2023.gads Latvijas kibertelpā
Kopš Krievijas kara sākuma Ukrainā kiberapdraudējumu līmenis Latvijas kibertelpā noteikts kā augsts, un tāds tas saglabājās arī pērn, kaut arī kopējā situācija 2023.gada ietvaros vērtējama kā stabila un bez būtiskas ietekmes kiber-incidentiem. Vēl vairāk –pagājušais gads atnesis arī vairākas visnotaļ pozitīvas ziņas un notikumus, starp kuriem ir gan Latvijas kiberdrošības stratēģijas līdz 2026.gadam apstiprināšana, gan Latvijas iekļūšana TOP5 pasaules valstu vidū pēc Nacionālā kiberdrošības indeksa*, kas atspoguļo valstu gatavību novērst kiberapdraudējumus un risināt kiberincidentus.
Pie veiksmes stāstiem noteikti pieskaitāma arī Latvijas produktīvā un unikālā sadarbība ar NATO sabiedrotajiem, īstenojot kopīgas kiberdraudu medības, lai identificētu pretinieku klātbūtni Latvijas kritiskās infrastruktūras sistēmās. Šādas kopīgas operācijas notiek jau kopš 2022. gada. Savukārt Latvijas un Luksemburgas apvienotā komanda pērn 24 komandu konkurencē ieguva augsto 4.vietu pasaulē lielākajās un sarežģītākajās kiberaizsardzības mācības “Locked Shields 2023”.
2023. gadā tika uzsākta arī koordinēta ievainojamību atklāšanas procesa ieviešana valsts pārvaldē, paredzot iespēju iestādēm brīvprātīgi reģistrēt savus resursus CERT.LV uzturētajā ievainojamību ziņošanas platformā - https://cvd.cert.lv/.
Pie ēnas pusēm jāmin gan pagājušajā gadā konstatētais apjomīgais kritisko ievainojamību skaits pasaulē un arī Latvijā plaši izmantotās iekārtās un programmatūrās, gan arī ap mākslīgā intelekta rīkiem un iespējām radītā ažiotāža un straujais popularitātes pieaugums, ko savā labā izmantoja arī ļaundari – ar viltus ChatGPT lietotņu palīdzību inficējot Windows un Android iekārtas. CERT.LV publicēja arī ieteikumus drošai mākslīgā intelekta rīku izmantošanai.
Tāpat nepatīkamas sajūtas lielai daļai Latvijas sabiedrības pagājušā gada rudenī izraisīja simtiem e-pastu par spridzināšanas draudiem, kas tika izsūtīti gan Latvijas skolām un bērnudārziem, gan citām publiskā sektora iestādēm. Līdzīgas vēstules saņēma arī iestādes Lietuvā un Igaunijā. Valsts policija, izvērtējot vēstules un kopējo situāciju, draudu līmeni valstī noteica kā zemu.
Ar citām pagājušā gada kibertelpas aktualitātēm un tendencēm aicinām iepazīties tālāk rakstā.
Politiski motivēti DDoS uzbrukumi
Visa gada garumā ar lielāku vai mazāku intensitāti turpinājās Krievijas agresīvo režīmu atbalstošu haktīvistu grupējumu veikti piekļuves atteices jeb DDoS uzbrukumi gan valsts pārvaldes infrastruktūrai, gan arī finanšu, enerģētikas, transporta un telekomunikāciju nozares uzņēmumiem, turklāt bieži mērķi tika izvēlēti kā atbildes reakcija politiskiem lēmumiem un izteikumiem. Taču, atšķirībā no iepriekšējā gada, arvien mazāk tika saņemti ziņojumi, ka uzbrukumi būtu bijuši sekmīgi. Daudzos gadījumos uzbrukumi pat netiktu pamanīti, ja vien uzbrucēji par to veikšanu nebūtu informējuši “Telegram” kanālos. Tas liecina par Latvijas infrastruktūras augsto sagatavotības pakāpi pretstāvēt šādiem uzbrukumiem.
Nemainīgi augsts ievainojamību un konfigurācijas nepilnību skaits
Būtisks izaicinājums jau vairāku gadu garumā un arī pagājušajā gadā bija dažādas jaunatklātās kritiskās ievainojamības. Tās plašā klāstā tika atklātas visdažādākajos Latvijas uzņēmumu un iestāžu izmantotajos IT produktos un sistēmās, nereti radot situāciju, kad uzbrukumiem tiek pakļauti rīki, kuru primārais uzdevums ir infrastruktūras aizsardzība, piemēram, Fortinet, F5, Juniper un citi kiberdrošības risinājumi. Kritiska ievainojamība pērn jūlijā tika atklāta arī Latvijā ražotajās un pasaulē plaši izmantotajās Mikrotik maršrutēšanas iekārtās. Daudzās jaunatklātās ievainojamības nebūt nenozīmē, ka konkrētie produkti būtu neefektīvi un būtu jāizvairās no to izmantošanas, bet gan nozīmē to, ka uzbrucēji aktīvi meklē nepilnības pēc iespējas plašāk izmantotos produktos, lai tās potenciāli pielietotu uzbrukumu veikšanā.
