Latvijas kibertelpā jau kopš janvāra vidus ir jūtama paaugstināta aktivitāte, kas ir būtiski pieaugusi kopš februāra vidus un jo īpaši kopš kara sākuma. Kopumā situācija ir stabila, sekmīgi uzbrukumi ar būtisku ietekmi valsts un kritiskās infrastruktūras sektorā līdz šim nav konstatēti.
Vispārīgā situācija
Būtiski augusi uzbrukumu intensitāte pret Latvijas valsts iestādēm un kritiskās infrastruktūras uzņēmumiem. Pieaudzis nelielu pakalpojumu atteices uzbrukumu (DDoS) skaits, kā arī tīklu skenēšana – programmatūras versiju un ievainojamību meklēšana, arī finanšu sektorā. Novēroti arī mērķēti pikšķerēšanas e-pasti valsts pārvaldes darbiniekiem ar mērķi iegūt pieeju darbinieku iekārtām un izgūt sensitīvu informāciju. Jāņem gan vērā, ka uzbrucēju primārais fokuss šobrīd ir vērsts uz Ukrainu, un līdzšinējie uzbrukumi Latvijas kibertelpai veikti ar mērķi radīt troksni, iebiedēt un novērst uzmanību.
Lai arī līdz šim uzbrucēju uzmanības centrā galvenokārt ir bijis publiskais sektors, īpaša modrība jāievēro privātā sektora pārstāvjiem, kuri nodrošina produktus vai pakalpojumus valsts pārvaldes iestādēm, finanšu sektoram vai citiem nozīmīgiem uzņēmumiem un organizācijām, jo pret šiem pakalpojumu sniedzējiem var tikt vērsti kiberuzbrukumi ar mērķi iegūt piekļuvi klientu informācijai un infrastruktūrai (tā sauktie piegādes ķēžu uzbrukumi).
Latvijas iestādēm un uzņēmumiem jārēķinās arī ar to, ka kiberuzbrukumi ir atkārtoti izmantojami pret daudziem mērķiem, un pret Ukrainu vērsts uzbrukums, piemēram, ar līdz šim nezināmu (0-day) ievainojamību plaši izplatītā programmatūrā varētu tikt izmantots arī pret mērķiem Latvijā. Lai pasargātu savu infrastruktūru, aicinām iepazīties ar CERT.LV publicētajiem ieteikumiem un incidenta gadījumā sazināties ar CERT.LV komandu.
Savukārt iedzīvotājiem jāievēro ierastā piesardzība, jo arī šajos apstākļos atrodas krāpnieki, kas cenšas izmantot iedzīvotāju satraukumu un bažas, lai ar provokatīviem vai satraucošiem paziņojumiem izkrāptu finanšu līdzekļus un pieejas sociālo tīklu kontiem. Lai pasargātu savus kontus, CERT.LV aicina uzstādīt divu faktoru autentifikāciju visur, kur tas vien ir iespējams, kā arī izmantot CERT.LV bezmaksas risinājumu DNS ugunsmūris (uzstādīšanas un izmantošanas informācija vietnē https://dnsmuris.lv/).
Pamanāmāko incidentu apskats
9. februārī tika saņemta informācija par plašu krāpnieciskas ziņas izplatību lietotnē Signal, kurā it kā Signal vārdā tika paziņots par laimestu. Ziņojuma saņēmējs laimesta iegūšanai tika aicināts atvērt ziņojumā iekļauto saiti. Atverot saiti, lietotājam tika parādīta izlozes simulācija, paziņojums par veiksmi izlozē un aicinājums ievadīt maksājumu kartes datus it kā laimesta saņemšanai. Ticamības palielināšanai vietnē tika simulēta komentāru sadaļa, kurā tika ievietotas arvien jaunas atsauksmes no fiktīviem lietotājiem, kas it kā ir saņēmuši savus laimestus. CERT.LV saņemtajos incidenta pieteikumos Signal ziņas tika sūtīta no numuriem ar valsts kodu “+7” (Abhāzija, Kazahstāna, Krievija), savukārt izmantotie pilsētu/ mobilo operatoru kodi norādīja uz Krievijas mobilo operatoru BeeLine. CERT.LV aicināja, saņemot negaidītus paziņojumus īsziņās vai mobilajās lietotnēs (Whatsapp, Signal, Telegram u.c.), kas satur saiti, un, iespējams, steidzina uz rīcību, saiti vaļā nevērt un savus datus nevadīt, par šādiem sūtījumiem informēt CERT.LV, kā arī bloķēt sūtītāju.
