Latvijas kiberdrošības un CERT.LV tehnisko aktivitāšu 2023. gada pārskats
Publicēts Latvijas kiberdrošības un CERT.LV tehnisko aktivitāšu 2023.gada pārskats (PDF).
Pārskatā iekļauta vispārpieejama informācija par CERT.LV aktivitātēm un darbības rezultātiem, neietverot ierobežotas pieejamības informāciju. Pārskatam ir tikai informatīva nozīme.
Pārskata mērķis ir sniegt Latvijas kiberdrošības pārvaldniekiem un speciālistiem operacionāli pielietojamu informāciju, analītiķiem izmantojamu apkopojumu par aizvadītā gada notikumiem Latvijas un Ziemeļeiropas reģiona kibertelpā, kā arī kiberdrošības situācijas attīstības prognozes tuvākai nākotnei.
“CERT.LV komanda, attīstot un stiprinot stratēģisko sadarbību gan nacionālajā, gan starptautiskajā līmenī un sniedzot savu ieguldījumu NATO kolektīvajā Eiropas aizsardzībā, nenogurstoši strādā, lai nodrošinātu, ka Latvija ir neparocīgs un sarežģīts mērķis kiberuzbrucējiem,” norāda CERT.LV vadītājas vietnieks Varis Teivāns.
Latvijas pieeja ir balstīta mērķtiecīgā kiberdraudu redzamības un apsteidzošas informācijas iegūšanā, tās apstrādē un reakcijā uz notiekošo gan operacionālā, gan stratēģiski politiskā līmenī. Ikviens atklātais apdraudējuma indikators nonāk centralizētā aktīvās aizsardzības infrastruktūrā - DNS ugunsmūrī, lai efektīvi pasargātu ikvienu Latvijas iedzīvotāju, uzņēmumu un organizāciju, kas izmanto CERT.LV nodrošināto aizsardzību.
CERT.LV komanda 2023. gadā par prioritāti noteica draudu medības – proaktīvas kiberuzbrucēju meklēšanas operācijas Latvijas kritiskajā infrastruktūrā, lai stiprinātu valsts nacionālajai drošībai un sabiedrībai nozīmīgu pakalpojumu sniedzēju sistēmu noturību un drošību.
Kopsavilkums
Kopš Krievijas-Ukrainas kara sākuma kiberapdraudējuma līmenis Latvijā saglabājas augsts, atsevišķām kiberuzbrukuma aktivitātēm palielinoties pat septiņkārtīgi. Tai pašā laikā situācija kibertelpā vērtējama kā stabila, un Latvijas informācijas tehnoloģiju (IT) infrastruktūra ir arvien noturīgāka pret kiberuzbrukumiem – līdz šim kiberuzbrukumi nav radījuši būtisku vai paliekošu ietekmi uz sabiedrību, tās drošību un svarīgajiem pakalpojumiem.
Tomēr satraucoši ir CERT.LV draudu medību operācijās iegūtie secinājumi, ka gandrīz trešajā daļā gadījumu publiskā sektora mērķa iestādes ir lielākā vai mazākā apjomā cietušas no kiberuzbrukumiem, kas saistīti ar citām valstīm (arī Krieviju).
Tas vēlreiz apstiprina, ka valstī nepieciešama minimālo kiberdrošības prasību ievērošanas uzraudzība, kā arī viegli pieejami efektīvi kiberdrošības pakalpojumi un informācijas un komunikāciju tehnoloģiju drošības telemetrijas apstrāde, kas kvalitatīvi un atbilstoši aktuālajiem izaicinājumiem spētu atbalstīt publiskā sektora tehniskos un cilvēkresursus pret aizvien pieaugošiem kiberdraudiem. Ar CERT.LV nodrošināto bezmaksas pakalpojumu klāstu aicinām iepazīties plašāk - https://www.cert.lv/pakalpojumi.
Draudu medību operācijas - proaktīvu kiberuzbrucēju meklēšanu – CERT.LV saviem spēkiem un sadarbībā ar partnervalstīm Latvijas informācijas tehnoloģiju kritiskajā infrastruktūrā un citās prioritārās organizācijās veic kopš 2022. gada.
