CERT.LV publiskotajā pārskatā izcelti nozīmīgākie incidenti IT drošības jomā, iezīmējot gada tendences un dažādas bīstamības incidentu risināšanas modeļus.
1. Piekļuves lieguma uzbrukumi (DoS un DDoS)
Pārskats informē, ka pandēmijas ietekmē pastiprinātu noslodzi piedzīvoja vairākas populāras tīmekļa vietnes, piemēram, www.spkc.gov.lv, www.e-klase.lv, www.eveseliba.gov.lv, kā arī www.latvija.lv lietotāju autentifikācijas modulis. Visi darbības traucējumi bija leģitīmi, proti, netika konstatētas ārējas ietekmes.
No septembra gan Latvijā, gan citviet Eiropā kļuva aktuāli naudas izspiešanas mēģinājumi, kas galvenokārt tika vērsti pret finanšu institūcijām un citiem privātā sektora uzņēmumiem. Uzbrucēji, draudot apturēt uzņēmuma tīmekļa vietnes vai citu resursu darbību ar uzbrukumu līdz pat 2 Tb/s, ja netiks veikta izpirkuma samaksa, īstenoja testa uzbrukumu sērijas. Kaut gan īslaicīgi (atsevišķos gadījumos tie ilga vairākas dienas, bet visbiežāk mazāk par stundu), tie izcēlās ar lielo apjomu – līdz 180 Gb/s. Uzbrukumu rezultātā noteiktu uzņēmumu resursi un pakalpojumi vairāku stundu garumā bija pieejami ar redzamiem darbības pārtraukumiem.
Reaģējot uz situācijas nopietnību, CERT.LV publicēja rekomendācijas apdraudējumu novēršanai un aktīvai aizsardzībai pret DoS uzbrukumiem, tādējādi uzsverot, cik būtiski ir nekomunicēt ar izspiedējiem un neveikt maksājumus, lai neveicinātu šādu uzbrukumu atkārtošanos nākotnē.
2. Pikšķerēšana jeb personīgo datu izkrāpšana
Pamatojoties uz CERT.LV rīcībā esošajiem datiem, pikšķerēšanas uzbrukumi ir bijuši ļoti aktīvi visa aizvadītā gada garumā. Vairumā gadījumu kampaņas bija vērstas uz e-pasta un Office 365 piekļuves datu izkrāpšanu, kā arī banku un starptautisku maksājumu sistēmu piekļuves datu izkrāpšanu. Pārskats norāda, ka lietotāju uzmanības piesaistīšanai krāpnieciskajos e-pastos un sociālo tīklu paziņojumos periodiski tika izmantota COVID-19 tematika.
Pandēmijas laikā tika novēroti pastiprināti datu izkrāpšanas mēģinājumi, izmantojot sūtījumu piegādes pakalpojumu sniedzēju zīmolus, piemēram, Latvijas Pasts, DHL, Omniva, DPD, AliExpress. Šīs pikšķerēšanas kampaņas īpaši pastiprinājās gada nogalē, tuvojoties pirmssvētku periodam.
Augustā CERT.LV redzeslokā nonāca informācija par inovatīviem uzbrukumiem Office 365 piekļuves tiesību izkrāpšanai. Uzbrukums bija grūti pamanāms ar tehniskiem līdzekļiem, jo netika veiktas ļaundabīgas darbības upura iekārtā, bet uzbrukums tika realizēts pašā Office 365 vidē, izmantojot Microsoft aplikāciju veikalā Azure izveidotu krāpniecisku lietotni.
CERT.LV aktīvu pikšķerēšanas kampaņu izskaušanas nolūkos izplatīja informatīvus materiālus un brīdināja konkrēto pakalpojumu lietotājus būt īpaši vērīgiem un uzmanīgiem, aicinot papildu drošībai uzstādīt un izmantot divu faktoru autentifikāciju, kur vien tas ir iespējams, lai būtiski apgrūtinātu uzbrucēju piekļuvi lietotāju datiem, pat ja to rokās būtu nonākušas lietotāju izmantotās paroles.
