Кількість кіберінцидентів в Україні зросла майже втричі порівняно з 2022 роком. Це пов’язано як з покращенням рівня інформування про кібератаки, так і з безпосередньою активізацією ворожих хакерських угруповань.
Про те, як змінюються тактики ворога та які нові сервіси захисту пропонує держава, розповів фахівець національної команди реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA Євген Бриксін під час Kyiv International Cyber Resilience Forum.
Сьогодні кібератаки на українську інфраструктуру мають три основні цілі: кібершпигунство, фінансові злочини та деструктивні операції (саботаж та знищення даних). Щоб ефективно протидіяти цим загрозам, CERT-UA здійснює постійну кластеризацію ворожих груп за їхніми тактиками, техніками та процедурами.
Ключові ворожі угруповання та зміна їхніх тактик
Фахівець CERT-UA детально зупинився на методах роботи найбільш активних хакерських груп:
- UAC-0010 (Gamaredon): одне з найактивніших угруповань, що спеціалізується на кібершпигунстві. Щодня вони викрадають близько 100 тисяч файлів з комп'ютерів українців. Група використовує легітимні інструменти Windows для зараження та має надзвичайно динамічну інфраструктуру управління – їхні IP-адреси можуть змінюватися кожні 5 – 15 хвилин та публікуватись в Telegram-каналах, звідки вони автоматично зчитуються інструментами угруповання. Стандартне «очищення» антивірусом у таких випадках не працює;
- UAC-0001 (APT28): група відрізняється блискавичною швидкістю експлуатації нових вразливостей. Зафіксовано випадки, коли шкідливі документи для використання вразливості Microsoft Office створювалися вже наступного дня після її офіційної публікації виробником, атакуючи системи, які не встигли оновитися;
- Sandworm: спеціалізуються на деструктивних операціях проти енергетики, ЗМІ, логістики та держсектору. Проте аналіз показує, що найчастіше успіх їхніх атак базується на базових проблемах безпеки організацій – незахищеному периметрі, відкритих портах та залишених без нагляду серверах.
Фахівці фіксують зміну тактики фішингу. Замість класичних електронних листів зловмисники дедалі частіше телефонують жертвам через месенджери (Signal, WhatsApp), представляючись керівництвом. Є підозри щодо використання технологій штучного інтелекту для генерації голосу під час таких дзвінків.
Сьогодні CERT-UA не просто фіксує та аналізує інциденти, а надає повний цикл консалтингу та практичної допомоги. Серед ключових ініціатив:
- автоматизований пошук відкритих портів та вразливих сервісів організацій у мережі Інтернет з подальшим попередженням власників ще до того, як цим скористаються хакери;
- автоматизація обміну індикаторами компрометації (MISP). Для організацій, що не мають складних SIEM-систем, CERT-UA розробив спеціальні конектори для популярних мережевих екранів, що дозволяє автоматично оновлювати правила блокування;
- інструкції з «харднінгу» (Hardening): CERT-UA активно поширює покрокові інструкції щодо налаштування безпеки операційних систем, відключення непотрібних легітимних утиліт, якими користуються хакери, та правильної архітектури мереж.
CERT-UA закликає представників державних органів та об'єктів критичної інфраструктури активно взаємодіяти з національними сервісами кіберзахисту.
