За последние шесть лет количество киберинцидентов в Молдове, как минимум, удвоилось.
В апреле многие жители республики с удивлением узнали, что обвиняются в распространении детской порнографии, педофилии или — что уж вовсе необычно — эксгибиционизме. О якобы открытых против них уголовных делах им сообщали письма за подписью «лично» главы Государственного инспектората полиции, поступившие на электронную почту. Под угрозой ареста или опубликования в соцсетях подтверждающих «преступление» доказательств от адресатов требовали в течение 48 часов ответить на письмо.
От странных посланий за версту разило мошенничеством. Разоблачия намерение спамеров, глава национальной полиции Виорел Чернэуцану назвал целью писем-подделок запугивание адресатов и принуждение вступить в переписку. В лучшем для мошенников случае она обернулась бы наживой (кто знает, может, они случайно и наткнулись на какого-нибудь любителя детской порнографии, тогда ему неминуемо выставили бы счет за урегулирование вопроса «в досудебном порядке»), а в худшем — доступом к данным электронной почты пользователя, в которой и контакты, и телефоны, да, много чего полезного для специалистов в фишинге, выуживании конфиденциальной информации.
Новые инженеры человеческих душ
Они давно и прочно облюбовали Молдову, жители которой оказались легкой жертвой социальной инженерии. Это метод манипуляции людьми с целью получения данных, доступа к ресурсам или других представляющих ценность объектов. Киберпреступники прекрасно владеют искусством обмана и выстраивают мошеннические схемы, основываясь на знаниях о психологии человека и мотивах его поведения. Зачем тратить время на взлом учетных записей, если их владелец сам может подать нужную информацию на блюдечке?
В том же апреле в месенджерах замелькали сообщения с предложением якобы от Налоговой инспекции передать 2% подоходного налога в пользу Партии действия и солидарности. Наверняка многие перечислили, но вскоре выяснилось, что это была акция кибермошенников. В марте из видео в TikTok жители страны узнали, что родившимся в период с 1994 по 2010 год якобы положена единовременная выплата в 13 тыс. леев из Соцфонда. И, скорее всего, были такие, кто перешел по указанной ссылке, где заполнил специальную заявку, а потом оставил на некоем сайте данные своей банковской карты, фактически отдав лежащие там деньги преступникам.
Интернет-мошенники запускают одну схему за другой и неизменно собирают «урожай». Размер наносимого ущерба можно оценить лишь относительно, так как не все жертвы признаются, что доверчиво угодили в умело расставленные сети, но после громкого случая с фишингом данных банковских карт в 2022 году сообщалось об уроне частным лицам в размере 35,5 млн леев. Годом ранее киберпреступники украли у жителей Молдовы 14,5 млн. И это только то, что удалось выяснить.
Всепроникающая киберпреступность
Впрочем, жертвы кибератак уже давно не ограничиваются частными лицами. С ростом уровня цифровизации киберпреступность нацелилась на госучреждения, организации и бизнес-предприятия. Как выяснила компания Positive Technologies, которая провела исследование актуальных угроз для стран СНГ, в 2023-м и первой половине 2024 года максимальному числу атак в этих 10 государствах подверглись госучреждения (18% общего числа), промышленность (11%) и телекоммуникации (10%).
Молдова стала четвертой по уровню кибератак на госучреждения (на ее долю пришлось 8% общего числа таких киберинцидентов по 10 странам СНГ), уступив только Кыргызстану (9%), Беларуси (14%) и России (41%). На молдавские промышленные предприятия пришлось 13% общего числа кибератак в сфере индустрии, и это второй результат по СНГ (первый у России — 77%).
У повышенного интереса злоумышленников к трем названным отраслям есть показательно характеризующие киберпреступность причины. Во-первых, организации из этих сфер имеют стратегически важное значение для экономики страны, поэтому в условиях геополитической напряженности они в первую очередь подвергаются кибератакам. Во-вторых, в них хранятся большие объемы конфиденциальной информации, прежде всего персональные данные и коммерческая тайна. Естественно, что на них нацелены злоумышленники самых разных категорий — начиная продавцами данных на теневых рынках и заканчивая прогосударственными кибершпионами, собирающими разведданые.