3. Krāpšanas tendences
Pārskats atzīmē – krāpniecības ziņā aizvadītais gads bijis ļoti aktīvs un piesātināts, jo Latvijas interneta lietotājiem periodiski nācās izturēt aktīvus krāpniecības mēģinājumus, sākot ar izspiešanas kampaņām, kurās uzbrucēji apgalvoja, ka viņiem izdevies uzlauzt lietotāja ierīci un iegūt kompromitējošus materiālus, par kuru neizplatīšanu tika pieprasīta izpirkuma maksa, līdz zināmu uzņēmumu vārdā izplatītām krāpnieciskām loterijām, kurās piedāvāts laimēt jaunākos viedtālruņu modeļus vai iegūt citas vērtīgas balvas.
Aizvadītajā gadā tika novērota kāda nepatīkama tendence, proti, viltojot dažādu kredītiestāžu telefona numurus un uzdodoties par banku vai Smart-ID darbiniekiem, krāpnieki izmantoja iedzīvotāju vājās zināšanas par papildu autentifikācijas līdzekļu darbību un nozaga finanšu līdzekļus no vairākiem tūkstošiem lietotāju, tādējādi radot Latvijas kredītiestādēm kopējos zaudējumus vairāku simtu tūkstošu apmērā. Bankas un CERT.LV atgādināja, ka bankas nekad nezvanīs un nelūgs nosaukt savu lietotājvārdu, paroli vai Smart-ID kodus.
Tāpat tika konstatēta izspiešanas e-pastu, kuros izteikti draudi nopludināt datus, izplatīšana arī uzņēmumiem. Attiecīgajos e-pastos uzbrucēji apgalvoja, ka uzlauzuši uzņēmuma tīmekļa vietni un ieguvuši klientu datus, par kuru nepublicēšanu pieprasīja izpirkuma maksu.
Iedzīvotāju maldināšana
Noteikti jāatzīmē arī maldinošu reklāmu izplatīšana sociālajos tīklos. Šajās reklāmās, nesankcionēti izmantojot Latvijā pazīstamu personu vārdus, interneta lietotāji tika aicināti ieguldīt naudu kriptovalūtā. Krāpnieki aktīvi veica arī telefona zvanus un centās pārliecināt iedzīvotājus veikt investīcijas. Atsevišķos gadījumos pat tika novēroti atkārtoti krāpniecības mēģinājumi, kuru ietvaros tika uzrunāti finanšu krāpniecībās cietušie upuri, lai tiem, iespējams, piedāvātu palīdzēt atgūt zaudētos līdzekļus. CERT.LV rīcībā ir ziņas par kādu Latvijas iedzīvotāju, kurš, sekojot krāpnieku ieteikumiem un iemaksājot naudu nelicencētā finanšu platformā, zaudēja 60 000 eiro un pēcāk vēl 10 000 eiro atkārtotā krāpniecībā, mēģinot šos līdzekļus atgūt.
Ņemot vērā krāpniecisko aktivitāšu tendenci, CERT.LV aicināja iedzīvotājus neiesaistīties piedāvātajos darījumos un telefona sarunu pēc iespējas ātrāk pārtraukt, zvanītāju bloķēt savā iekārtā, kā arī informēt savu mobilo sakaru operatoru. Informācija par Latvijā licencētiem finanšu pakalpojumu sniedzējiem pieejama Finanšu un kapitāla tirgus komisijas tīmekļa vietnē.
Iedzīvotājos 2020. gadā pamatotu satraukumu radīja arī īsziņas ar saišu saīsinātāju (ej.uz), kuras izsūtīja valsts iestādes, veicot iedzīvotāju apziņošanu par ārkārtas stāvokli un epidemioloģisko situāciju valstī. Saišu saīsinātājus nereti izmanto arī krāpnieciskos paziņojumos, kad krāpnieki cenšas noslēpt patieso saites galamērķi. Tādēļ CERT.LV vērsa uzmanību uz nepieciešamību savlaicīgi izvietot informāciju attiecīgo iestāžu tīmekļa vietnēs un sociālo tīklu profilos, tajā skaitā arī par paredzamo informācijas izplatīšanu un metodēm, lai izvairītos no nepatīkamiem pārpratumiem.
