«Мемлекеттік техникалық қызмет» акционерлік қоғамы (бұдан әрі – «МТҚ» АҚ) STS Cyber Challenge кибержарысының қорытындыларын шығарды.

9–10 желтоқсан күндері Астана қаласында Қазақстан Республикасының Жасанды интеллект және цифрлық даму министрлігінің қолдауымен «МТҚ» АҚ ұйымдастырған STS Cyber Challenge кибержарысының финалы өтті.

Алғашқы күні ашылу рәсіміне ЖИЦДМ вице-министрі Досжан Уалдинұлы Мусалиев және «МТҚ» АҚ Басқарма Төрағасы Жүнісбек Асқар Рахымбайұлы қатысты. Вице-министр жарыстың саланың кадрлық әлеуетін дамытудағы маңызын атап өтіп, цифрлық технологиялар барлық салаға қарқынды еніп жатқанын, ал сонымен бірге киберқауіптер де күрделене түсіп, тек теориялық білімді ғана емес, терең практикалық дағдыларды талап ететінін айтты. Ол STS Cyber Challenge өзін болашақ киберқауіпсіздік мамандарын анықтайтын және жас дарындардың кәсіби қауымдастығын қалыптастыратын маңызды алаң ретінде көрсете алғанын атап өтті.

Қатысушыларға үндеуінде Досжан Мусалиев жарысқа қатысу – шынайы жағдайға барынша жақын ортада өз дағдыларын сынау мүмкіндігі әрі елдің цифрлық болашағын қалыптастыратын қауымдастықтың бір бөлігі болу екенін айтты. Ол қатысушыларға сенімділік, білімге құштарлық және сындардан сәтті өтуге тілектестігін білдіріп, олардың арасында Қазақстанның болашақ цифрлық қауіпсіздік көшбасшылары бар екенін атап өтті.

Жарысқа ақпараттық қауіпсіздік, ақпараттық технологиялар, компьютерлік техника және өзге де іргелес мамандықтар бойынша колледж студенттері, бакалавриат және магистратура бағдарламаларының 127 командасынан 500-ден астам студент қатысты. Финалдық кезеңдерге теориялық және практикалық тұрғыдан жоғары дайындық көрсеткен 11 команда өтті.

STS Cyber Challenge 2025 жарысының ерекшелігі — Blue Team бағыты бойынша тапсырмалардың күшейтілген мазмұны. Биыл қатысушылар инфрақұрылымды қорғау, инциденттерді талдау, шабуылдарды зерттеу және оларды болдырмау әдістерін әзірлеу бойынша тапсырмаларды орындады. Бұл дағдылар қазіргі таңда мемлекеттік секторда да, бизнес саласында да аса сұранысқа ие. Тапсырмалар SOC орталықтары мен киберқауіпсіздік қызметтерінің нақты жұмыс жағдайларына барынша жақындатылған, бұл студенттердің кәсіби өсуі үшін жарыстың маңызын арттырады.

Тапсырмалар қатысушылардың техникалық дағдыларын, командада жұмыс істей білуін, инциденттерді жылдам талдауды және кибершабуыл сценарийлеріне барынша жақын жағдайда шешім қабылдау қабілеттерін тексерді. Жарыстың жалпы жүлде қоры 3 000 000 теңгені құрады.

Іс-шара халықаралық компаниялардың қолдауымен өтті: Fortinet, Cisco, Marvel Kazakhstan, Kaspersky зертханасы және PS Cloud. Олар жас мамандардың киберқұзыреттерін дамытуға елеулі үлес қосуда.

Жарыс қорытындысы бойынша STS Cyber Challenge жеңімпаздары атанды:
I орын — EM1X командасы;
II орын — OXZ3ROLOGIC командасы;
III орын — ORDA1NTRUDRS командасы.

«МТҚ» АҚ Басқарма Төрағасы өз сөзінде іс-шараның маңызын атап өтті:
«Бүгін сіздер көрсеткен белсенді қатысу мен жоғары дайындық деңгейі үшін алғыс айтқым келеді. STS Cyber Challenge — жай ғана жарыс емес, бұл — кәсіби дағдыларды дамытуға, жаңа таланттарды анықтауға және еліміздің киберқауіпсіздігін нығайтуға арналған маңызды алаң. Бүгін қатысушылар өз күштерін іс жүзінде сынап, әрі қарай дамуға және заманауи сын-қатерлерге жауап беруге дайын екенін көрсетті. Киберқауіпсіздік саласының болашақ мамандарын даярлау — МТҚ-ның басты басымдықтарының бірі».

STS Cyber Challenge финалы киберқауіпсіздік саласы бойынша жас мамандарды даярлаудағы маңызды оқиға болып, Қазақстан Республикасының цифрлық инфрақұрылымын қорғау саласындағы кәсіби құзыреттерді дамытуға жоғары студенттік қызығушылықты дәлелдеді.

«Мемлекеттік техникалық қызмет» акционерлік қоғамы ақпараттық қауіпсіздік инциденттерін мониторингтеу, оларға әрекет ету және тергеу саласындағы мамандарды даярлауға бағытталған Cybershield Certified SOC Analyst кәсіби оқыту курсының басталғанын хабарлайды.

