- Институт Ближнего Востока - http://www.iimes.ru -

О существующих рисках для Пакистана в киберпространстве

Автор: iimes - В рубрике: Карпов Д.А.,Пакистан | Комментарии закрыты

Неспособность признать стратегические императивы киберпространства в сочетании с неспособностью инвестировать в правильные инициативы в области кибербезопасности, привела к неустойчивому положению в области кибербезопасности для государственного и частного секторов.

К сожалению, киберустойчивость — это концепция, не имеющая никакого отношения к киберпространству Пакистана. Кроме того, отсутствие возможностей и механизмов обнаружения подразумевает, что истинный масштаб ущерба не может быть измерен, а скомпрометированные сети не были идентифицированы. Что еще более важно, стратегический ущерб, наносимый национальной мощи Пакистана, которая обязана стратегическому характеру киберпространства, также неисчислим на данный момент. Не случайно, что глобальный индекс кибербезопасности (GCSI) Международного союза электросвязи (ITU) поставил Пакистан на 79 место. Для сравнения, Индия занимает 10-е место, а Иран занимает 54-е место. Этот факт приводит нас к выводу, что положение Пакистана в области кибербезопасности в целом крайне неустойчиво. Очевидно, что в правительственной цифровой инфраструктуре Пакистана есть несколько уязвимостей, которыми могут воспользоваться злоумышленники. Недавно инфраструктура Hyper-V Федерального бюро доходов (FBR) была взломана, и важнейшие данные PII были проданы на «темных» веб-форумах за 26 000 долларов. Веб-сайт FBR, важная часть Бюро для подачи налоговых деклараций, не работал более 24 часов. Дальнейшее расследование показало, что программное обеспечение Hyper-V для виртуализации серверов было пиратским. В 2021 году  анализ показал, что государственные субъекты использовали израильское шпионское ПО Pegasus для нацеливания на отдельных лиц, журналистов, активистов, медиа-группы и людей, работающих в правозащитных организациях или НПО, для мониторинга и наблюдения через смартфоны. Шпионское ПО Pegasus было способно извлекать данные телефона, в том числе данные с камер, микрофона, местоположения, журналов вызовов и списка контактов. Лаборатория безопасности Amnesty International (ASL) показала, что шпионское ПО, которое предполагалось использовать против террористов, содержало в том числе телефонные номера генерального директора Amazon Джеффа Безоса, премьер-министра Испании Педро Санчеса и экс-премьер-министра Пакистана Имрана Хана.

В сентябре 2020 года крупнейший поставщик электроэнергии в Пакистане, предоставляющий услуги электроснабжения более чем 2,5 млн человек, K-Electric (Karachi Electric), был поражен программой-вымогателем Netwalker (ранее известной как Mailto, Kazkavkovkiz, Kokoklock, KoKo). Netwalker обычно доступен как программа-вымогатель как услуга (RAAS) на нескольких хакерских платформах. Вымогатель нацелился на услуги биллинга и горячей линии, которыми управляет K-Electric. Хакеры потребовали 3,85 млн долларов за расшифровку данных, предупредив, что в случае задержки выплаты выкупа требуемый выкуп будет увеличен до 7,7 млн долларов, или все взломанные данные будут опубликованы на темных веб-форумах. Интересно, что K-Electric отрицала эту атаку и утверждала, что все данные остаются нетронутыми, назвав инцидент «попыткой кибератаки». После задержки или отказа в выкупе от K-Electric хакеры опубликовали данные объемом 8.5 ГБ, включая финансовые отчеты и бухгалтерские книги. Критические данные в утечке включали финансовые документы и личную информацию (PII), такую как национальные идентификационные данные, данные банковского счета, адреса, контактные данные и история платежей. Эти критически важные данные, ориентированные на клиента, могут быть использованы для совершения будущих мошеннических действий, социальной инженерии, фишинговых атак или прямых атак с целью получения выкупа у клиентов. Инцидент оказал огромное влияние на операционный бизнес K-Electric, поскольку нарушил финансовые и платежные операции и привел к высоким затратам на восстановление.

