Только представьте: в регионе интенсивно развиваются технологии, активно внедряются инновации, экономика на высоких скоростях летит вверх. И, кажется, счастье уже так близко. Но в этот момент всегда приходят они… Киберпреступники тормозят получение Юго-Восточной Азией статуса цифрового лидера, часто оборачивая технологические достижения стран против них же самих.
Несмотря на высокий глобальный индекс кибербезопасности большинства стран АСЕАН на 2024 год, число успешных кибератак в регионе по сравнению с 2023-м выросло в два раза. И, по нашим прогнозам, продолжит расти. В полной версии исследования Positive Technologies подробно рассказываем о ландшафте киберугроз в странах Юго-Восточной Азии. В этой статье мы собрали основные хакерские тренды в регионе.
Под прицелом хакеров: кто оказался самым незащищенным
92% киберпреступлений в Юго-Восточной Азии совершались против организаций, на частных лиц пришлось всего 8%. Особенно уязвимыми оказались малый и средний бизнес из-за нехватки технических ресурсов и квалифицированных кадров, необходимых для защиты от киберугроз.
В атаках на организации чаще всего в качестве объектов выступали компьютеры, серверы и сетевое оборудование (69%), значительно меньше – люди и веб-ресурсы (21% и 17% соответственно). Больше половины успешных кибератаках на частных лиц (54%) были направлены на мобильные устройства, 46% — на пользователей, и в 23% случаев объектами становились компьютеры, серверы и сетевое оборудование.
Чаще всего злоумышленники атаковали промышленные организации (20%), государственные учреждения (19%) и финансовые компании (13%).
Промышленность
Наиболее частым последствием кибератак на промышленные организации Юго-Восточной Азии становилась утечка конфиденциальной информации (74%): коммерческой тайны (29%), персональных (21%) и учетных (13%) данных.
Так, в августе 2024 года в результате кибератаки на вьетнамскую Nidec Precision Vietnam Corporation, дочернюю компанию японского производителя электродвигателей, злоумышленники получили доступ к серверам, используя скомпрометированные учетные данные VPN, и похитили более 50 000 файлов, включая внутренние документы, контракты и переписку с деловыми партнерами. Продажа VPN-доступов к промышленной инфраструктуре стран — членов АСЕАН нередко наблюдается и на теневых форумах.
Наши исследователи предполагают, что уровень защищенности промышленной инфраструктуры в регионе недостаточно высокий: имеют место некорректные настройки безопасности, использование устаревших версий программного обеспечения и т. п. Об этом свидетельствует значимая доля кибератак, реализованных путем эксплуатации уязвимостей (15%) и компрометации учетных данных (7%).
Внимание, проблемы безопасности промышленного IoT
Влиять на ландшафт киберугроз в промышленной отрасли может и активно растущий рынок промышленного интернета вещей в Юго-Восточной Азии. Как правило, IoT-устройства на практике часто оказываются уязвимым звеном инфраструктуры и могут быть использованы злоумышленниками в качестве точки проникновения. Проблемы безопасности промышленного IoT могут быть связаны с конечными устройствами (датчиками, промышленными контроллерами), со специфичными протоколами передачи данных и IoT-шлюзами.
Госучреждения
В 72% киберинцидентов в госучреждениях региона происходила утечка конфиденциальной информации, а каждая третья атака (28%) приводила к нарушению их основной деятельности.
В марте 2024 года сайт Палаты представителей Филиппин подвергся масштабной DDoS-атаке: только в период с 8 до 9 утра число запросов к серверу составило 53 млн, а еще через 7 часов оно превысило 480 млн.
Среди объявлений в дарквебе мы выявили предложения о продаже данных Министерства здравоохранения (Малайзия), Агентства по регулированию ядерной энергии (Индонезия), Министерства сельского хозяйства и кооперативов (Таиланд) и других госучреждений. Стоимость украденной информации варьировалась в зависимости от ее объема и ценности. Также на теневых форумах часто встречаются сведения о взломе государственных информационных сервисов. Это свидетельствует о недостаточной киберзащищенности цифровых услуг, о чем также упоминается в цифровом генеральном плане АСЕАН до 2025 года.
Хакеры, используя шифровальщик Brain Cipher, вывели из строя сервер Временного национального центра данных Индонезии. Пострадали 210 государственных учреждений, включая иммиграционные службы в международном аэропорту Соэкарно-Хатта; проблемы затронули работу паспортного контроля и выдачу разрешений на проведение мероприятий, а также повлияли на ряд других онлайн-сервисов.
Утечка конфиденциальной информации из госучреждений интересна не только финансово мотивированным киберпреступникам, но и хактивистам, а также тем, кто желает продемонстрировать свои возможности. Совокупная доля объявлений о продаже и раздаче данных составляет больше половины (58%) от всех объявлений теневых форумов.
Финансовые организации
Более высокая по сравнению с другими отраслями степень цифровизированности финансовых организаций требует от злоумышленников большей изобретательности. В связи с этим и спектр атакуемых объектов шире, чем для госучреждений: преобладают компьютеры, серверы и сетевое оборудование (39%), затем – веб-ресурсы, люди и мобильные устройства (по 17%).