Курс бағдарламасы қамтиды:

• Қазақстан Республикасының ақпараттық қауіпсіздік саласындағы заңнамасы;

• Инциденттерге әрекет ету және MISP платформасымен жұмыс істеу;

• Цифрлық криминалистика негіздері;

• Енуге тестілеу (penetration testing);

• SOC-талдаушыларға арналған Splunk жүйесімен жұмыс істеу негіздері;

• Зиянды кодты талдау;

• Ақпаратты қорғау құралдарын әкімшілендіру.

Басталу күні: 24 қараша
Форматы: офлайн, сабақтар «Мемлекеттік техникалық қызмет» АҚ базасында тәжірибелі оқытушылармен өткізіледі
Ұзақтығы: 40 сағат теория және 30 күн практика
Тіркелу мерзімі: 23 қарашаға дейін

2025 жылғы 16 қазан күні Ұлттық ақпараттық қауіпсіздік үйлестіру орталығы және Ақпараттық қауіпсіздік бойынша Оперативтік орталықтар өзара әрекеттестігі мәселелері бойынша IX отырыс өткізді.

Отырысқа АҚ «МТҚ» Басқарма Төрағасы Асқар Жүнісбек төрағалық етіп, Ақпараттық қауіпсіздік бойынша Оперативтік орталықтар мен Ұлттық ақпараттық қауіпсіздік үйлестіру орталығының жүйелі жұмысының ұлттық киберқауіпсіздікті нығайтудағы стратегиялық маңыздылығын атап өтті.

Кіріспе сөзінде ол цифрлық технологиялардың қарқынды дамуы мен киберқатерлердің өсу жағдайында ақпараттық қауіпсіздік жүйесінің барлық қатысушыларының оқиғаларға дер кезінде әрекет етуі мен іс-қимылдарын үйлестіру басты басымдық болып қалатынын ерекше айтты.

– Бүгінде Ақпараттық қауіпсіздік бойынша Оперативтік орталықтар тек ұлттық ғана емес, халықаралық кибертехникалық жаттығулар мен конференцияларға да қатысу арқылы жоғары деңгейдегі белсенділік пен кәсіби шеберлікті көрсетіп отыр. Олардың қызметі Қазақстанның маңызды инфрақұрылымының және цифрлық ортасының тұрақтылығын арттыруға тікелей ықпал етеді, – деді Басқарма Төрағасы.

Отырыс барысында Ақпараттық қауіпсіздік бойынша Оперативтік орталықтар мен Ұлттық ақпараттық қауіпсіздік үйлестіру орталығы арасындағы өзара әрекеттестіктің құқықтық өзгерістері, бірлескен жұмыстың тиімділігін талдау нәтижелері, сондай-ақ ақпараттық қауіпсіздік инциденттерін тергеудің практикалық аспектілері қаралды. Докладтармен Ұлттық ақпараттық қауіпсіздік үйлестіру орталығы, Ақпараттық қауіпсіздік бойынша Оперативтік орталықтар және Қаржы нарығын реттеу және дамыту агенттігінің өкілдері сөз сөйледі.

Арнайы назар аударылған мәселелер:

Ақпарат алмасу рәсімдерін жетілдіру;

Қатерлерді анықтау және алдын алу бойынша проактивтік тәсілдерді енгізу;

Мамандардың техникалық құзыреттерін нығайту және киберфорензиканы дамыту.

Отырыстың қорытындысы бойынша Басқарма Төрағасының бірінші орынбасары – Ұлттық ақпараттық қауіпсіздік үйлестіру орталығының басшысы УлыКбек Шамбулов 2025 жылғы 11–12 қыркүйекте өткен Ақпараттық қауіпсіздік бойынша Оперативтік орталықтардың кибержаттығуларының нәтижелерін таныстырды.

Ол командалардың жоғары дайындығын атап өтіп, практикалық жаттығулардың ұйымдардың нақты кибероқиғаларға дайын болуын күшейту үшін маңыздылығын айтты.

ОЦИБ кибержаттығуларының қорытындысы бойынша командалар рейтингі :

1-орын – ЖШС «RTEAM»

2-орын – ЖШС «CYBERFOX LLP»

3-орын – ҚБ «ЦАРКА»

IX отырыс қорытындысы бойынша қатысушылар бірлескен күш-жігер Қазақстанның ұлттық киберкеңістігінің қорғалу деңгейін арттыруға және цифрлық егемендікті нығайтуға өз үлесін жалғастыратынына сенім білдірді.

Соңғы айларда Siemens, Rockwell Automation, Schneider Electric, ABB және басқа да жетекші өнеркәсіптік автоматтандыру компаниялары өз өнімдерінде анықталған жаңа қауіпсіздік осал тұстарын жариялады.
Қауіп-қатерлер өнеркәсіптік контроллерлерге (PLC), SCADA/HMI жүйелеріне, инженерлік станцияларға, желілік модульдерге және басқа да инфрақұрылымдық жабдықтарға әсер етуі мүмкін.

