Хактивісти масово атакують держустанови ЄС через ідеологію та геополітику – звіт ENISA та рекомендації

Звіт про галузевий ландшафт загроз (Sectorial Threat Landscape Report) від Агентства Європейського Союзу з кібербезпеки (ENISA), присвячений сектору державного управління в ЄС за 2024 рік, окреслює ключові кіберзагрози, з якими зіткнувся цей сектор, серед яких домінують розподілені атаки типу «відмова в обслуговуванні» (DDoS), часто пов’язані з хактивізмом, а також інциденти, пов’язані з витоком даних та програми-вимагачі.

Крім того, документ обговорює ключових супротивників, включаючи державні групи вторгнення (state-nexus intrusion sets) та кіберзлочинних операторів, які використовують сектор як ціль для шпигунства та фінансово мотивованих атак. Нарешті, ENISA надає рекомендації щодо зміцнення кіберстійкості та підвищення рівня зрілості (maturity) державного управління в ЄС відповідно до Директиви NIS2.

Аналіз кіберінцидентів, зафіксованих ENISA (Агентством Європейського Союзу з питань кібербезпеки) у державному секторі ЄС протягом 2024 року, свідчить, що домінуючі кіберзагрози за обсягом суттєво відрізняються від загроз із найбільшим стратегічним впливом.

Ключовими супротивниками є хактивісти, оператори кіберзлочинності та угруповання, пов'язані з державними структурами (state-nexus intrusion sets).

Домінуючі кіберзагрози (за обсягом)

Загалом у 2024 році було проаналізовано 586 публічно зареєстрованих кіберінцидентів, спрямованих на державний сектор ЄС. Домінують такі категорії загроз:

1. Атаки типу «Розподілена відмова в обслуговуванні» (DDoS):

• Атаки DDoS були найпоширенішим типом загроз, становлячи понад 60% усіх інцидентів, або майже дві третини.
• Вони переважно вражали вебсайти міністерств та муніципалітетів.
• Хоча більшість цих атак були короткочасними та рідко призводили до значних наслідків, їхня мета полягала у спричиненні перебоїв у наданні послуг та підриві довіри до державних установ.

2. Загрози, пов'язані з даними (Data-related threats):

• Це друга за частотою категорія загроз, яка включає витоки даних (data breaches) та розкриття даних (data exposure).
• Такі інциденти становили майже кожний п'ятий інцидент.
• Витоки даних становили 17.4%, а розкриття даних — 1% від зібраних інцидентів.
• Ці інциденти мали значний вплив, оскільки були спрямовані на чутливі платформи, такі як служби зайнятості та портали правоохоронних органів.

3. Програми-вимагачі (Ransomware):

• Інциденти з програмами-вимагачами були поширеними, часто включали несанкціонований доступ до конфіденційних даних та становили близько 10% від загальної кількості подій.
• Вони спричиняли помітні операційні збої. Середня вартість відновлення для державних та місцевих органів ЄС від таких атак у 2024 році становила 2.83 мільйона доларів США.

Ключові супротивники

Ключові супротивники державного сектору ЄС поділяються на три основні категорії, причому хактивізм є найбільш поширеним за чистим обсягом.

1. Хактивісти

Хактивісти були найпоширенішою категорією, відповідальною за майже дві третини інцидентів.

• Мотивація: Діяльність хактивістів була насамперед викликана ідеологічними мотивами, пов'язаними з геополітичними подіями, зокрема агресивною війною Росії проти України. Атаки часто відбувалися під час значних геополітичних подій, виборів чи самітів.
• Домінуюча група: NoName057(16), проросійська хактивістська група, була відповідальна за 46% усіх DDoS-атак.
• Інші групи: Anonymous Sudan, UserSec, People’s Cyber Army / Cyber Army of Russia Reborn (CARR), CyberDragon, OverFlame та про-ХАМАС група RipperSec.
• Оцінка впливу: Операційний вплив хактивістських DDoS-атак залишається обмеженим, і вони, ймовірно, не підірвуть національну безпеку країн-членів ЄС або функціонування єдиного ринку ЄС.

2. Угруповання, пов'язані з державними структурами (State-nexus intrusion sets)

Хоча ці угруповання відповідальні лише за невеликий відсоток інцидентів (1.2% – 2.5%), їхня діяльність має значний вплив на національну безпеку.