4. Ielaušanās mēģinājumi
CERT.LV gada pārskats atzīmē, ka informācija par ielaušanās mēģinājumiem tika saņemta visa gada garumā, taču pietiekami zemā intensitātē. Ielaušanās mēģinājumi notika gan pret valsts un pašvaldību iestāžu serveriem no citām valstīm, gan tika reģistrēti arī automatizēti uzbrukumi citu valstu iestāžu serveriem no Latvijas IP adresēm.
Ņemot vērā organizāciju nepieciešamību pārslēgties uz attālinātā darba režīmu, tika novērota palielināta botu aktivitāte, kas meklē ievainojamas, neatbilstoši konfigurētas un ar vājām parolēm aizsargātas tīmeklī pieslēgtas iekārtas. Kā iespējamie mērķi šiem botiem tika norādīti darba devēja steigā izsniegtas un nepietiekami droši konfigurētas iekārtas vai personīgie datori, kuri pēkšņi tiek izmantoti darbam, kā arī attālinātās piekļuves pakalpojumi (RDP) ar vāju paroli un nepietiekamu papildu aizsardzību.
Jāsecina, ka pērn ielaušanās mēģinājumu īstenošanas metodes ir bijušas atšķirīgas. Kā rāda CERT.LV novērojumi, populārākās uzbrucēju izvēlētās metodes iekļāva paroļu minēšanu, izmantojot Internet Message Access Protocol (IMAP) servisu, un datu izgūšanas mēģinājumus, izmantojot SQL injekcijas.
5. Ļaunatūra
CERT.LV konstatē, ka ļaunatūra arī 2020. gadā tika izplatīta primāri diviem mērķiem – informācijas un peļņas gūšanas nolūkā. Informācijas gūšanai tika izplatīta spiegojošā ļaunatūra, kas nosūtīja upura iekārtā iegūtos datus (piemēram, paroles) uzbrucējam. Savukārt peļņas gūšanai tika izplatīti šifrējošie izspiedējvīrusi, kuru uzbrukuma rezultātā dati upura iekārtā tika nošifrēti un datu atgūšanai tika pieprasīta izpirkuma maksa. Tās lielums bija atkarīgs no šifrētās iekārtas, cietušā un šifrēto datu apjoma – jo svarīgāki dati, jo augstāka cena. Cietušo vidū bija vairāki uzņēmumi, valsts un pašvaldību iestādes un kāda veselības aprūpes iestāde.
Tāpat CERT.LV atgādināja – ja vien iespējams, izpirkuma maksu nemaksāt! Maksāšana negarantē datu atgūšanu, kā arī veicina šādu ļaundabīgu praksi un kalpo kā rādītājs, ka upuris ir gatavs maksāt. Attiecīga rīcība var novest pie atkārtotiem uzbrukumiem.
Izplatītākie ļaunatūras izplatīšanas mēģinājumi, kas īstenoti COVID-19 aizsegā:
- Izsūtīti e-pasti, uzdodoties par Pasaules Veselības organizāciju un norādot, ka pielikumā pievienota jaunākā informācija par COVID-19
- Publicētas saites uz COVID-19 izplatību attēlojošu lietotni, kuras funkcionalitāte paredzēja lietotāju datu izgūšanu
- Veselības aprūpes iestādēm tika izplatīti ļaundabīgi e-pasti par COVID-19 aizsarglīdzekļu piegādi
Pārskats atklāj, ka 2020. gada otrajā pusē bija vērojama strauja ļaunatūras Emotet izplatība gan globālajā, gan Latvijas tīmeklī. Emotet upura iekārtā parasti nonāca no kādas jau inficētas kontaktpersonas e-pasta. Attiecīgā ļaunatūra paredzēta sensitīvas informācijas iegūšanai. Saņēmēju maldināšanai un uzticamības palielināšanai Emotet saturošie e-pasti ietvēra fragmentus no iepriekšējām sarakstēm, mudinot domāt, ka saņemtais e-pasts ir uzsāktas sarakstes turpinājums.