Бұл Қазақстан үшін неге маңызды

Мұндай шешімдер Қазақстанда да кеңінен қолданылады — мұнай-газ, энергетика, көлік, тұрғын үй-коммуналдық шаруашылығы, қаржы саласы және денсаулық сақтау сияқты бағыттарда.
Егер осы осал тұстарды хакерлер пайдаланып кетсе, бұл өндіріс процесінің тоқтауына, электр желілеріндегі ақауларға немесе қалалық инфрақұрылымның бұзылуына әкелуі мүмкін.

Бұл материал мамандарға осал тұстарды басымдық бойынша жою жұмыстарын жоспарлауға көмектесу үшін дайындалған. Қолданылуы нақты объектідегі бағдарламалық қамтама нұсқаларына байланысты.

---

Негізгі өндірушілер бойынша жаңартулар

Siemens

Компания тамыз және қыркүйек айларында 30-ға жуық қауіпсіздік бюллетенін жариялады. Маңыздыларының кейбірі:

• CVE-2025-40804 (CVSS 9.3) — SIMATIC Virtualization as a Service жүйесіндегі қателік. Бұл осалдық хакерге рұқсатсыз деректерге қол жеткізуге немесе оларды өзгертуге мүмкіндік береді.

• CVE-2025-40746, CVE-2025-40751 — SIMATIC RTLS Locating Manager жүйесіндегі осал тұстар аутентификациядан өткен пайдаланушыға әкімші құқықтарымен кез келген кодты орындауға мүмкіндік береді.

• Сондай-ақ UMC, Simotion, Industrial Edge, Sinamics жүйелерінде қашықтан код орындау (RCE) және қызмет көрсетуден бас тарту (DoS) қатерлері түзетілді.

Қауіптері: инженерлік станцияларға заңсыз кіру, PCS7 және WinCC жүйелерінің істен шығуы, контроллер параметрлерінің бұрмалануы.

---

Schneider Electric

EcoStruxure Power Monitoring Expert, Power Operation және Power SCADA Operation шешімдерінде төрт сындарлы осалдық табылды. Олар қашықтан код орындауға немесе құпия ақпараттың таралуына әкелуі мүмкін, бұл энергетикалық желілер үшін өте қауіпті.

Modicon M340 контроллерлерінде және желілік модульдерде FTP командалары арқылы DoS шабуылына мүмкіндік беретін қателіктер түзетілді.
Сонымен қатар Software Update құралында әкімшілік құқықтарды иемденуге және файлдарды бұзуға мүмкіндік беретін осалдықтар жойылды.

Қауіптері: энергетикалық жүйелердің бұзылуы, басқару және мониторинг деректерінің бұрмалануы, ірі инфрақұрылымға шабуылға дайындық мүмкіндігі.

---

Rockwell Automation

• CVE-2025-7353 (CVSS 9.3) — ControlLogix Ethernet Modules құрамындағы осалдық құрылғыны толық бақылауға алуға мүмкіндік береді.

• CVE-2025-9364 — FactoryTalk Analytics LogixAI жүйесінде деректер қорының қате бапталуы (Redis) арқылы құпия ақпаратты алу мүмкіндігі бар.

• CVE-2025-9161 — FactoryTalk Optix платформасында MQTT компоненті арқылы зиянды плагиндерді жүктеп, кез келген кодты орындауға болады.

Қауіптері: контроллерлердің толық бұзылуы, SCADA жүйелерінің істен шығуы, аналитикалық жүйелердің бұзылуы.

---

ABB

ASPECT, Nexus және Matrix өнімдерінде аутентификацияны айналып өту және қашықтан код орындау (RCE) сияқты сындарлы осал тұстар анықталды.
Кейбірі CVSS 9.8 деңгейінде бағаланған. ABB компаниясы бағдарламаны 3.08.04-s01 және одан жоғары нұсқасына дейін жаңартуға немесе осал жүйелерді интернеттен толық оқшаулауға кеңес береді.

Қауіптері: қашықтан басқару жүйесін басып алу, өндірістік процестердің бұзылуы.

---

Жалпы талдау

2025 жылдың тамыз–қыркүйек айларында байқалған үрдіс — бірнеше осалдықты қатар пайдалану арқылы жасалатын кешенді шабуылдардың көбеюі.
Тек реактивті шаралар (инциденттен кейін ғана жаңарту орнату) енді жеткіліксіз.
Қауіпсіздік деңгейін арттыру үшін resilient-архитектураға көшу қажет. Ол мыналарды қамтиды:

• активтер мен олардың осалдықтарын түгендеу;

• желіні Purdue моделіне сай сегментациялау;

• Zero Trust қағидатын енгізу;

• жүйелердің тұтастығын үздіксіз бақылау.

---

Қорғанысты күшейту бойынша ұсыныстар

1. Осал тұстарды және жаңартуларды басқару

• Барлық құрылғылар мен жүйелердің (контроллерлер, SCADA, инженерлік станциялар, модульдер) тізімін жүргізу.

• Жаңарту орнатпас бұрын оның өндіріс процесіне әсерін бағалау.