Ievainojamības tika atklātas arī virknē citu plaši izmantotu risinājumu, piemēram, Microsoft Exchange, Baracuda, Mozilla Thunderbird, Apple iOS, Android, dažādās satura vadības sistēmās u.c. Kopumā no visiem CERT.LV identificētajiem ievainojamu iekārtu gadījumiem 63% bija saistīti ar kritiskām ievainojamībām iekārtās, kas nereti ietver iespēju uzbrucējam attālināti vai patvaļīgi izpildīt kodu ievainojamajā iekārtā, tādējādi radot nopietnas sekas un apdraudot visu infrastruktūru. No jaunu ievainojamību atklāšanas nav pasargāta neviena sistēma vai produkts, tādēļ ļoti būtiski ir sekot ražotāju publicētajai informācijai par ievainojamībām un pēc iespējās ātrāk uzstādīt publicētos atjauninājumus vai ieviest rekomendācijas apdraudējuma novēršanai, ja atjauninājumi uzreiz nav pieejami. Uzbrucēji maksimāli ātri cenšas pielietot jaunatklātās ievainojamības reālos uzbrukumos, tādēļ laiks, lai uzņēmums vai iestāde reaģētu uz jaunatklātām ievainojamībām, mērāms dažās dienās. Taču praksē, analizējot incidentus, nācās saskarties ar situācijām, kad kompromitētās iekārtas vai sistēmas nav tikušas atjauninātas nedēļām vai pat mēnešiem ilgi.
Vairākos gadījumos, kad uzbrukumi izrādījās sekmīgi, tika konstatēts arī, ka pamata sistēmai atjauninājumi ir tikuši uzstādīti, bet testa vide vai rezerves sistēma ir tikusi aizmirsta. Nepieciešamība pārzināt visas uzņēmumā vai iestādē izmantojamās sistēmas var likties pašsaprotama, taču praksē ne vienmēr tā izrādījās realitāte.
Vājā vieta kiberaizsardzībā nereti izrādījās arī sistēmas un projekti, kuru dzīves cikls ir beidzies, un tie vairs nav aktuāli vai ir tikuši aizstāti ar jaunāku risinājumu, attiecīgi vairs netiek pienācīgi uzturēti un atjaunināti, bet nav likvidēti vai atslēgti, tādējādi sniedzot uzbrucējiem piekļuvi korporatīvajam tīklam.
Situācijās, kad uzbrucējiem bija izdevies piekļūt iestādes vai uzņēmuma resursiem, incidenta efektīvā novēršanā un ietekmes mazināšanā kritiska bija tīkla iepriekšēja sagatavošana pilnīgas pārredzamības nodrošināšanai un tīkla plūsmas analīzei. Tas sniedza iespēju identificēt potenciāli ļaundabīgas darbības, pat neskatoties uz to, ka uzbrucēji aktīvi centās izmantot visas iebūvētās “Windows” funkcijas, lai slēptu savu klātbūtni no antivīrusiem un citām aizsardzības sistēmām un pārvietotos tīklā pēc iespējas nemanāmāk (Living off the Land Attack). Taču nepietiek tikai ar IDS/EDR (Intrusion Detection System/ Endpoint Detection and Response) risinājumu uzstādīšanu, nepieciešama to atbilstoša konfigurācija, darbības monitorings un iegūto rezultātu analīze. Tam, savukārt, nepieciešams kvalificēts personāls un regulāra personāla apmācība.
Pēdējo divu gadu laikā nereti tika novērotas arī situācijas, kad uzņēmums vai iestāde bija parūpējušies par savu sistēmu drošību, taču uzbrucējs bija veiksmīgi piekļuvis resursiem, izmantojot izstrādātājus, kuru drošības standarti izrādījās nepietiekami, piemēram, nodrošinot augsta līmeņa piekļuvi klienta resursiem no izstrādātāja IP adresēm bez papildu aizsardzības, nenodalot izstrādes vidi no produkcijas vides.