Līdz 2023.gada beigām analizētas vairāk nekā 100 000 iekārtas 25 organizācijās - Latvija ir līderis draudu medību operāciju organizēšanā un vadīšanā Eiropas Savienībā (ES). Trešdaļā organizāciju ar augstu ticamību identificēta citu valstu iebrucēju (APT) klātbūtne, veikta identificētās uzbrucēja klātbūtnes likvidēšana, kā arī atklāti citi būtiski apdraudējumi, kurus mērķa organizācijām bija iespēja novērst, pieņemot datos balstītus lēmumus.
Lai piekļūtu valsts iestāžu un IT kritiskās infrastruktūras resursiem, citu valstu atbalstīti uzbrucēji izmantojuši dažādas ielaušanās mēģinājumu metodes: pielietota autentifikācijas līdzekļu piemeklēšana, publiski zināmu ievainojamību izmantošana, tīmekļvietņu kompromitēšana, VPN un e-pasta vārteju kompromitēšana, pikšķerēšana un mērķēta ļaunatūras piegāde ar e-pasta starpniecību. Vairāk nekā piecos gadījumos sākotnējo piekļuvi uzbrucējs realizēja, kompromitējot IT atbalsta, programmatūras izstrādes vai apsardzes pakalpojumu sniedzējus privātā sektorā, lai pēc tam izmantotu iespēju piekļūt organizāciju klientu korporatīvajiem tīkliem un informācijas sistēmām. Bieži kompromitētas publiskā tīklā eksponētas, nedroši konfigurētas tīmekļvietnes vai informācijas sistēmas, attālinātās vadības pakalpojumi (RDP) un ļaunatūra piegādāta e-pastā.
Uzbrucēji pēc sākotnējās piekļuves iegūšanas visbiežāk centušies izvērst savu klātbūtni korporatīvā tīklā un kompromitēt Windows aktīvās direktorijas infrastruktūru, lai gūtu pēc iespējas plašāku kontroli. Tieši uzbrukuma sākotnējā fāzē uzbrucēja darbības ir neuzmanīgākas, pamanāmākas, un vieglāk novēršamas, tāpēc ir kritiski svarīga centralizēta un efektīva korporatīvā tīkla, serveru un visa drošības perimetra telemetrijas apkopošana un apstrāde. Lai efektīvi pasargātu organizāciju informācijas tehnoloģiju infrastruktūru, CERT.LV piedāvā Informācijas tehnoloģiju drošības likuma subjektiem plašu kiberdrošības pakalpojumu klāstu.
Politiski motivēti pakalpojumu atteices uzbrukumi (DDoS), ko veic Krieviju atbalstošo haktīvistu grupējumi, turpinās viļņveidīgi un ir mērķēti pret Latvijas valsts pārvaldi un specifisku nozaru uzņēmumiem. Sekmīgo uzbrukumu īpatsvars samazinās - tas liecina par Latvijas informācijas tehnoloģiju infrastruktūras gatavību, Aizsardzības ministrijas finansētā centralizētā aizsardzības pakalpojuma efektivitāti un elektronisko sakaru operatoru spēju nodrošināt pakalpojumus ilgstoša ārēja uzbrukuma režīmā. Būtiski nepieļaut Latvijas IT infrastruktūras iesaistīšanu kiberuzbrukumos un uzbrukuma iespējas no valsts iekšienes, jo ar Krieviju saistīti telekomunikāciju uzņēmumi apzināti veido klātesamību Latvijā un citās ES dalībvalstīs.
Finansiāli motivētos uzbrukumos turpina aktīvi izmantot pikšķerēšanu, kā arī dažādas krāpnieciskas investīciju platformas, izkrāpjot no Latvijas iedzīvotājiem vairāk nekā 1 milj. eiro katru mēnesi. Pret uzņēmumiem turpinās darījumu sarakstes kompromitēšanas uzbrukumi, piekļūstot uzņēmuma e-pasta sarakstei un reālos darījumos piesūtot rēķinus ar mainītiem maksājumu rekvizītiem.