• Патчтарды алдымен оқшауланған ортада сынақтан өткізу.

• Егер жаңарту мүмкін болмаса — виртуалды патчинг қолдану, қажетсіз сервистерді (FTP, Redis, web-debug) өшіру.

• Өндірушілердің қауіпсіздік бюллетеньдерін үнемі бақылау.

2. Желіні бөлу және қорғау

• Желіні Purdue моделі бойынша деңгейлерге бөлу (корпоративтік, DMZ, SCADA, контроллерлер және т.б.).

• Интернетке тікелей қолжетімділікті болдырмау.

• Jump-серверлер және data diode арқылы қауіпсіз қашықтан қатынау ұйымдастыру.

• Көпфакторлы аутентификация енгізу және артық құқықтарды шектеу.

• Тек қажетті хаттамалар мен порттарды рұқсат ету (мысалы, CIP, Modbus, Profinet).

3. Мониторинг және шабуылдарды анықтау

• Өндірістік (OT) желіде арнайы мониторинг жүйесін орнату.

• Оқиғаларды SOC/SIEM платформаларымен біріктіру.

• PLC және SCADA конфигурацияларының тұтастығын бақылау.

• Threat Intelligence дереккөздерін пайдалану.

• 2025 жылғы шабуылдарға тән белгілерді анықтау (CIP, MQTT аномалиялары, FTP шабуылдары, Redis рұқсатсыз қолжетімділігі).

4. Инциденттерге әрекет ету және оқыту

• OT-жүйелерге арналған әрекет ету жоспарларын жаңарту (DoS, PLC бұзылуы және т.б.).

• Практикалық оқу-жаттығулар өткізу.

• Қызметкерлерді фишинг және бұзылу белгілерін тануға үйрету.

• Барлық инциденттерді талдап, қорғаныс шараларын үздіксіз жетілдіру.

5. Ескі (legacy) жүйелермен жұмыс

• Инженерлік станциялар мен серверлерде application whitelisting енгізу.

• USB құрылғыларды қолдануды шектеу, тексерусіз қоспау.

• Қашықтан қосылуларды тек авторизацияланған шлюздер арқылы ғана рұқсат ету.

• Жаңарту мүмкін емес жүйелерді физикалық немесе логикалық түрде оқшаулау.

---

Пайдалы сілтемелер

• Siemens: https://www.siemens.com/cert/advisories/

• Schneider Electric: https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp

• ABB: https://global.abb/group/en/technology/cyber-security/alerts-and-notifications

• Rockwell Automation: https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1731.html

25 қыркүйекте «Мемлекеттік техникалық қызмет» АҚ Ұлттық ақпараттық қауіпсіздік үйлестіру орталығы ұйымдастырған Ақпараттық қауіпсіздік мәселелері бойынша Кеңесші үйлестіру кеңесінің (КҮК) XV отырысы өтті.

 

Отырыстың аясында қатысушылар алдыңғы кеңес шешімдерін орындау нәтижелерін, салалық киберқауіпсіздік орталығының қызметін, сондай-ақ Қорғаныс министрлігінің ақпараттық жүйелерді қорғау тәжірибесін талқылады. Жеке блок ретінде мемлекеттік секторда ақпараттық қауіпсіздікті қамтамасыз ету бойынша өзекті шақырулар қаралды, оның ішінде инциденттерге әрекет ету мәселелері және ақпаратты қорғау саласындағы жаңа технологиялық шешімдердің көрсетілімі.

 

Кеңес мүшелері ұлттық киберқауіпсіздік жүйесін дамытуға кешенді тәсілдің, мемлекеттік органдар арасындағы өзара әрекеттестіктің және тәжірибе алмасудың маңызды екенін атап өтті.

КҮК жұмысы аясында мемлекеттік органдар қызметкерлері үшін техникалық оқу ұйымдастырылды, ол 24–26 қыркүйек аралығында өтті. Бағдарламаға келесі бағыттар бойынша практикалық сабақтар кірді:

• UAC-0063 тобының тактикасы, техникалары мен процедураларын іздеу және анықтау;

• Ақпаратты қорғау құралдарын орнату және интеграциялау демонстрациясы;

• Зиянды кодқа арналған негізгі статикалық талдау

Іс-шараға ақпараттық қауіпсіздік комитеті МЦРИАП ҚР, Ұлттық қауіпсіздік комитеті ҚР және ҚР Қаржы нарығын реттеу және дамыту агенттігі сияқты мемлекеттік органдар мен уәкілетті құрылымдардың өкілдері қатысты.

22 қыркүйекте «Государственная техническая служба» АҚ ғимаратында Cyber Labs компаниясымен бірлесіп, ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің қолдауымен 9–11 сынып оқушылары арасында республикалық CTF-Bootcamp киберқауіпсіздік байқауының финалы өтті.

Басты сыйлық — Қазақстанның жетекші жоғары оқу орындарына «Киберқауіпсіздік» мамандығы бойынша төрт білім гранты. Бұл оқушыларға қазіргі заманның ең сұранысқа ие әрі стратегиялық маңызды мамандықтарының біріне алғашқы қадам жасауға берілген бірегей мүмкіндік.