• Мотивація: Ці угруповання продовжували проводити кампанії кібершпигунства з метою стратегічного збору даних для підтримки своєї зовнішньої політики, економічних стратегій та, можливо, військових цілей.
• Пов'язані з Росією угруповання:
      ◦ APT28 (також відома як Fancy Bear) була помічена в імітації польських та українських урядових організацій для атак на Польщу, а також використовувала цільовий фішинг проти урядових установ.
      ◦ APT29 (також відома як Midnight Blizzard, Nobelium) була зафіксована у націлюванні на дипломатичні інтереси Франції та проводила глобальну фішингову кампанію з використанням RDP-файлів, спрямовану на багато країн-членів ЄС, включаючи Австрію, Бельгію, Чехію, Фінляндію, Німеччину, Грецію, Італію, Латвію, Литву, Нідерланди, Польщу, Португалію, Словаччину та Швецію.
• Пов'язані з Китаєм угруповання:
      ◦ APT31 підтверджено як угруповання, що стояло за зламом електронної пошти фінського парламенту у 2021 році, а також приписується атака на мережу Міністерства закордонних справ Чехії з 2022 року.
      ◦ Earth Krahang зловживала скомпрометованими державними вебсерверами для проведення подальших фішингових атак, зокрема проти Угорщини та Румунії.
      ◦ Storm-1849 (UAT4356) була помічена у глобальній кампанії кібершпигунства ArcaneDoor, націленої на прикордонні мережеві пристрої, що належать урядам.

3. Оператори кіберзлочинності

Ці суб'єкти використовують державний сектор ЄС як опортуністичну ціль, що частково пояснюється його низькою кіберзрілістю.

• Модель атак: Вони переважно покладалися на модель Ransomware-as-a-Service (RaaS).
• Тенденції: Спостерігалося постійне використання техніки мульти-вимагання (double-extortion), а також зростання використання штучного інтелекту для кампаній соціальної інженерії, включаючи клонування голосу та фішинг, генерований ШІ.
• Ключові штами: Найбільш часто розгорнутими штамами програм-вимагачів проти державного сектору ЄС у 2024 році були RansomHub (який став головною загрозою RaaS, відповідальною за 20.7% інцидентів з ransomware), LockBit 3.0 та 8Base.

Стан кібербезпеки державного сектору ЄС можна порівняти з установами, які, попри зберігання надзвичайно важливої інформації, мають низьку кіберзрілість. Через це вони залишаються привабливою мішенню: велика кількість гучних, але обмежених за впливом атак (DDoS від хактивістів) створює шум, тоді як найсерйозніші, хоча й менш часті загрози (кібершпигунство та програми-вимагачі), становлять реальну небезпеку для стратегічних даних та операційної безперервності.

Рекомендації щодо зміцнення кіберстійкості та підвищення рівня зрілості

На основі аналізу кіберзагроз, з якими стикається державний сектор ЄС, ENISA (Агентство Європейського Союзу з питань кібербезпеки) пропонує низку конкретних рекомендацій, спрямованих на зміцнення кіберстійкості та підвищення рівня зрілості цього сектору. Ці рекомендації пропорційні виявленим загрозам: великій кількості DDoS-атак, стабільній кількості інцидентів, пов'язаних із даними, опортуністичним програмам-вимагачам та кампаніям кібершпигунства.

Рекомендації поділяються на категорії відповідно до основних загроз та загальних стратегічних пріоритетів.

I. Рекомендації, пов'язані з DDoS-атаками

Оскільки атаки типу «Розподілена відмова в обслуговуванні» (DDoS) є найбільш частим типом загроз, ENISA пропонує заходи для посилення архітектурної стійкості та операційної готовності:

• Розгортання критичних порталів за CDN / WAF: Критичні портали (міністерств, парламентів, муніципальних сайтів) слід розміщувати за мережами доставки контенту (CDN) та мережевими екранами вебдодатків (WAF) із постійним захистом на мережевому та прикладному рівнях. Це дозволить поглинати та фільтрувати трафік до того, як він досягне оригінальних систем, зменшуючи ймовірність перебоїв.
• Публікація статичних резервних сайтів (Static-fallback sites): Необхідно впровадити статичні резервні сайти з функцією відмови DNS (DNS failover). У випадку, якщо основний сайт стає недоступним, статичний сайт у режимі "лише для читання" забезпечить доступність основної інформації, поки повне обслуговування відновлюється.
• Фільтрація мережевого трафіку та запобігання мережевим вторгненням.