Часто злоумышленники рассчитывают на низкую цифровую грамотность сотрудников и активно используют бреши в защите.
В июле 2023 года при реализации кибератаки на вьетнамский банк злоумышленник проник в его инфраструктуру, используя фишинговые письма, DDoS-атаки и вредоносное ПО. Результатом стала утечка сведений о сотрудниках банка и потеря примерно 420 000 долларов.
Стремление злоумышленников атаковать финансовые организации отражается и в их активности на теневых форумах: наибольшая доля (21%) всех объявлений дарквеба о покупке баз данных или доступа приходится именно на финансовые учреждения.
Половина успешных кибератак на финансовые организации приводила к утечке конфиденциальной информации, в 22% случаев была нарушена их основная деятельность.
Из-за кибератаки на VNDirect, одного из крупнейших вьетнамских брокеров, компании пришлось приостановить торговые операции, что привело не только к финансовым, но и к репутационным потерям.
Как атаковывали страны АСЕАН
Против организаций хакеры чаще всего использовали вредоносное ПО (61%), преимущественно шифровальщики и ВПО для удаленного управления, а также методы социальной инженерии (24%) и эксплуатацию уязвимостей (21%). Аналогичная картина наблюдается и в атаках на частных лиц. Против них чаще всего применялись банковские трояны.
В атаках на организации вредоносы распространялись преимущественно через электронную почту (47%) и скомпрометированные компьютеры, серверы и сетевое оборудование (35%).
В атаках на частных лиц мошенники стали чаще применять QR-коды, ведущие на мошеннические ресурсы. Тенденция, весьма вероятно, идет из Китая, где во второй половине 2023 года число подобных фишинговых атак увеличилось на 22% и продолжило расти в 2024-м.
Так, к примеру, в 2023 году жительница Сингапура в надежде получить бесплатный напиток за прохождение опроса потеряла 20 000 долларов, отсканировав на двери магазина QR-код. Для ответа на «опрос» женщина скачала и установила на смартфон стороннее приложение, оказавшееся вредоносным: благодаря ему злоумышленники смогли перевести денежные средства на свой счет.
Киберпреступники совершенствуют техники и инструменты реализации фишинговых кибератак, стремясь сделать мошеннические ресурсы еще более похожими на легитимные. Агентство по кибербезопасности Сингапура заметило, что более 50% фишинговых URL-адресов использовали более безопасный протокол HTTPS (в 2022 году этот показатель составлял 9%), а почти у трети фишинговых сайтов зарегистрирован более надежный домен .com вместо .xyz (на 20% больше, чем в 2022 году).
Взгляд вглубь: ландшафт киберугроз наиболее атакуемых стран
За 2023–2024 годы по 25% кибератак было направлено на Вьетнам и Таиланд, 20% — на Филиппины, 18% на Сингапур, 13% на Индонезию и 10% — на Малайзию. В 2024 году вектор кибератак сместился в сторону Индонезии, Таиланда и Сингапура.
Причиной роста числа кибератак в Таиланде может являться активная цифровизации ключевых отраслей наряду с недостаточной цифровой грамотностью населения. Многие тайцы не знают об опасностях, связанных с атаками шифровальщиков, использованием общественного Wi-Fi и установкой легко подбираемых паролей. В организациях же часто используется устаревшее ПО, а также отсутствуют или некорректно настраиваются защитные механизмы. Примечателен и рост числа инцидентов безопасности, связанных с серверами, расположенными в Таиланде (более чем на 203% за Q2 2024 по сравнению с Q2 2023).
В последние три года Вьетнам обладал самой быстрорастущей цифровой экономикой в АСЕАН. А к 2030 году страна стремится стать одним из ведущих центров по обеспечению информационной безопасности в Азии. В 2024 году во Вьетнаме наблюдался рост числа киберугроз, в частности, увеличилось количество кибератак на организации. Как и во всем регионе, большинство кибератак привели к утечке конфиденциальной информации (68%). Компания по кибербезопасности Viettel сообщила о продаже в первой половине 2024 года 13 млн записей, включая более 12,3 ГБ исходного кода. Утечки исходного кода программного обеспечения и конфиденциальной информации о разрабатываемых продуктах — мировой тренд первого полугодия 2024 года. Также отмечается, что за этот период число украденных записей с личной информацией увеличилось на 50% в сравнении с аналогичным период 2023 года.
Высокая доля кибератак на Филиппины может быть связана не только с его цифровизацией, но и с геополитическими причинами. Так, исследователи компании Resecurity отметили скачок вредоносной киберактивности (на 325%) в первые месяцы 2024 года и приписали это хактивистским группировкам, которые пытаются подорвать доверие к правительственным учреждениям. В целом доля кибератак на госучреждения в регионе крайне высока — 38%.