Айта кетейік, киберқауіпсіздік бүгінде елдің орнықты дамуының ажырамас бөлігі. Ақпаратты қорғау бизнес пен мемлекеттік құрылымдардың ғана емес, бүкіл қоғамның қауіпсіздігіне әсер етеді. Сондықтан бұл саладағы жас таланттарды қолдау ерекше маңызды: бүгін CTF сайысына қатысқан оқушылар ертең Қазақстанның цифрлық болашағын айқындайтын мамандарға айналуы мүмкін.

Еске сала кетсек, тамыз айында өткен алғашқы іріктеу кезеңіне елдің барлық өңірінен оқушылар қатысып, нәтижесінде 10 үздік финалист анықталып, соңғы кезеңге жолдама алған болатын.

Қазақстан Республикасы Президентінің 2025 жылғы 8 тамыздағы № 956 Жарлығына сәйкес «Мемлекеттік техникалық қызмет» АҚ қызметкерлері саланы дамытуға қосқан елеулі үлесі және адал еңбегі үшін мемлекеттік наградалармен марапатталды.

– «Құрмет» орденімен «Мемлекеттік техникалық қызмет» АҚ Басқарма Төрағасының бірінші орынбасары Шамбулов Ұлықбек Қадыржанович марапатталды.

– «Ерен еңбегі үшін» медалімен Зиянды кодты зерттеу орталығының басшысы Дюсекеев Асқар Мұқанович марапатталды.
«Мемлекеттік техникалық қызмет» АҚ әріптестерін лайықты марапаттарымен құттықтап, кәсіби қызметінде табыс тілейді.

«Мемлекеттік техникалық қызмет» АҚ әріптестерін лайықты марапаттарымен құттықтап, кәсіби қызметінде табыс тілейді.

«Мемлекеттік техникалық қызмет» АҚ Орталық Азиядағы киберқауіпсіздік бойынша ең ірі тәжірибелік конференция — KazHackStan 2025-тің ақпараттық серіктесі болады.

Биылғы шара 17–19 қыркүйек аралығында Алматы қаласында, SADU ARENA-да өтеді және Zero Day тақырыбына арналады. Zero Day — бұл осалдық жүйенің ішінде болғанымен, ешкім әлі білмейтін күн. Мұндай қауіп түрі киберқылмыскерлерге энергетика, көлік, байланыс сияқты ең маңызды инфрақұрылымдарға көзге түспей еніп, ұзақ уақыт бойы анықталмай тұруға мүмкіндік береді. Мұндай шабуылдар кенеттен және жойқын болады. Алдын ала қорғану мүмкін емес, себебі әлсіз тұс әлі анықталмаған.

 Конференция аясында «Мемлекеттік техникалық қызмет» АҚ басқарма төрағасы Жүнісбек Асқар Рахымбайұлы қатысып, негізгі сын-қатерлер мен ұлттық киберқорғаныс жүйесін дамыту перспективалары жөніндегі өз көзқарасымен бөліседі.

KazHackStan 2025 — аймақтағы жетінші рет өтетін ең ірі киберконференция. Ол мемлекеттік органдарды, бизнесті, сарапшылар қауымдастығын және хакерлерді бір алаңда тоғыстырады. Шараға Қазақстаннан, ТМД, Еуропа, Азия және АҚШ елдерінен 6000-нан астам қатысушы мен 65-тен аса спикердің келуі күтіледі.

Конференция бағдарламасы:

Day 1 – GOVERNMENT & BUSINESS DAY: саясат, реттеу, деректердің таралуы бойынша жағдайлар және киберқорғаныстағы сындарлы қателер.

Day 2 – SECURE DEVELOPMENT DAY: қауіпсіз әзірлеудің үздік тәжірибелері, ЖИ мен бұлтты технологиялар жағдайындағы қорғаныс.

Day 3 – HACK DAY: шабуылдардың тікелей көрсетілімі, Red Team vs Blue Team, ең ірі хакерлік жарыс CyberKumbez финалы.

Шараны TSARKA Group ҚР ЦДИАӨМ-нің Киберқорғаныс орталығымен бірлесіп.

Толығырақ бағдарлама туралы ақпарат: kazhackstan.com

Сымсыз желілерге қосылған цифрлық құрылғыларды (мысалы, таспалар, электронды кезектер, ақпараттық панельдер, өзіне-өзі қызмет көрсету терминалдары, интерактивті дүңгіршектер және медиа экрандар) кеңінен қолдану арқылы жеке бизнес инфрақұрылымының киберқауіптерге осалдығы айтарлықтай өсті.

Бұл құрылғылардың жұмысында зиянкестер туындаған ақаулар кәсіпкерлер үшін қаржылық ғана емес, сонымен қатар имиджді жоғалтуға әкелуі мүмкін. Жабдықтың беделін түсіруге немесе уақытша өшіруге бағытталған бұзақылық бұзу жағдайлары әсіресе өзекті болуда.