В ноябре 2021 года Национальный банк Пакистана (NBP) был взломан и заражен вредоносным ПО, что привело к отключению банковских систем, в основном банкоматов. Позже было установлено, что в зараженных системах не было записки с требованием выкупа, но атака в первую очередь была направлена на нарушение работы систем и создание хаоса в течение длительного времени. Атака NBP была подтверждена Государственным банком Пакистана (SBP), а также неподтвержденными сообщениями о девяти банках частного сектора, подвергшихся атаке. SBP заявила, что ни в одном банке, кроме NBP, не было обнаружено подозрительной активности. По сообщениям, банкоматы столкнулись с простоями из-за повреждения последовательности загрузки в системах Windows, на которых работали банкоматы, что было вызвано внедрением вредоносного ПО в последовательность загрузки Active Directory (AD). Это было достигнуто с помощью взломанной привилегированной учетной записи NBP в каталоге. Высокопоставленный чиновник NBP заявил, что хакеры проникли не на основные серверы, а только «на несколько компьютеров». Дело в том, что NBP является критически важным и жизненно важным национальным банком, и это время простоя и повреждение ИТ-систем свидетельствуют о вторжении в инфраструктуру NBP. Банк утверждает, что не было утечки данных или финансовых потерь для банка, поскольку эти атаки не нарушали брандмауэры банка, решения для конечных точек и протоколы информационной безопасности.

В другом примере система продажи билетов пакистанских железных дорог была взломана 30 сентября 2022 года. Пассажир, путешествующий из Кот-Аду в Вах, заметил комментарий в квитанции о билете, где поле использовалось для предложения услуг проституции. В билете в поле ответа “»Имя пассажира» было указано: «Секс-услуги доступны в классе AC». Пассажир сообщил о проблеме официальным властям. После первоначального расследования третья сторона, разработавшая программное обеспечение для пакистанских железных дорог, заявила в официальном заявлении, что их программное обеспечение было взломано, и о проблеме было сообщено в FIA. Это был не первый случай взлома пакистанской железной дороги. В январе 2021 года система бронирования железных дорог Пакистана была уничтожена, и все онлайн-платформы, включая веб-сайты и мобильные приложения, не отвечали более 74 часов. Пользователи с зарегистрированными учетными записями не могли войти в систему, поскольку регистрационные данные были удалены и недоступны. Позже было подсчитано, что пакистанские железные дороги понесли убытки в размере 130 млн пакистанских рупий, вызванные сокращением числа бронирований во время простоя веб-и мобильных платформ.

Самое тревожное нарушение в истории Пакистана — это не что иное, как серия утечек аудио, связанных с канцелярией премьер-министра (PMO). Аудиофайлы были опубликованы в «темной сети» и быстро распространились в социальных сетях. Хакеры, которые слили аудиозаписи, утверждали, что они indishell на темном веб-форуме. Утечка данных включала аудиозаписи нынешнего премьер-министра Шахбаза Шарифа и экс-премьер-министра Имрана Хана. Предполагаемый хакер indishell опубликовал сообщение в ветке, утверждая, что существует 100 часов записей, и, по некоторым оценкам, объем данных составляет около 8,5 ГБ. Хакер утверждает, что эти аудиозаписи включают разговоры между премьер-министром Пакистана и начальником штаба Сухопутных войск Пакистана (COAS) генералом Джавадом Камаром Баджва и другие громкие записи.  Indishell оценил данные в 180 биткойнов или 3,4 миллиона долларов, что доступно любому, кто готов заплатить эту цену. Хакеры опубликовали три аудиофайла через файлообменный веб-сайт, чтобы подтвердить атаку. Интересным аспектом атаки является то, что indishell  был одним из основателей группы Индийской кибер-армии (ICA). Несмотря на то, что информация была размещена через профиль с пометкой indishell, ICA пока не предъявляла никаких претензий на эту атаку. ICA с гордостью заявила бы об этой атаке в социальных сетях, учитывая ее влияние и сложность. Исследование показало, что это не настоящий indishell, а самозванец. Последняя заявленная активность indishell может быть датирована 2012 годом, когда был взломан веб-сайт правительства округа Мултан. Правительство Пакистана привлекло службы безопасности к дальнейшему расследованию инцидента. Исследователи кибербезопасности имеют разные точки зрения на эту кибератаку. Некоторые предполагают, что в ОУП установлены записывающие и прослушивающие устройства. Напротив, другие утверждают, что официальные мобильные телефоны PMO были взломаны и использовались для записи окружающей среды после компрометации командования и управления этими устройствами (C2). Тем не менее, данные теряются и остаются угрозой национальной безопасности.

Эти киберинциденты и несколько других, которые были обнародованы, приводят к одному четкому выводу; состояние кибербезопасности в Пакистане таково, что ее практически не существует. Каждый актив находится под угрозой, от критической инфраструктуры до финансовых систем и чувствительных офисов, таких как PMO. Следует иметь в виду, что это только видимый масштаб ущерба, в то время как фактическое состояние кибербезопасности еще предстоит определить. Аргумент здесь не в том, что Пакистан может столкнуться с серьезным ущербом в результате кибератак в будущем. а в том, что, вполне возможно, Пакистан уже является объектом обширной, агрессивной киберактивности. Кроме того, невозможно даже надеяться установить ущерб, наносимый операциями кибершпионажа и киберконтрразведки, поскольку они оставались незамеченными в течение длительных периодов времени.