Interneta krāpnieki turpina paplašināt savu “ieroču” arsenālu
2023. gadā CERT.LV reģistrēto apdraudēto unikālo IP adrešu skaits apdraudējumu veidā “Krāpšana” palielinājies gandrīz trīskārtīgi. Savukārt Finanšu nozares asociācijas apkopotā statistika liecina, ka pērn četru Latvijā lielāko komercbanku klientiem dažādās krāpšanas kampaņās nozagti līdzekļi 12,7 miljonu eiro apmērā, kas ir par 0,7 miljoniem vairāk nekā 2022.gadā.
Dažādu krāpniecisku operāciju veicēji, cenšoties iegūt iedzīvotāju personas datus un maksājumu karšu informāciju, paplašināja savu arsenālu. Kā viena no populārākajām krāpnieku izmantotajām kombinācijām bija smikšķerēšanas īsziņas un pikšķerēšanas e-pasti dažādu pasta un kurjerpakalpojumu sniedzēju vārdā, izplatot aicinājumu apmeklēt šo pasta pakalpojumu sniedzēju vietnes, lai precizētu piegādes adresi, apmaksātu muitu vai veiktu citas darbības. Pie CERT.LV ir vērsušies vairāki simti šāda veida krāpšanu upuru, kas tajās zaudējuši no dažiem desmitiem, līdz vairākiem desmitiem tūkstošu eiro. Lielākās summas zaudējuši tie, kas paši apstiprinājuši internetbankas piekļuvi.
Kā jauna tendence 2023. gadā paralēli klasiskajiem datu izkrāpšanas jeb pikšķerēšanas e-pastiem tika fiksētas viltus īsziņas, kurās, izmantojot alfanumeriskos sūtītājus (vārdisku SMS sūtītāja identifikatoru izmantošana nevis numurs), krāpnieki uzdevās par “Latvijas Pasts” elieta.lv, eds.vid.gov.lv, latvija.lv un citu valsts iestāžu vietnēm, tādējādi maldinot saņēmēju un radot apjukumu. Tāpat krāpnieki veica telefona zvanus, uzdodoties par Valsts policijas, “Google”, “Citadele banka” un citu, dažreiz arī neeksistējošu organizāciju, piemēram, Centrālās bankas, Kriptovalūtu kontroles dienesta, pārstāvjiem.
Kaimiņvalstīs, Lietuvā un Somijā, alfanumerisko identifikatoru izmantošana tika ierobežota likumā noteiktajā kārtībā, atļaujot izmantot tikai iepriekš saskaņotus alfanumeriskos identifikatorus. Latvijā šī jautājuma risināšana joprojām turpinās.
Krāpnieki veica arī video zvanus un pēcāk izmantoja balss un video viltošanu, lai radītu safabricētu kompromitējošu materiālu un no upura izspiestu maksājumu par šī materiāla neizplatīšanu.
Krāpnieki centās rūpīgi aizsargāt savu identitāti, cenšoties noslēpt informāciju par izmantoto programmatūru, kā arī izvairīties no drošības pētniekiem un analītiskajiem rīkiem, pārbaudot, no kurienes apmeklētājs nonācis krāpnieciskajā vietnē, piemēram, nerādot krāpnieciskas vietnes saturu, ja saite uz vietni tiek izplatīta ar “Facebook” reklāmu palīdzību, bet vietne tikusi atvērta kādā citā veidā, kā arī krāpnieciskajās vietnēs sniedzot piekļuvi tikai ar kodu. Tas mazina krāpniecisko vietņu atklāšanas un aizvēršanas risku. Izsūtot pikšķerēšanas e-pastus, uzbrucēji centās apiet DKIM, DMARK un SPF, izmantojot to, ka daļa e-pasta sistēmu nepārbauda apakšdomēnu atbilstību DMARK un DKIM.
Biežākie veiksmīgu uzbrukumu cēloņi bija:
- atteikšanās no drošības par labu ērtībai, izvēloties vienkāršas paroles vai arī vienu paroli vairākiem resursiem;
- nezināšanas dēļ vai ērtības labad resursu papildu aizsardzībai netika izmantota divu faktoru autentifikācija, kas būtu pasargājusi no konta pārņemšanas, pat ja uzbrucējs būtu ieguvis paroli;
- apstākļi, kuri paaugstina kļūdīšanās iespējamību - steiga, nogurums, neparasta situācija, procedūru neesamība vai to nepārzināšana, mazs ekrāns - mazināja analītisku pieeju situācijai un palielināja iespējamību, ka uzbrukums netiks atpazīts.