Инструментарий массового поражения
Почти две трети (62%) успешных атак на госучреждения в СНГ совершены с использованием вредоносного ПО, в 57% атак применялись методы социальной инженерии. Каждая пятая атака на госучреждения (19%) — это DDoS. Она, как правило, усиливаются накануне или в день значимого политического или социального события.
Утечка конфиденциальных данных происходила в 42% атак на госучреждения. В 27% атак на госучреждения объектами атак становились веб-ресурсы, в силу их высокой посещаемости. В 28% атак был нанесен ущерб интересам государств, а 22% привели к нарушению деятельности госучреждений. Напомню, что феврале 2024 года в результате кибератаки на «Почту Молдовы» почтовые и финансовые услуги госпредприятия были недоступны около суток, что привело к образованию очередей в почтовых отделениях.
В восьми из десяти атак на промышленность (79%) было задействовано вредоносное ПО. В 42% из них использовались инфостилеры (тип вредоносного ПО, которое используется для кражи информации, например, логинов и паролей – прим. ред.) в 37% — ВПО для удаленного управления, в 26% — шифровальщики, сообщает Positive Technologies. Основные цели киберпреступников, атакующих отрасль, — промышленный шпионаж, вымогательство денег и нарушение технологических процессов.
Основная угроза для телекома в СНГ — это DDoS-атаки (43% от всех атак на отрасль). Их поток связан, прежде всего, со стремлением политически мотивированных хактивистов препятствовать предоставлению качественных услуг связи основным геополитическим игрокам. В результате 68% атак на телеком происходили нарушения в основной деятельности атакованной компании. В результате каждой четвертой атаки случалась утечка конфиденциальной информации.
Кто вы, мистер Х?
Важно отметить, что доля DDoS-атак на организации в СНГ (18%) существенно выше общемирового показателя (8%). Такое отличие связано с напряженной текущей геополитической обстановкой. Именно она служит поводом для образования большого количества хактивистских группировок.
Это киберпреступники, которые атакуют, руководствуясь политическими или социальными мотивами. На их долю за предыдущие полтора года пришлось более четверти киберинцидентов. К примеру, в феврале 2023 года проукраинские хактивисты взломали десятки сайтов российских организаций и произвели дефейс, разместив на страницах видеоролики с якобы горящим Кремлем. А в Молдове многих заставила понервничать група NoName, сделавшая недоступными сайты целого ряда госорганов, в том числе Администрации президента, МИДа, МВД, сайт госплатежей MPay. В ряде случаев они оставляли сообщение: «Мы продолжаем отправлять DDoS-приветствия государственному сайту Молдовы, чтобы отбить у местных властей тягу к русофобии». Заявление о себе и своих мотивах — показательная черта хакактивистов.
Цель многих таких групп — полное разрушение скомпрометированной инфраструктуры путем шифрования либо удаления данных. Однако основную угрозу представляют кибершпионские группировки. 18% общего числа успешных атак в странах СНГ — их работа. А жертвы, в основном, госучреждения, промышленность, сфера науки и образования.
За последние два года к уже хорошо известным кибершпионам, например, XDSpy (засветилась в Молдове в 2011 году) и Cloud Atlas, добавились новые, в частности, Lazy Koala, YoroTrooper, Sticky Werewolf, Hellhounds, (Ex)Cobalt, однако в Молдове ни одна из них в последний период, по наблюдениям специалистов, не работала.
И, наконец, атаки финансово мотивированных операторов-шифровальщиков. В 10 странах СНГ они совершают 22% атак на организации с использованием вредоносного ПО, и 88% из этих атак имеют финансовую мотивацию. Это связано с потенциально высокими выкупами, которые можно получить от жертв. Суммы, которые вымогатели запрашивали у скомпрометированных организаций в СНГ в последние два года, колеблются от нескольких сотен тысяч до миллионов.