Следует также отметить, что все заинтересованные стороны в Пакистане подвергаются равному риску, учитывая, что определяющими характеристиками киберпространства являются взаимосвязь и постоянный контакт. Именно так используется цепочка кибератак для распространения вторжения через ряд взаимосвязанных сетей. Злоумышленник проникает в единую сеть, а затем повышает привилегии, чтобы создать плацдарм в этой сети. Это позволяет злоумышленнику определить, какие другие сети могут быть подключены или доступны из этой базовой сети, а затем продолжает проникать в эти сети. Следовательно, одна скомпрометированная сеть в серии подключенных сетей представляет кибер-риск для всех подключенных сетей. Еще большую тревогу вызывает то, что сейчас мы живем в эпоху, когда сети с зазором, не подключенные к внешнему миру или интернету, также взламываются по всему миру. Если в национальном масштабе не будут мобилизованы скоординированные стратегические усилия, отражающие взаимосвязанный характер киберпространства и предназначенные для конкуренции и защиты способом, аналогичным постоянному характеру конкуренции в киберпространстве, Пакистан не может надеяться на развитие эффективной кибербезопасности. Несколько фундаментальных компонентов должны присутствовать, если национальное государство даже надеется обеспечить адекватную кибербезопасность. Эти компоненты, которые также можно рассматривать как национальные инициативы, следующие:

  1. Наличие основного агентства или министерства, на которое возложена ответственность за потребности государственного и частного секторов в области кибербезопасности, установление минимальных и обязательных стандартов кибербезопасности и лучших отраслевых практик, предоставление инструментов оценки рисков, проведение кибер-аудитов для обеспечения соответствияс минимальными стандартами и лучшими отраслевыми практиками, а также разработка всеобъемлющей политики кибербезопасности.

2 Национальные сертификаты, обладающие эффективными возможностями обнаружения и реагирования, механизмами межведомственной или межведомственной координации и обмена информацией, а также системой целенаправленного оповещения об угрозах.

  1. Партнерские отношения между государственным сектором и научными кругами для наращивания кадрового потенциала в соответствии с национальными требованиями.
  2. Инструменты для обучения человеческих ресурсов операциям по киберзащите и система сертификатов, которые считаются законными государственным и частным секторами.
  3. Партнерские отношения между государственным и частным секторами для разработки решений в области кибербезопасности.
  4. Включение методов обеспечения безопасности путем проектирования для новых компонентов, добавленных в национальную ИТ-инфраструктуру, таких как полномочия по эксплуатации сертификатов (ATO) s.
  5. Честное намерение предоставить сетям государственного сектора возможность самостоятельно управлять своей кибербезопасностью, развивать киберустойчивость, а также поддерживать или взимать расходы в зависимости от обстоятельств.
  6. Национальное киберкомандование для определения общей направленности операций в киберпространстве и участия в глобальной стратегической конкуренции в киберпространстве.