Lai pasargātu no krāpniecisku vietņu apmeklēšanas, rekomendējam izmantot CERT.LV un NIC.LV nodrošinātu efektīvu aktīvo aizsardzību – DNS ugunsmūri, kas bez maksas ir pieejams ikvienam Latvijas iedzīvotājam, uzņēmumam un organizācijai. DNS ugunsmūris ik dienu tiek papildināts ar kaitīgiem domēnvārdiem, kurus iesūtījuši Latvijas iedzīvotāji un identificējusi CERT.LV komanda, tādējādi pasargājot DNS ugunsmūra lietotājus no kiberapdraudējumiem.
2023. gadā DNS ugunsmūris apstrādāja aptuveni 1,5 miljonus DNS pieprasījumu katru mēnesi. Turklāt 4. ceturksnī tika sasniegts jauns rekords – DNS ugunsmūra unikālie lietotāji tika pasargāti no kaitīgām saitēm, vīrusiem un ļaunprātīgi veidotu tīmekļa vietņu apmeklēšanas 467 888 reizes, kas ir par 521% vairāk nekā 2022. gada attiecīgajā laika periodā.
Draudu medību operācijas Latvijas kibertelpas stiprināšanā
Kopš 2022. gada CERT.LV Latvijā izvērš plaša mēroga draudu medību operācijas valsts iestādēs, KI (kritiskās infrastruktūras) objektos un citās institūcijās, kuras sadarbībā ar valsts drošības iestādēm ir tikušas identificētas kā potenciālie kiberuzbrucēju mērķi.
Draudu medības jeb kiberdraudu meklēšanas operācijas ir kiberaizsardzības operāciju veids, un notiek ar mērķi novērtēt vispārējo informācijas un komunikāciju tehnoloģijas (IKT) infrastruktūras kiberdrošības līmeni, kā arī lai atklātu, uzraudzītu un analizētu ļaunprātīgas darbības uzraugāmajos tīklos.
Latvija ir līderis draudu medību operāciju organizēšanā un vadīšanā Eiropas Savienībā. No Latvijas ekspertiem mācās un gūst jaunu pieredzi arī citas Eiropas valstis un NATO partnervalstis. Liels nopelns veiksmīgo rezultātu sasniegšanā ir efektīvai sadarbībai ar valsts pārvaldes infrastruktūras pārstāvjiem, kā arī drošības iestādēm Latvijā.
Līdz 2023. gada beigām draudu medību operāciju ietvaros ir veikta vairāk nekā 100 000 gala iekārtu analīze 25 organizācijās, kuras rezultātā identificēti un no mērķa infrastruktūras neitralizēti ar Krieviju saistītie APT grupējumi, kas iesaistās kiberietekmes kampaņās, kā arī Ķīnas atbalstītie un citi komerciāli motivēti kiberuzbrucēji / apdraudējumi.
Atsevišķos gadījumos ir konstatēts, ka sākotnējo infrastruktūras kompromitēšanu ir veikuši komerciāli motivēti kiberuzbrucēji, kas pēcāk piekļuvi ir pārdevuši jau valsts atbalstītu kiberoperāciju veicējiem.
Kas sagaidāms 2024. gadā
Tuvākajā nākotnē nav sagaidāma kritisko ievainojamību ietekmes mazināšanās. Uzbrucēji centīsies iegūt apsteidzošu informāciju par jaunatklātām ievainojamībām, lai tās izmantotu uzbrukumu veikšanai. Kiberaizsardzībā lielu lomu spēlēs ne tikai reakcijas ātrums ielāpu uzstādīšanā, bet arī labās prakses ievērošana iekārtu uzstādīšanā un konfigurācijā. Uzbrucēji nelaidīs garām iespēju izmantot konfigurācijas nepilnības un trūkumus, lai piekļūtu mērķa sistēmām.
Piegāžu ķēžu uzbrukumi saglabās aktualitāti
Iestādēm un uzņēmumiem būs rūpīgi jāseko, lai kiberdrošības labā prakse tiktu ievērota ne tikai pašu infrastruktūrā, bet arī no piegādātāju puses, jo piegāžu ķēžu uzbrukumi saglabās aktualitāti. Rekomendējam zero-trust pieeju, kas sniegtu kontrolētu piekļuvi resursiem tikai tad un tikai tādā apjomā, kā tas ir nepieciešams, izmantot arī attiecībā uz piegādes ķēdēm.
Par uzbrucēju mērķi varētu kļūt arī atvērtā koda bibliotēkas un dažādi programmatūras izstrādātāji vai pakalpojumu sniedzēji. Kā produkts no kiberuzbrucēju puses varētu tikt piedāvāta pilna piekļuve pie šo izstrādātāju vai pakalpojumu sniedzēju produktiem, tādējādi nodrošinot piegāžu ķēžu uzbrukumus kā pakalpojumu.