Осыған байланысты, жеке кәсіпкерлік нысандарының сымсыз инфрақұрылымының қауіпсіздігін арттыру және рұқсат етілмеген қол жеткізу тәуекелдерін азайту мақсатында келесі техникалық және ұйымдастырушылық шараларды жүзеге асыру ұсынылады:

• WPA3 протоколы арқылы сымсыз желіні конфигурациялаңыз. Оны пайдалану мүмкін болмаса, TKIP алгоритмі өшірілген күйде WPA2 пайдаланыңыз. WEP, WPA және WPA2-PSK сияқты ескірген және осал шифрлау протоколдарын пайдалануға тыйым салу. • Жабдық түрі немесе оның иесі туралы ақпаратты қамтымайтын бірегей SSID атауын орнатыңыз.
• Желіге қосылған уақыт пен құрылғыларды бақылау үшін қосылым журналын қосу.
• Рұқсат етілген MAC мекенжайларының тізімдерін пайдаланып құрылғы қосылымдарын шектеңіз немесе сандық сертификаттар негізінде аутентификацияны енгізіңіз.
• Желідегі және басқару жабдығындағы, соның ішінде медиа ойнатқыштары мен контроллерлеріндегі зауыттық логиндер мен құпия сөздерді өзгертіңіз.
• Қарапайым және стандартты құпия сөздерді пайдаланбаңыз (мысалы, admin / admin немесе 12345678). Күрделі құпия сөздерді қолдануды жүзеге асыру (кемінде 12 таңба, оның ішінде әр түрлі жағдайда әріптер, сандар және арнайы таңбалар) және олардың мерзімді жаңартылуын реттеу.
• Жабдыққа физикалық қол жеткізуді шектеңіз, модульдер мен кабельдерді қол жетпейтін жерлерге орнатыңыз, мысалы, шкафта немесе жабық қорапта.
• Рұқсат етілмеген қосылымдарды болдырмау үшін пайдаланылмаған физикалық порттарды (USB, Ethernet) блоктаңыз.
• «Қалпына келтіру» және «Қуат» түймелеріне кіруді шектеңіз. Қуат көздерін жабық және қорғалған техникалық бөлмелерге орналастырыңыз.
• Маршрутизаторлар, кіру нүктелері, жарық диодты экран контроллері және басқа желі құрамдастары үшін микробағдарламаны жүйелі түрде жаңартуды қамтамасыз етіңіз.
• Ағымдағы протоколдар мен қауіпсіздік механизмдерін қолдамайтын ескірген жабдық үлгілерін пайдаланбаңыз.

Осы ұсыныстарды орындау сымсыз инфрақұрылымның сыртқы қауіптерге төзімділігін арттырып, сыртқы цифрлық шешімдердің сенімді жұмысын қамтамасыз ете алады.

АСУ ТП жүйелеріндегі осалдықтарға әлемдік шолу

Цифрлық технологиялар мен өндірістік процестерді автоматтандырудың қарқынды дамуы жағдайында технологиялық процестерді басқару жүйелері (АСУ ТП) Қазақстанның энергетика, мұнай-газ саласы және өнеркәсіптік өндіріс сияқты сыни инфрақұрылымының үздіксіз жұмысын қамтамасыз етуде маңызды рөл атқарады. Бұл жүйелер нысандардың тұрақтылығы мен тиімділігін қамтамасыз етеді, алайда олардың күрделілігі мен өзара байланыстылығы оларды киберқатерлер үшін тартымды нысанаға айналдырады. Автоматтандырылған шешімдерге тәуелділіктің артуымен бірге аса маңызды жүйелердің жұмысын бұзуға қабілетті осалдықтарды пайдалану қаупі де өсуде.

2025 жылдың бірінші тоқсанында Siemens, Schneider Electric және Rockwell Automation сияқты ірі өндірушілердің жабдықтары мен бағдарламалық жасақтамасына қатысты маңызды осалдықтар анықталды. Бұл киберқауіпсіздік мәселелеріне ерекше көңіл бөлудің қажеттілігін көрсетеді. Аталған осалдықтар сыни инфрақұрылым нысандарының қауіпсіздігіне қауіп төндіреді, сондықтан оларды дер кезінде жою және қорғаныс шараларын енгізу технологиялық процестердің тұрақтылығын қамтамасыз етудің басты міндеттерінің бірі болып табылады.

Төменде 2025 жылдың бірінші тоқсанында анықталған негізгі осалдықтарға шолу берілген. Мұнда жүйелердің сипаттамасы, түрі мен қауіптілік деңгейі, ықтимал салдары және жою бойынша ұсыныстар қамтылған.

---

Siemens Sinamics S200 (серво-жетектер)

Өндіруші: Siemens
CVE: CVE-2024-56336
Қамтылған жүйелердің түрі: Sinamics S200 серво-жетектері
Қауіптілік түрі мен деңгейі: микробағдарламаны жүктеушінің (bootloader) сындарлы осалдығы (CVSS 9.5)

Осалдықтың сипаттамасы: құлыпталмаған bootloader зиянкестерге құрылғыға физикалық немесе желілік қолжетімділік болған жағдайда зиянды кодты немесе рұқсатсыз бағдарламалық жасақтаманы жүктеуге мүмкіндік беруі мүмкін.