На сегодня Пакистан действительно остро нуждается в эффективном национальном сертификате. Помимо этого нужны несколько других решений в поддержку и в координации с национальным сертификатом для достижения безопасности в киберпространстве. Общая стратегия должна быть направлена на расширение возможностей сетей государственного сектора, чтобы киберпространство Пакистана могло развивать киберустойчивость и развивать кибернетический потенциал человеческих ресурсов. В рамках этого направления сертификат должен быть неотъемлемым компонентом. В рамках Целевой группой премьер-министра по экономике знаний, был разработан план проекта (PC-1) для национальной инициативы по кибербезопасности в течение примерно 2 лет, от концепции до официального утверждения. PC-1 был одобрен на заседании Рабочей группы по развитию департамента (DDWP) (которое регулярно проводится Плановой комиссией Пакистана и является одним из основных методов оценки национальных проектов) в марте 2021 года с бюджетом в 1944 млн пакистанских рупий и жизненным циклом проекта в пять лет. Проект был всего лишь компонентом более масштабного национального соглашения, с планированием разработки дальнейших национальных компонентов. Главной целью проекта было заложить основу киберустойчивости в Пакистане. Эта цель была бы достигнута путем объединения четырех межфункциональных команд, результаты которых создали бы петли обратной связи, создающие взаимосвязанную систему из нескольких сервисов и решений. По сути, проект заключался в разработке национального сертификата, сопровождаемого платформой для анализа киберугроз с искусственным интеллектом (ИИ), которая могла бы непрерывно генерировать приоритетные, действенные отчеты путем сравнения и анализа глобального ландшафта угроз с местным ландшафтом уязвимости Пакистана. В CERT также была бы размещена национальная команда быстрого реагирования для участия в киберинцидентах национального значения. Проект должен  инициировать национальные усилия по наращиванию кадрового потенциала в соответствии с текущими и будущими требованиями Пакистана путем разработки системы управления обучением (LMS) в сочетании с процессом сертификации. Кроме того, необходимо будет разработать несколько учебных решений; виртуальные учебные среды, учебные модули, основанные на организационных ролях, модули настольных упражнений и модули wargaming. Для обеспечения эффективной разработки политики и управления команда необходимо разработать углубленную политику, инструменты оценки рисков и минимальные национальные стандарты, а также провести правоприменительную деятельность в государственном секторе посредством кибер-аудитов, киберлицензирования и выдачи сертификатов Authority To Operate (ATO). сертификаты. Другой целью было повышение национальной осведомленности, что было бы достигнуто посредством ежегодного киберконкурса на национальном уровне по разработке механизмов обеспечения защиты и распространения информации для широкой общественности. Наконец, проект должен стремиться к формированию международных партнерств, а также межведомственных партнерств, созданию системы секторальных центров обмена информацией и анализа (ISAC), созданию платформы раскрытия уязвимостей (программа «Вознаграждение за ошибки»), проведению стратегических кибер-исследований и стать основным межведомственным механизмом для координации и содействия вопросам национальной кибербезопасности. Учитывая хрупкий характер экономики Пакистана, план проекта также включал модель устойчивого развития, которая привела бы к финансовой самодостаточности после завершения пятилетнего жизненного цикла проекта. Таким образом, инициатива соответствовала нескольким фундаментальным компонентам, необходимым для эффективного национального механизма киберзащиты, и была адаптирована для решения конкретных задач Пакистана. К сожалению, эта инициатива так и не увидела свет, и ее реализация не смогла отразить истинную цель проекта. Так обстоят дела, несмотря на то, что проект нашел место в Программе развития государственного сектора на 2021-22 годы и получил продолжение в 2022-2023 годах. Пока  похоже, что правительство Пакистана заинтересовано только в создании национального сертификата, что порождает сразу несколько проблем.

  1. Пакистану не хватает людских ресурсов для создания, а затем эффективного укомплектования персоналом CERT. Механизмы обучения, необходимые для создания необходимого кадрового потенциала, пока не существуют.
  2. Даже если сертификат будет введен в действие, у владельцев сетей государственного сектора нет кадрового потенциала, чтобы прислушиваться к предупреждениям, выдаваемым сертификатом; кто будет слушать? В тех случаях, когда сетевой оператор государственного сектора подтверждает предупреждения, как они будут определять, относится ли предупреждение к их сети или нет? Если каким-то образом они поймут, что конкретное предупреждение имеет отношение к безопасности их сети, будут ли у них возможности, бюджет и мандат для внесения необходимых изменений? Поймут ли они, какие изменения необходимо внести для обеспечения безопасности их сети в отношении конкретной выявленной угрозы?
  3. Сертификат может быть не в состоянии обнаружить текущие кибератаки, поскольку такого механизма не существует. Даже если обнаружение станет возможным, CERT вполне может быть перегружен огромным количеством отдельных наступательных киберактивностей. Как CERT расставит приоритеты в отношении кибератак, когда сталкивается со многими угрозами мгновенно?
  4. В случае успешной кибератаки, кто будет нести ответственность, сертификат или оператор сети? После 18-й поправки к Конституции Пакистана, как федеральное правительственное учреждение заставит сети, управляемые провинциальным правительством, предпринять защитные действия? На оперативном уровне автономный сертификат столкнется с гораздо более серьезными сложностями. Отдельный Сертификат может претендовать только на то, чтобы стать  механизмом технической осведомленности, не оказывая реального влияния на перспективы киберустойчивости Пакистана. Кроме того, было бы несправедливо полагаться на такой сертификат для эффективного выполнения активных обязанностей по киберзащите в нынешних обстоятельствах. Если и до тех пор, пока правительство Пакистана не инициирует процесс расширения возможностей сетей государственного сектора для выполнения мероприятий по обеспечению кибербезопасности, оказания им поддержки с помощью сертификата, поощрения наращивания кадрового потенциала и обеспечения соблюдения политики и минимальных стандартов, состояние кибербезопасности в Пакистане будет сохраняться.