Ilgstoši krāpnieki saziņai lietoja krievu valodu, taču gada beigās konstatētas kampaņas ar saziņu nevainojamā latviešu valodā gan balss, gan rakstiskā formā. Sagaidāms, ka uzbrucēji arvien plašāk pielietos jauno tehnoloģiju, tai skaitā “mākslīgā intelekta” / lielo valodu modeļu rīku iespējas krāpšanas satura un valodas kvalitātes uzlabošanai, balss un attēla viltošanai, dezinformācijas un cita maldinoša materiāla veidošanai.
Ievainojamības un ietekmējamas IT sistēmas ir pieaugošs risks, ko ietekmē jaunatklātās kritiskās ievainojamības, nepareiza IT sistēmu konfigurācija, kā arī novecojuši IT risinājumi. Spējīgākie uzbrucēji kļūst arvien ātrāki, pielietojot jaunatklātās ievainojamības plašā mērogā jau 1-2 dienu laikā kopš to izziņošanas. Pret organizācijām ar augstu drošības līmeni novēroti piegādes ķēžu uzbrukumi – piekļuvi mērķim iegūst, veicot uzbrukumus programmatūras izstrādātājiem u.c. ārpakalpojumu sniedzējiem.
Ņemot vērā Ukrainas pieredzi pilna mēroga karā ar agresorvalsti Krieviju, CERT.LV komanda ir veikusi virkni dažādu kontrolētas ielaušanās mēģinājumu un ievainojamību apzināšanas pasākumus Latvijas IP adrešu apgabalos un .lv domēnu zonā, lai identificētu ievainojamas sistēmas pirms to ir izdarījis uzbrucējs. Veikta arī publiski eksponētu un ievainojamu novērošanas kameru meklēšana, atrodot vairāk nekā 200 iekārtas objektos, kuru nesankcionēta vai pat publiska videonovērošana nav vēlama.
Izveidota koordinētas ievainojamību atklāšanas platforma cvd.cert.lv, kas sekmīgi kalpo kā saziņas tilts starp kiberdrošības pētniekiem (baltajiem hakeriem) un Latvijas iestādēm un uzņēmumiem.
Pārskata periodā CERT.LV veica 16 liela apjoma IT drošības testus un vairākas kontrolētu uzbrukumu simulācijas, kuru gaitā tika atrastas un novērstas vairākas būtiskas ievainojamības. Veicot automatizētu drošības skenēšanu vairāk nekā 2 700 .gov.lv zonas domēnos, tika identificēti vairāki desmiti resursu ar novecojušām versijām, kas satur publiski zināmas ievainojamības. CERT.LV pakalpojumu ietvaros veiktas pikšķerēšanas uzbrukumu simulācijas, testēta vairāk nekā 8 000 valsts pārvaldes iestāžu darbinieku modrība un mērķa iestāžu spēja identificēt datu noplūdes.
Operacionālo tīklu (OT) un industriālās kontroles sistēmu drošības pētniecības ietvaros pārbaudīta enerģētikas un transporta operacionālo sistēmu drošība. Analizējot pielietotos protokolus, signalizācijas un veicot industriālās vadības sistēmu programmatūras reverso inženieriju, gūtas jaunas atziņas un identificēti drošības riski. Pārbaudēs konstatēti iepriekš neidentificēti drošības riski, taču tie visi ir kontrolējami, ieviešot atbilstošas procedūras.
Uzsākts projekts pie OT sensoru izveides, un izveidots Latvijā pirmais OT Drošības operāciju centrs, kas nodrošinās nepieciešamo kompetenci un atbalstu valsts kritiskās IT infrastruktūras turētājiem.
DNS ugunsmūris - aktīvās aizsardzības risinājums - pasargā no krāpniecisku vietņu un ļaunprātīgi reģistrētu domēna vārdu apmeklēšanas, to bez maksas nodrošina CERT.LV un NIC.LV. Salīdzinot ar 2022. gadu, pakalpojuma lietošana pieaugusi 5 reizes, mēnesī apstrādājot 1,5 miljonus DNS pieprasījumu. 2023. gada 4. ceturksnī apmēram pusmiljons reižu pakalpojums ir pasargājis lietotājus (unikālos) no ļaundabīgu vietņu apmeklēšanas. 2024. gada rudenī ir paredzēts nodrošināt DNS ugunsmūra mobilās lietotnes “Apple” iOS un “Android” mobilo ierīču lietotājiem.