Izmaiņas likumdošanā paredzēs nopietnāku pievēršanos kiberdrošībai
No rudens spēkā stāsies būtiski paplašinātā Eiropas Parlamenta un Padomes direktīva, ar ko paredz pasākumus nolūkā panākt vienādi augsta līmeņa kiberdrošību visā Savienībā (NIS2 direktīva), kas palielinās nozaru skaitu, kam jāievēro jaunie noteikumi. Direktīva paredz atbilstošu drošības pasākumu ieviešanu uzņēmumos un iestādēs, darbinieku apmācību, regulāras drošības pārbaudes un auditus, pastāvīgu sistēmu uzraudzību un novērošanu, kā arī atbilstošas dokumentācijas izstrādi un ziņojumu sagatavošanu, to iesniegšanu uzraudzības iestādei. Tas prasīs gan papildu finanšu resursu, gan cilvēkresursu piesaisti.
Mākslīgā intelekta iespējas un izaicinājumi
Lielu tīklu un infrastruktūras aizsardzībai talkā nāks mašīnmācīšanās un AI/LLM (Large Language Model) risinājumi, kas palīdzēs potenciālo risku identificēšanā un atvairīšanā vai mazināšanā, izmantojot reālā laika anomāliju identifikāciju un automatizētus incidentu apstrādes mehānismus.
AI/LLM rīkus centīsies izmantot arī uzbrucēji. Veicot uzbrukumu, tie potenciāli varētu izmantot AI/LLM risinājumus, lai reāllaikā analizētu un reaģētu uz upura izmantotajām kiberaizsardzības metodēm. AI/LLM tiks piedāvāts arī kā pakalpojums, sniedzot uzbrucējiem plašas iespējas ātrāk un vienkāršāk sagatavot krāpnieciskus uzbrukumus personas datu un maksājumu informācijas izgūšanai, jo īpaši tas varētu atvieglot mērķētu kiberuzbrukumu (spearphishing) sagatavošanu, kas ir darbietilpīgs process. AI/LLM sniegs iespēju automatizēt arī krāpnieciskus telefona zvanus, samazinot uzbrukumu veikšanai nepieciešamo cilvēku resursu. Tas nozīmē, ka šādu krāpniecisku uzbrukumu skaits un intensitāte palielināsies un lietotājiem savu datu aizsardzībai būs jāpieliek vēl lielākas pūles.
Gada laikā paredzamā straujā AI/LLM tehnoloģiju attīstība potenciāli varētu sniegt novatoriskus tehnoloģiskus risinājumus aizsardzības spējām un efektīvākiem instrumentiem, lai cīnītos pret kiberapdraudējumiem. Raugoties nākotnē, kiberapdraudējumu atklāšanas instrumenti būs nākamais loģiskais solis, kur lielākajai daļai uzņēmumu investēt. Galu galā agrīna atklāšana un efektīvas reaģēšanas iespējas būs galvenais, lai mazinātu kiberuzbrukumu ietekmi.
Jāsaglabā modrība
Prognozējams, ka kiberuzbrukumu norisēm 2024. gadā saglabāsies līdzvērtīgi augsta intensitāte kā pērn. Paredzams, ka līdz šim novērotā pret Latvijas resursiem vērstā Krievijas agresīvo režīmu atbalstošo haktīvistu aktivitāte turpināsies, haktīvistiem balstoties uz retoriku, ka uzbrukumi tiks veikti, kamēr vien turpināsies Latvijas nelokāmais atbalsts Ukrainai un tās eiroatlantiskajai integrācijai. Paredzams, ka uzbrukumos lielāks uzsvars tiks likts uz informācijas operācijām, kurās kiberuzbrukumu elementi tiks kombinēti ar dezinformācijas kampaņām, centienos panākt redzamību un ietekmēt sabiedrības viedokli.
Lai pasargātu Latvijas kibertelpu un sabiedrotos no kiberuzbrukumiem, CERT.LV turpina monitorēt situāciju kibertelpā, akcentējot efektīvas kiberhigiēnas nozīmi valsts un uzņēmumu līmenī, kritiskās infrastruktūras kiberdrošības noturību un spēju atjaunot pakalpojumu sniegšanu pēc incidentiem. Vienlaikus ciešā sazobē ar starptautiskajiem partneriem turpinās draudu medību operācijas Latvijas kibertelpas stiprināšanā.