Жою бойынша ұсыныстар: Siemens компаниясы құрылғыларды қорғалған ІТ-ортада пайдалану үшін Siemens өнеркәсіптік қауіпсіздік жөніндегі нұсқаулығына (жүктеу: https://www.siemens.com/cert/operational-guidelines-industrial-security) сәйкес конфигурациялауды және өнім нұсқаулықтарындағы ұсыныстарды орындауды ұсынады.

---

Schneider Electric System Monitor (өнеркәсіптік ПК)

Өндіруші: Schneider Electric
Қамтылған жүйелердің түрі: Harmony және Pro-face өнеркәсіптік компьютерлері
Қауіптілік түрі мен деңгейі: тіркелгі деректерінің жария етілуінің сындарлы осалдығы (CVSS: 9.8)

Осалдықтың сипаттамасы: арнайы HTTP-сұрауларын жіберу кезінде құпия ақпараттың жария етілуі, бұл зиянкестерге авторизациядан өтпей-ақ тіркелгі деректерін алуға мүмкіндік беруі мүмкін.

Жою бойынша ұсыныстар:

• System Monitor қолданбасын пайдаланылмаса, оны Harmony Industrial PC Series User Manual және Pro-face PS5000 legacy industrial PC Series User Manual нұсқаулықтарына сәйкес қызметтерді тоқтату арқылы өшіру немесе жою;

• желіні сегменттеу және HTTP/HTTPS-порттарға рұқсатсыз қолжетімділікті бұғаттау үшін брандмауэрді баптау.

---

Schneider Electric PLC Modicon M580 және BMENOR2200H модулі

Өндіруші: Schneider Electric
CVE: CVE-2024-11425
Қамтылған жүйелердің түрі: Modicon M580 бағдарламаланатын логикалық контроллері және BMENOR2200H модулі
Қауіптілік түрі мен деңгейі: буфер өлшемін дұрыс есептемеудің жоғары осалдығы (CVSS 8.7)

Осалдықтың сипаттамасы: контроллердің веб-серверіндегі буфер өлшемін қате есептеу осалдығы арнайы құрылған HTTPS-пакет жіберу арқылы DoS-шабуылын (қызмет көрсетуден бас тарту) бастауға мүмкіндік беруі мүмкін.

Жою бойынша ұсыныстар:

• микробағдарламаны түзетілген нұсқаларға жаңарту (стандартты модельдер үшін SV4.30, қауіпсіз модельдер үшін SV4.21, EVLink Pro AC зарядтау станциялары үшін 1.3.10 нұсқасы);

• контроллерлерге желілік қолжетімділікті шектеу, әсіресе 443/TCP портына сыртқы қолжетімділікті жабу.

---

Rockwell Automation FactoryTalk AssetCentre

Өндіруші: Rockwell Automation
CVE: CVE-2025-0477
Қамтылған жүйелердің түрі: FactoryTalk AssetCentre активтерін басқару жүйесі
Қауіптілік түрі мен деңгейі: криптографиялық қорғаудың сындарлы осалдығы (CVSS 9.3)

Осалдықтың сипаттамасы: 15.00.01 нұсқасына дейінгі қолданылған деректердің жеткіліксіз криптографиялық қорғалуы зиянкестерге шифрланған деректерден пайдаланушы парольдерін алу және артық құқықтарды иелену (эскалация) мүмкіндігін береді.

Жою бойынша ұсыныстар:

• FactoryTalk AssetCentre жүйесін 15.00.01 немесе одан да жаңа нұсқаға жаңарту;

• шифрланған деректер сақталатын дерекқорға қолжетімділікті негізгі емес пайдаланушылар үшін шектеу;

• дерекқорға қолжетімділікті ең төменгі құқықтар принципі бойынша шектеу.

В последние месяцы ведущие мировые компании, производящие оборудование для промышленных систем автоматизации — Siemens, Rockwell Automation, Schneider Electric, ABB и другие — сообщили о новых критических уязвимостях в своих продуктах.
Под угрозой оказались контроллеры (PLC), системы SCADA/HMI, инженерные станции, сетевые модули и другое оборудование, применяемое в промышленных и инфраструктурных объектах.

 

Почему это важно для Казахстана

Подобные решения активно используются в Казахстане — в нефтегазе, энергетике, транспорте, ЖКХ, финансовом секторе и даже в медицине.
Если такие уязвимости будут использованы злоумышленниками, это может привести к остановке производственных процессов, сбоям в энергоснабжении или нарушению работы городской инфраструктуры.

Материал подготовлен для специалистов по кибербезопасности и помогает приоритизировать устранение уязвимостей. Конкретная применимость зависит от того, какие версии оборудования и ПО используются на объектах.

---

 

Что произошло у ключевых производителей

Siemens

В августе и сентябре компания выпустила почти 30 обновлений безопасности. Среди наиболее критичных:

• CVE-2025-40804 (CVSS 9.3) — уязвимость в SIMATIC Virtualization as a Service. Позволяет злоумышленнику без авторизации получить или изменить конфиденциальные данные.

