Казахстан с долей в 8% оказался на втором месте по количеству кибератак. Чаще всего злоумышленники атаковали СМИ (19%). Две трети всех кибератак (65%) были связаны с использованием вредоносного ПО. Более трети (35%) приводили к утечке конфиденциальной информации.
Киберпреступники действительно заинтересованы Республикой Казахстан, и это подтверждают 28% объявлений в дарквебе, связанных с этой страной. Чаще всего появляются объявления о продаже фальшивых документов (48%) и обналичивании денег (38%). Цены на первые варьируются от 7 до 2700 долларов США.
В числе популярных целей киберпреступников, помимо СМИ, — госучреждения (12%), финансовые организации (12%) и телекоммуникации (7%). Телеком-отрасль в Казахстане занимает третью строку в рейтинге самых атакуемых по странам СНГ. На серверах телекоммуникационных компаний хранятся и обрабатываются большие объемы данных, поэтому киберпреступники стремятся взломать эти серверы и наладить постоянный доступ к ним, чтобы регулярно выгружать новые сведения. Например, после того как в феврале 2024 года на GitHub опубликовали конфиденциальные данные китайской компании iSoon, выяснилось, что злоумышленники больше двух лет полностью контролировали инфраструктуру казахстанских операторов связи.
Атаки, нацеленные на кражу информации, были устремлены на сбор персональных и учетных данных. Для этого киберпреступники использовали специальное вредоносное ПО — инфостилеры RedLine, Vidar, Raccoon и AZORult. Утекшая информация, как правило, применяется в дальнейших атаках, продается или распространяется бесплатно в дарквебе. Цены на базы данных жителей стран СНГ колеблются от 100 до 50 000 долларов США.
Используя ВПО в атаках на организации СНГ, в том числе Казахстана, злоумышленники в 74% случаев доставляли вредоносы на компьютеры жертв через фишинговые письма. Например, в декабре 2023 года была обнаружена рассылка в адрес казахстанского госоргана, нацеленная на заражение трояном SugarGh0st.
В 53% атак против Казахстана применялись методы социальной инженерии. Например, в июне 2024 года специалисты экспертного центра безопасности Positive Technologies зафиксировали фишинговое письмо, направленное сотруднику казахстанской организации. В нем злоумышленники требовали обновить пароль, форма смены которого находилась в HTML-файле, прикрепленном к письму. При вводе нового пароля данные перенаправлялись на легитимный сервис для заполнения разных форм и таким образом попадали к киберпреступникам.
Для улучшения ситуации в области информационной безопасности на уровне государства необходимо развивать нормативно-правовую базу на национальном, региональном и международном уровнях, а также налаживать тесное сотрудничество между госорганами и бизнесом, создавая центры реагирования на киберинциденты. Специалисты советуют выстраивать взаимодействие в области ИБ с другими странами, в том числе обмениваться опытом предотвращения кибератак, проводя киберучения. К числу необходимых мер эксперты также относят обеспечение многоуровневой защиты объектов КИИ и инвестирование в подготовку кадров в сфере ИБ.
Бизнесу специалисты рекомендуют придерживаться концепции результативной кибербезопасности. В нее входит определение недопустимых для компании событий, обучение сотрудников практическим аспектам ИБ и подготовка ИТ-инфраструктуры к отражению кибератак. Для мониторинга киберугроз и оперативного реагирования на них рекомендуется использовать SIEM-системы. А для более быстрой и эффективной защиты от атак эксперты советуют подключить продукты класса NTA (анализируют сетевой трафик) и EDR-системы (обнаруживают киберугрозы на конечных точках). Для выявления атак в промышленной инфраструктуре SIEM-системы можно дополнить специализированными продуктами для анализа трафика АСУ ТП. Кроме того, результативная кибербезопасность подразумевает регулярные проверки эффективности реализованных мер защиты — для этого рекомендуется принимать участие в программах багбаунти.
