējošu saturu, izkrāptu sociālā tīkla piekļuves datus. CERT.LV aicināja par šādiem ierakstiem ziņot Facebook administrācijai, kā arī uzstādīt Facebook (un arī citiem kontiem) vairāku faktoru autentifikāciju, lai apgrūtinātu kontu pārņemšanu, ja uzbrucējiem tomēr izdotos uzzināt konta paroli.

Kopsavilkums

Šobrīd situācija Latvijas kibertelpā tiek veiksmīgi kontrolēta. CERT.LV sadarbībā ar partneriem turpina uzraudzīt tajā notiekošo. Ir tikušas sniegtas papildu konsultācijas kiberdrošības jautājumos un nodrošināts regulārs atbalsts gan valsts un pašvaldību iestādēm, gan kritiskās infrastruktūras uzņēmumiem. Līdz šim sekmīgi uzbrukumi valsts un kritiskās infrastruktūras sektorā ir notikuši ar zemu un īslaicīgu ietekmi.

CERT.LV ir sagatavojusi:

- ieteikumus ikviena uzņēmuma un organizācijas kiberdrošības stiprināšanai saasinātas ģeopolitiskās situācijas apstākļos
https://cert.lv/lv/2022/02/cert-lv-ieteikumi-saasinoties-geopolitiskajai-situacijai-eiropa-un-pieaugot-kiberdraudiem

- rekomendācijas organizācijām, kuras uztur savas Autonomās Sistēmas
https://cert.lv/lv/2022/02/rekomendacijas-organizacijam-kuras-uztur-savas-autonomas-sistemas

- aicinājums organizācijām, kuras uztur savas autonomās sistēmas (Border Gateway Protocol), aktualizēt savu informāciju Latvijas IP adrešu sarakstā
https://www.nic.lv/lv/aktualize-savu-info-lv-ip-adresu-saraksta