Kopumā Latvijā tika inficētas vairāk nekā 200 organizācijas. Ir paredzams, ka pēc kāda laika uzbrukumos iegūtā informācija var tikt izmantota atkārtotos uzbrukumos vai citās mērķētās ļaundabīgās kampaņās.
6. Kompromitētas iekārtas un datu noplūdes
CERT.LV izpētes rezultāti atklāj, ka iekārtu kompromitēšanas gadījumi skāruši ne vien uzņēmumus un privātpersonas, bet arī valsts un pašvaldību iestādes. Organizāciju darbinieki savas iekārtas inficēja, atverot e-pastu pielikumus vai saites no šķietami zināmiem kontaktiem e-pasta adrešu grāmatiņā, piemēram, kolēģiem un sadarbības partneriem. Par darbību mērķi kļuva vēlme iegūt e-pastu piekļuves un citu sensitīvu informāciju. CERT.LV kā galveno aizsardzības mehānismu ieteica iestatīt divu faktoru autentifikāciju e-pastu, tostarp Microsoft, kontu aizsardzībai.
Pārskats liecina, ka vairākas valsts iestādes pērn uz laiku zaudēja piekļuvi saviem sociālo tīklu kontiem, uzbrucējiem pārņemot kontroli pār kādu no konta administratoru profiliem. Nevienā no gadījumiem papildu drošībai netika izmantota divu faktoru autentifikācija, kas būtu apgrūtinājusi kontu pārņemšanu. Tāpat tika saņemti ziņojumi arī par ielaušanos Zoom, MS Teams un citu platformu sanāksmēs. Taču, iepazīstoties ar situāciju, nācās konstatēt, ka sanāksmju organizētāji nav izmantojuši pieejamos aizsargmehānismus, piemēram, uzgaidāmo telpu un ierobežotas iespējas pievienoties no ārzemēm, lai novērstu nepiederošu personu dalību sanāksmē.
Jāatzīmē, ka pērnā gada novembrī Latvijas medijos plašu rezonansi guva ziņa par datu noplūdi no Ķīnas uzņēmuma “Zhenhua Data“, kas skāra aptuveni 2,4 miljonus iedzīvotāju visā pasaulē. To vidū bija atrodama arī informācija par 480 iedzīvotājiem no Latvijas. Nopludinātie dati liecināja, ka uzņēmums par personām vācis publiski pieejamu informāciju no medijiem un sociālajiem tīkliem. Informācijas ievākšanai izmantotas speciāli izstrādātas programmas.
7. Ievainojamības un konfigurācijas nepilnības
Attiecīgā pārskata periods izcēlās ar kritisku ievainojamību (piemēram, Windows DNS: CVE-2020-1350, SMB: CVE2020-0796, Windows Server: CVE-2020-1472, SAP: CVE-2020-6287) atklāšanas apjomu.
Šīs ievainojamības vai nu sniedza uzbrucējiem iespēju veikt attālinātu patvaļīga koda izpildi mērķa iekārtā, vai arī iespēju izgūt sensitīvu informāciju no mērķa sistēmas. Dažas no ievainojamībām tika aktīvi izmantotas uzbrukumos pirms ražotāji bija paguvuši publicēt atjauninājumus ievainojamību novēršanai, tādējādi nodrošinot nulles dienas (zero day) ievainojamību statusu.
CERT.LV veica potenciāli ievainojamo sistēmu apzināšanu valsts sektorā, kā arī informēja sistēmu uzturētājus, sniedza ieteikumus ievainojamību novēršanai un atbalstu incidentu risināšanai. Tika saņemti ziņojumi par vairāku uzņēmumu un iestāžu tīmekļa vietnēm, kuras neatbilstošas konfigurācijas rezultātā bija pakļautas personas datu izgūšanas uzbrukumiem. CERT.LV informēja resursu uzturētājus un koordinēja ievainojamību novēršanu.
Pilnvērtīgs pārskats pieejams CERT.LV mājaslapā.
