Киберзаплахите са едно от най-наболелите предизвикателства за глобалната сигурност днес. Основният мотив за атаките е финансов – било чрез изнудване, било чрез продажба на откраднати данни и интелектуална собственост. В отбранителната индустрия тази информация – под формата на технологични иновации, военни стратегии или производствени процеси – има огромна стойност.

Според проучване на Black Kite от 2022 г., което анализира киберустойчивостта на 100-те най-значими доставчици за американската отбрана, техническата готовност на компаниите да защитават данните и прехвърлянето на приложения е била тревожно ниска. 17% от доставчиците използвали остарели ИТ системи, а над 32% от компаниите били уязвими на атаки с рансъмуер.

В този контекст значителна роля играят т.нар. APT групи (Advanced Persistent Threat – напреднали постоянни заплахи). Техните цели включват парализиране на производството на оръжейни системи и отслабване на отбранителните способности на атакуваните държави.

APT групи - обикновено държавно спонсорирани или свързани с държавни структури тези високоорганизирани и добре финансирани субекти са известни със своята прикритост, търпение и способност да водят дългосрочни кампании за кибершпионаж.

Разнообразие в методите и изпълнението

Държавно финансирани групи, например, стояха зад широко отразените атаки срещу най-големия производител на оръжие в Германия – Rheinmetall, през 2023 г.

Първата атака, организирана от проруската хакерска група Killnet, беше насочена срещу външно достъпните ИТ услуги на компанията в опит да ги претовари. Въпреки това благодарение на стабилната си ИТ инфраструктура Rheinmetall успя да сведе ефекта от DDoS атаката до минимум.

DDoS (Distributed Denial of Service) атака – форма на кибератака, при която престъпници се опитват да повредят уебсайтове или други онлайн услуги, като ги заливат с огромен брой фалшиви или нежелани заявки, като така възпрепятстват обработката на валидни заявки.

Втората атака срещу Rheinmetall, този път с рансъмуер, бе извършена от руската група Black Basta и доведе до кражба на корпоративни данни от цивилната част на ИТ системата. Благодарение на стриктното разделяне в инфраструктурата не бяха засегнати системите, съдържащи информация за военните дейности на компанията. Въпреки това според финансовия директор на компанията Дагмар Стехинерт, щетите възлизали на поне 10 милиона долара.

Ransomware (Рансъмуер) – вид зловреден софтуер, който блокира достъпа на жертвата до данни или системи (обикновено чрез криптиране), като заплахата е, че достъпът няма да бъде възстановен, освен ако не бъде платен откуп.

Пазете се от „познати лица“

Друга усъвършенствана тактика на хакерите е социалното инженерство.

Добре познат медиен пример е Operation Dreamjob – кампания на севернокорейската кибергрупа Lazarus, насочена основно към ключови служители в отбранителни и правителствени структури.

Това е дългогодишна, все още активна кампания, при която престъпниците създават фалшиви профили в социални мрежи и кариерни портали и комуникират с жертвата дни, седмици или дори месеци, докато изградят доверие. В подходящ момент те изпращат на служителя PDF с уж изгодна оферта за работа. Но файлът е заразен със зловреден код, който позволява на групата да събира информация за дейността и финансите на компанията с цел кражба. Тоест комбинация от шпионаж и кражба.

Operation Dreamjob бе разкрита през 2020 г. от компанията ClearSky след серия атаки срещу десетки компании по света. „Мечтаната работа“ често била представяна уж от името на някои от най-известните отбранителни и аерокосмически компании в САЩ, включително Boeing, Lockheed Martin и BAE.

През септември 2023 г. Lazarus използва този метод, за да атакува успешно служител на испанска аерокосмическа компания. В случая нападателят се представил за рекрутър от Meta, свързал се със служителя чрез професионалната мрежа LinkedIn и го подмамил да отвори зловреден файл, представен като „кодинг предизвикателство“ – част от уж реален процес по подбор.

Социално инженерство – нетехнически метод на атака, при който нападателят се представя за авторитет, позната институция или лице и използва манипулация (например чрез страх, срам или радост), за да накара жертвата да предаде чувствителни данни или пари. Често включва подтик към бърза реакция и заобикаляне на правилата за сигурност.

Слабото звено във веригата

Друго любимо „занимание“ на хакерските групи е атакуването на веригите за доставки на производствени компании. За тях това често е по-лесен начин да проникнат в основните системи на производителя.

Миналата година Infosecurity Magazine класира атаката срещу Ivanti – доставчик на виртуални частни мрежи (VPN) и мрежи за Zero Trust Network Access (ZTNA) – сред топ 10 атаки в САЩ.

В случая китайската група UNC5325 експлоатира две уязвимости от типа „zero-day“ в Ivanti Connect Secure и Policy Secure gateways. Тези шлюзове би трябвало да защитават криптираните връзки и трансфера на данни, като предпазват клиентите на Ivanti от злоупотреба с чувствителна информация.

Атаката засегна организации от различни сектори – правителство, военна сфера, телекомуникации, технологии, финанси, консултации и авиационно-космическа индустрия.

Zero-day уязвимост – пропуск в сигурността на софтуер, който е открит, но все още не е поправен от разработчиците. Терминът „zero-day“ означава, че разработчиците имат „нула дни“, за да отстранят проблема, преди атакуващите да започнат да го използват.

Превенция и план

Въпросът за защитата срещу подобни атаки е доста сложен, а в случай на цели от критичната инфраструктура се усложнява допълнително от политическия подтекст на някои атаки.

Въпреки това основните стълбове на корпоративната киберсигурност трябва да бъдат:

• Инвестиции в технологии: използване на усъвършенствано криптиране, регулярни одити на сигурността и внедряване на системи за мониторинг в реално време.
• Строго разделяне на ИТ системите: последователна сегментация на инфраструктурата, която помага да се предотврати разпространение на атаки между различните ѝ сегменти.
• Одит на доставчиците: предоставяне на достъп до системите на компанията само на доставчици, които покриват изискванията за достатъчно ниво на защита срещу кибератаки.
• Обучение на служителите: непрекъснато образование, симулации на кибератаки и повишаване на информираността за тактиките на хакерските групи.
• ИТ план за бизнес непрекъсваемост: дефиниране на процеси и действия, които помагат на компаниите да реагират бързо при възникнала ситуация и да минимизират щетите.

В последната точка бързо достъпни услуги от експерти също могат да окажат помощ, като в идеалния случай те са част от застрахователна полица за киберрискове.