За перше півріччя 2021 року Системою виявлення вразливостей і реагування на кіберінциденти та кібератаки зафіксовано більше 50 млн підозрілих подій. Фахівці Держспецзв’язку заблокували понад 1,7 млн мережевих атак прикладного рівня на державні органи.
За цей самий період Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA зареєструвала та опрацювала близько 100 тисяч кіберінцидентів, більшість з них – поширення шкідливого програмного забезпечення та фішинг.
Припинені понад 400 DoS і DDoS-атак, спрямованих на державні органи. З них 26% (107 атак) були здійснені (тільки або зокрема) з використанням ІР-адрес РФ. Близько 100 з них – на вебсайт Служби безпеки України.
Значна частина кібератак на Україну має високу складність і потребує ретельної підготовки та ресурсів. Зазвичай сукупність цих чинників свідчить про наближеність хакерів до державних структур або пряме підпорядкування цим структурам.
Ось кілька світових тенденцій, що характеризують DDoS-атаки:
- Більша частота нападів високої інтенсивності. Із загальним збільшенням доступної пропускної спроможності мережі, кіберзлочинці дедалі частіше націлюють на жертв атаки високої інтенсивності.
- Атаки посилення/ампліфікації DNS і NTP — найпоширеніші вектори атак у 2020 році. Цей вид атак використовує специфіку роботи сервісу DNS в мережі Інтернет, коли надсилають запит даних про домен на публічний DNS-сервер і спрямовують його відповідь на атакований сервер.
- Піки активності відображають періоди локдаунів COVID-19. Було встановлено, що трафік атак відображав основні весняні та осінні блокування, що мали місце в США та Європі.
- «Килимове бомбардування» зростає — спостерігається чітка тенденція до більших, скоординованих атак з різних джерел до динамічно змінюваних хостів у цільовій мережі. Раніше цей тип нападу спостерігався у важких, але поодиноких випадках, але зараз ця діяльність є більш послідовною і стійкою.
У лютому зловмисники почали використовувати відносно новий механізм кібератак на сайти сектору безпеки й оборони України, щоб заблокувати їх роботу. Під час атаки вразливі вебсервери та робочі станції державних органів інфікує вірус, який робить їх елементом ботмережі для DDOS-атак на інші ресурси. Системи безпеки інтернет-провайдерів визначають скомпрометовані вебсервери та робочі станції як джерела атак та автоматично вносять їх до «чорних списків». Таким чином, навіть після закінчення фази DDoS атаковані вебсайти залишаються недоступними для відвідувачів.
За результатами опрацювання кіберінцидентів – дослідження зразків коду і обставин справи – фахівці Держспецзв’язку створюють унікальні індикатори компрометації та розміщують їх на платформі обміну інформацією про шкідливе програмне забезпечення (MISP). До неї мають доступ усі суб’єкти кібербезпеки України, державні органи та інші організації.
Крім того, команда CERT-UA розробляє та поширює на вебресурсах Держспецзв’язку рекомендації, як протистояти сучасним видам кібератак і кіберзагроз, публікує алгоритми відповідних дій, як запобігати, локалізувати і усувати наслідки певних видів атак.
Джерело: Державна служба спеціального зв’язку та захисту інформації України