Наиболее часто жертвами вымогателей становятся промышленные и производственные предприятия — 21% всех атак шифровальщиков. На втором месте — транспорт, финансовые организации и IT-компании (по 9%). Сбои в логистических процессах недопустимые события для транспортной отрасли, поэтому транспортные компании крайне заинтересованы в максимально быстром восстановлении, и у злоумышленников повышается шанс получить выкуп. Финансовые и технологические компании привлекают, так как обладают высокой платежеспособностью. Кроме того, через подрядчиков IT-услуг у киберпреступников появляется возможность получить доступ в сети их клиентов.
Киберзащита: может быть лучше
Молдова, как может показаться, если листать национальные онлайн-ресурсы, прилагает колоссальные усилия для противодействия киберпреступлениям. Однако в реальности все довольно скромно. Кибербезопасность критической информационной структуры обеспечена в стране на 50% (данные Глобального индекса кибербезопасности на октябрь 2023), управление киберкризисами — на 56%, реагирование на киберинциденты — 79%. Очевидные успехи есть лишь в продвижении политики кибербезопасности — внедрении нормативной базы, гармонизированной с директивами ЕС.
В 2022 году Молдова стала участником флагманской инициативы Евросоюза EU4Digital по поддержке цифровой трансформации и экономического роста в странах Восточного партнерства, в начале 2024-го — присоединилась к программе Digital Europe, что позволило получать финансирование от ЕС на проекты в области цифровизации. В апреле 2023-го государства ЕС объявили о развертывании в республике Группы быстрого реагирования на киберугрозы (CRRT) для помощи правительству в обеспечении безопасности национального киберпространства.
Западные специалисты называют самыми большими угрозами для государственного и частного сектора республики цифровой шпионаж и киберпреступность. Поэтому Программа развития ООН и Государственный департамент США предоставили Молдове оборудование со специализированным аппаратным и программным обеспечением для поддержки расследований киберпреступлений в нескольких районах страны. Правоохранительные органы в этих областях также проходят обучение для поддержки своей способности находить и расследовать незаконную онлайн-деятельность.
Дефицит специалистов и навыков
И все же основной проблемой страны в противодействии киберпреступности остается нехватка специалистов. Их нужны тысячи, ну хотя бы сотни, между тем сегодня вряд ли наберется несколько десятков. Государство предприняло шаги по разработке учебных программ по кибербезопасности, включая, помимо прочего, CyberCor, образовательный центр, расположившийся в Техническом университете.
У Молдовы также есть возможности инвестировать в повышение квалификации и обучение специалистов во всех секторах для улучшения их кибер- и технических навыков. ЕБРР спонсировал программу, которая предоставляет малым и средним предприятиям Молдовы доступ к консультантам, обучению, наставничеству и помощи для повышения устойчивости.
Национальное агентство по кибербезопасности проводит на предприятиях разных отраслей и в министерствах консультации по европейской директиве, которая обязывает организации, подверженные риску кибератак, проводить комплексные меры по управлению такими рисками, включая выявление угроз, оценку уязвимостей и планы реагирования на инциденты. Директива требует от предприятий регулярного тестирования на проникновение и аудита безопасности.
И все же Молдова только в начале пути, в то время как цифровые мошенники и хакактивисты продвинулись далеко вперед и продолжают совершенствовать свои методы и решения. Если в 2019 в Молдове ежемесячно пресекали более 6 млн кибератак, то сейчас их число выросло в 2-3 раза, судя по динамике, зарегистрированной в странах НАТО, начиная с 2021 года.
Молдавские власти предпочитают рассматривать проблему, которая обходится жителям страны в миллионы, в геополитическом контексте и тем самым вольно или невольно уменьшают ее масштаб, снижают потенциал противодействия. Как уже понятно, хакактивисты, которые преследуют политические цели, — лишь часть цифрового криминального мира. Киберпреступность гораздо больше и опаснее, к тому же она стала частью жизни. Так что бороться с ней нужно последовательно и всерьез, начиная от обучения детей до популяризации знаний о цифровом мошенничестве среди самых широких слоев населения. Правда, информации о таких программах в ходе подготовки этой статьи найти не удалось.
Наталья Узун
Подписывайтесь на наш Telegram-канал https://t.me/enewsmd Много интересного: инсайды, заявления, расследования. Много уникальной информации, которой нет у других.