II. Рекомендації, пов'язані із загрозами даних

Інциденти, пов'язані з даними, можуть викликати значні збої в роботі організації, тому важливо застосувати такі заходи:

• Впровадження багатофакторної автентифікації (MFA): Необхідно обов'язково впровадити MFA скрізь, доповнивши її умовним доступом та керуванням привілейованим доступом (PAM) для адміністраторів, оскільки скомпрометовані облікові дані часто використовуються в таких атаках.
• Використання технологій запобігання втраті даних (DLP): Технології DLP можуть зупинити масову ексфільтрацію даних.
• Посилення захисту електронної пошти та вебресурсів: Слід розгорнути DMARC, SPF, DKIM, використовувати актуальні версії TLS, захистити системи управління контентом (CMS) та проводити цілеспрямоване тестування додатків.

III. Рекомендації, пов'язані з програмами-вимагачами (Ransomware)

Незважаючи на те, що державний сектор є переважно опортуністичною мішенню для операторів програм-вимагачів, впровадження спеціальних заходів може мінімізувати потенційні збої:

• Розгортання EDR та обмеження виконання: Впровадити засоби виявлення та реагування на кінцевих точках (EDR) із поведінковими правилами, застосувати білі списки додатків (application allow-listing) та обмежити використання адміністративних інструментів (PowerShell / WMIC / PSExec).
• Посилення захисту макросів у документах: Макроси мають бути підписані або заблоковані за замовчуванням, де це можливо, щоб запобігти поширеним шляхам початкового виконання. Слід також обмежити дозволи на файли та каталоги.
• Сегментація мереж: Розділення мереж підвищує стійкість системи.
• Резервне копіювання: Створення резервних копій з незмінними/офлайн-копіями та часте проведення тестів відновлення даних.

IV. Рекомендації щодо кібершпигунства (State-Nexus espionage)

Оскільки державний сектор є високоцінною мішенню для угруповань, пов'язаних із державними структурами (зокрема, APT28, APT29 та APT31), необхідно запровадити конкретні заходи:

• Регулярне полювання на загрози (Threat-hunting): Воно має бути зосереджене на тактиках, техніках та процедурах (TTP) Advanced Persistent Threat (APT)-угруповань.
• Посилення захисту з акцентом на вектори атак: Укріплення систем із фокусом на вектори, що спостерігалися в останніх випадках, включаючи оновлення програмного забезпечення та обмеження веборієнтованого контенту.
• Управління вразливостями та оновленнями (патч-менеджмент).
• Обмеження доступу третіх сторін: Надання доступу на основі принципу найменших привілеїв, обмеження його за часом, обов'язкове використання MFA та моніторинг сервісних облікових записів.

V. Стратегічні рекомендації для підвищення зрілості (NIS360)

Зважаючи на те, що державний сектор класифікується у «зоні ризику» через фрагментоване управління та застарілі технології, ENISA виділяє додаткові стратегічні пріоритети для підвищення його зрілості та готовності відповідно до NIS2 Directive:

• Створення ефективних можливостей для відновлення через моделі спільних послуг: Партнерство з іншими державними структурами для спільного використання операцій безпеки, платформ ідентифікації та цифрових гаманців. Це оптимізує ресурси та посилює захист високоризикових послуг.
• Використання Акту про кіберсолідарність ЄС: Комбінування цього фінансування з національними бюджетами для модернізації застарілих систем, розгортання інструментів виявлення-реагування-відновлення та підвищення кваліфікації персоналу, що прискорить виконання зобов’язань NIS 2.
• Посилення готовності та реагування: Надання організаціям доступу до середовищ симуляції, таких як кіберполігони та навчальні вправи, де команди можуть перевірити сценарії реагування на інциденти в умовах без ризику.
• Підвищення обізнаності: Проведення цільових кампаній для роз’яснення вимог NIS 2 керівництву та оперативному персоналу, уточнення ліній звітності, порогів ескалації та термінів дотримання вимог.
• Посилення секторальної обізнаності про загрози: Розробка спеціалізованих джерел аналітичних даних про загрози для державного управління з використанням звітів ENISA та можливостей національних CSIRT.
• Спільна взаємодія: Організація регулярних семінарів, зустрічей ISAC для державного управління та міжгалузевих навчань з приватними зацікавленими сторонами для обміну передовим досвідом та координації спільних залежностей.

Проактивне впровадження цих стратегічних пріоритетів та посилення співпраці між країнами-членами ЄС дозволить органам державного управління краще захистити критичні послуги та підтримувати довіру громадян у мінливому середовищі кіберзагроз.

Звіт ENISA Public Administration Cyber Threat Landscape 2024