В случае с Сингапуром причиной роста киберугроз могли стать неоднократные выплаты денежных средств вымогателям (на это пошли 64% атакованных шифровальщиками сингапурских компаний). Готовность организаций платить за получение своих данных могла стимулировать киберпреступников массово атаковать регион.
В апреле 2024 года сингапурский филиал юридической фирмы Shook Lin & Bok подвергся атаке вымогателей и заплатил им 21,07 биткоина за три транзакции. На момент оплаты сумма была эквивалентна примерно 1,4 млн долларов.
Кроме того, по сравнению с остальными тремя наиболее атакуемыми странами региона, картина по категориям жертв в Сингапуре отличается. Государство превращается в глобальный технологический центр, на территории которого расположено огромное число технологических гигантов, поэтому ИТ-компании (17%) занимают первое место среди категорий жертв кибератак, второе – промышленность (13%).
Высокий уровень киберпреступности в Индонезии может быть связан с низким уровнем финансирования отрасли кибербезопасности – расходы страны на ИБ в процентах от ВВП (0,02%) являются самыми низкими в Юго-Восточной Азии. Усугубляет ситуацию и разрозненность нормативно-правовой базы: так, например, в документах четко не прописан перечень действий в случае утечки персональных данных. Вместе с тем Индонезия является эпицентром АСЕАН по добыче криптовалют, ботнетам, мобильным вредоносным программам и атакам с целью кражи информации.
В тройку лидеров по количеству объявлений на теневых форумах вошли Индонезия, Таиланд и Вьетнам. Малайзия, в свою очередь, заняла четвертое место. Уровень утечек в стране долгое время оставался крайне высоким, тем не менее, начиная с Q2 2024 данный показатель начал снижаться, что отчасти может быть связано с регулярным обновлением законопроектов и актов в сфере кибербезопасности.
В большей степени за рассматриваемый период в Малайзии пострадали промышленные компании (31%). Для данного сектора характерно использование автоматизации, а также трендовых технологий IoT и искусственного интеллекта, что может являться причиной высокой доли успешных кибератак.
Что ждет страны АСЕАН
Следует ожидать увеличения числа кибератак на страны Юго-Восточной Азии. Этому способствует активная цифровизация региона и более низкая скорость повышения цифровой грамотности населения. Топ-6 атакуемых стран, вероятнее всего, останется прежним, со смещением фокуса на Филиппины в силу грядущих президентских выборов и активной деятельности хактивистских группировок.
Филиппины и Сингапур в целом представляют особенный интерес для злоумышленников, так как в них легально используется криптовалюта. Учитывая, что блокчейн и цифровые активы — один из мировых технологических трендов 2025 года, следует ожидать рост числа кибератак в этих странах, в частности с использованием новых схем обмана пользователей и эксплуатации уязвимостей в информационных системах и в новых платформенных решениях.
Тройка наиболее атакуемых отраслей (госучреждения, финансовые и промышленные организации) предположительно останется прежней. Для Индонезии и Сингапура в большей степени, чем для остальных стран, характерны киберугрозы с использованием трендовой технологии — IoT. А для Сингапура, технологического центра Юго-Восточной Азии, также предполагается, что в топ-3 атакуемых отраслей будут ИТ-компании.
Вредоносное ПО, преимущественно шифровальщики, и социальная инженерия останутся лидирующими методами реализации кибератак для всего региона. Однако следует ожидать появления новых схем обмана, в том числе с применением искусственного интеллекта — одного из ключевых технологических трендов.
Использование генеративного искусственного интеллекта для реализации кибератак в целом характерно для Азиатско-Тихоокеанского региона. Только за 2022–2023 годы число случаев использования дипфейков в этом регионе выросло на 1530% — это второй показатель в мире после Северной Америки. Вьетнам лидирует по числу применения дипфейков с целью мошенничества (в 23,5% случаев), а на Филиппинах зафиксирован самый высокий рост числа их использования (на 4500%).
Выводы и рекомендации
Барьером к достижению регионом цифрового лидерства являются проблемы кибербезопасности — недостаточная защищенность цифровых услуг и низкая киберграмотность пользователей, — противостоять которым необходимо на внутри- и межгосударственном уровне.
Для решения этих задач были внедрены стратегии сотрудничества в области кибербезопасности АСЕАН на 2021–2025 годы и создана региональная группа реагирования на компьютерные чрезвычайные ситуации. Эти меры призваны нивелировать технологические различия между государствами: например, в Сингапуре применяются передовые средства защиты критической инфраструктуры, включая промышленные системы управления (ICS), в то время как многие менее развитые страны АСЕАН не имеют подобных средств защиты.
Обновление правительственных инициатив в части кибербезопасности, межгосударственное сотрудничество и повышение цифровой грамотности населения, особенно занятого в организациях наиболее атакуемых отраслей, — ключевые направления, которые позволят странам Юго-Восточной Азии повысить уровень кибербезопасности региона.
Полный текст исследования об актуальных киберугрозах для стран Юго-Восточной Азии читайте на нашем сайте.
Дарья Лаврова
Старший аналитик группы международной аналитики, Positive Technologies
Автор: ptsecurity