24. februārī līdzīgā laika nogrieznī tika novēroti darbības traucējumi gan Tet digitālās TV, gan GO3 digitālās TV pakalpojumu darbībā. Tā kā šāda nejauša sakritība laikā ir ar ļoti mazu varbūtību, CERT.LV uzskata arī šos notikumus par, iespējams, koordinētiem incidentiem, kamēr nav pierādīts pretējais. Abi pakalpojumu sniedzēji spēja atjaunot pakalpojumu pieejamību 1-2 stundu laikā. Pēdējā informācija par Tet digitālās TV pakalpojuma atteici liecina, ka incidents ir bijis vairāku apstākļu sakritība, kuru pamatcēlonis nav ārēja iejaukšanās.
25. februārī vairāku iestāžu darbinieki Latvijā saņēma krāpnieciskus e-pastus angļu valodā, kuros tika aicināti izteikt atbalstu kādai no militārajā konfliktā iesaistītajām pusēm – Ukrainai vai Krievijai. Atbalstu bija iespējams izrādīt – pērkot balsis un tādā veidā balsojot. CERT.LV vērsa iedzīvotāju uzmanību, ka tā ir krāpšana ar mērķi iegūt lietotāju norēķinu karšu datus. Iedzīvotāji tika aicināti būt modriem, kā arī Ukrainu un tās iedzīvotājus atbalstīt, veicot ziedojumu oficiālajā ziedot.lv mājas lapā. Ja norēķinu karšu dati tomēr ievadīti šādās pikšķerēšanas vietnēs, par to nekavējoties jāinformē sava banka.
4. martā sociālajā tīklā Facebook tika izplatīti krāpnieciski paziņojumi, kuros iedzīvotāji tikai aicināti noskatīties Krievijas prezidenta uzrunu, kurā it kā tiek pausti globāla kara draudi. Viltus ziņa tika publicēta ar mērķi, lai, izmantojot sensacionālu un biedējošu saturu, izkrāptu sociālā tīkla piekļuves datus. CERT.LV aicināja par šādiem ierakstiem ziņot Facebook administrācijai, kā arī uzstādīt Facebook (un arī citiem kontiem) vairāku faktoru autentifikāciju, lai apgrūtinātu kontu pārņemšanu, ja uzbrucējiem tomēr izdotos uzzināt konta paroli.
Kopsavilkums
Šobrīd situācija Latvijas kibertelpā tiek veiksmīgi kontrolēta. CERT.LV sadarbībā ar partneriem turpina uzraudzīt tajā notiekošo. Ir tikušas sniegtas papildu konsultācijas kiberdrošības jautājumos un nodrošināts regulārs atbalsts gan valsts un pašvaldību iestādēm, gan kritiskās infrastruktūras uzņēmumiem. Līdz šim sekmīgi uzbrukumi valsts un kritiskās infrastruktūras sektorā ir notikuši ar zemu un īslaicīgu ietekmi.
CERT.LV ir sagatavojusi:
– ieteikumus ikviena uzņēmuma un organizācijas kiberdrošības stiprināšanai saasinātas ģeopolitiskās situācijas apstākļos
https://cert.lv/lv/2022/02/cert-lv-ieteikumi-saasinoties-geopolitiskajai-situacijai-eiropa-un-pieaugot-kiberdraudiem
– rekomendācijas organizācijām, kuras uztur savas Autonomās Sistēmas
https://cert.lv/lv/2022/02/rekomendacijas-organizacijam-kuras-uztur-savas-autonomas-sistemas
– aicinājums organizācijām, kuras uztur savas autonomās sistēmas (Border Gateway Protocol), aktualizēt savu informāciju Latvijas IP adrešu sarakstā
https://www.nic.lv/lv/aktualize-savu-info-lv-ip-adresu-saraksta