• CVE-2025-40746, CVE-2025-40751 — ошибки в SIMATIC RTLS Locating Manager, дающие возможность выполнять произвольный код с правами администратора.

• Также устранены уязвимости в системах UMC, Simotion, Industrial Edge, Sinamics, которые могли привести к удалённому выполнению кода (RCE) или отказу в обслуживании (DoS).

Риски: несанкционированный доступ к инженерным станциям, сбои в работе PCS7 и WinCC, подмена конфигураций контроллеров.

---

 

Schneider Electric

Обнаружены четыре критические уязвимости в решениях EcoStruxure Power Monitoring Expert, Power Operation и Power SCADA Operation — возможны удалённое выполнение кода или утечка данных, что особенно опасно для энергетических систем.

В контроллерах Modicon M340 и модулях связи устранены ошибки, которые могли вызвать отказ оборудования при отправке вредоносных FTP-команд.
Также исправлены уязвимости в инструменте Software Update, позволявшие повышать привилегии или повреждать файлы.

Риски: искажение данных мониторинга и управления, возможность подготовки атак на критическую инфраструктуру.

---

 

Rockwell Automation

• CVE-2025-7353 (CVSS 9.3) — критическая уязвимость в модулях ControlLogix Ethernet, позволяющая получить полный контроль над устройством.

• CVE-2025-9364 — в FactoryTalk Analytics LogixAI ошибка в конфигурации базы данных Redis, что может привести к утечке данных и повышению прав.

• CVE-2025-9161 — в FactoryTalk Optix возможна загрузка и выполнение вредоносных плагинов через MQTT.

Риски: полный захват контроллеров, сбои в SCADA-системах, компрометация аналитических платформ.

---

 

ABB

В продуктах ASPECT, Nexus и Matrix обнаружены критические уязвимости — в том числе обход аутентификации и удалённое выполнение кода (RCE) без авторизации.
Некоторые из них оцениваются CVSS до 9.8, что делает их крайне опасными. ABB рекомендует обновить ПО до версии 3.08.04-s01 и выше либо изолировать уязвимые системы от сети.

Риски: удалённый захват управления и компрометация промышленных систем.

---

 

Что показывает общий анализ

За последние месяцы наблюдается рост комплексных атак, где злоумышленники используют сразу несколько уязвимостей.
Простой «реактивный» подход — когда обновления устанавливаются только после инцидента — уже неэффективен.
Необходимо переходить к устойчивой (resilient) архитектуре, которая предполагает:

• учёт всех активов и их уязвимостей;

• сегментацию сети по модели Purdue;

• применение принципа Zero Trust;

• постоянный мониторинг и контроль целостности систем.

---

 

Практические рекомендации

1. Управление обновлениями

• Вести реестр устройств и их уязвимостей.

• Перед установкой патчей оценивать, как обновление повлияет на технологический процесс.

• Тестировать обновления в изолированной среде.

• Если обновление невозможно — применять виртуальный патчинг, отключать неиспользуемые сервисы (FTP, Redis, web-debug).

• Регулярно проверять бюллетени производителей.

2. Сегментация сети

• Делить сеть по уровням: офисная часть, DMZ, SCADA, контроллеры и поле.

• Исключить прямой интернет-доступ.

• Использовать jump-серверы и data diode для безопасного обмена данными.

• Настроить многофакторную аутентификацию и минимальные права доступа.

• Ограничить протоколы и порты (разрешить только необходимые: CIP, Modbus, Profinet и др.).

3. Мониторинг и обнаружение угроз

• Развернуть специализированный OT-мониторинг.

• Интегрировать данные с SOC/SIEM.

• Контролировать целостность конфигураций ПЛК и SCADA.

• Использовать Threat Intelligence для выявления новых атак.

• Настроить детектирование аномалий — например, подозрительных FTP-команд или несанкционированного доступа к Redis.

4. Реагирование и обучение

• Обновить планы реагирования для сценариев DoS, компрометации ПЛК и др.

• Проводить тренировки с реальными сценариями.

• Обучать персонал распознавать фишинг и признаки взлома.

• Анализировать каждый инцидент для улучшения защиты.

5. Работа со старыми системами

• Включить белый список приложений.

• Запретить несанкционированные USB-устройства.

• Жёстко контролировать удалённые подключения.

• Изолировать устаревшие системы, если обновление невозможно.

---

 

Полезные ссылки

• Siemens: https://www.siemens.com/cert/advisories/

• Schneider Electric: https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp

• ABB: https://global.abb/group/en/technology/cyber-security/alerts-and-notifications

• Rockwell Automation: https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1731.html

С широким распространением цифровых устройств, подключённых к беспроводным сетям — таких как бегущие строки, электронные очереди, информационные панели, терминалы самообслуживания, интерактивные киоски и медиаэкраны — значительно возросла уязвимость инфраструктуры частного бизнеса к киберугрозам.

Нарушения в работе этих устройств, вызванные действиями злоумышленников, могут повлечь за собой не только финансовые, но и имиджевые потери для предпринимателей. Особенно актуальными становятся случаи хулиганских взломов, направленных на дискредитацию или временное выведение из строя оборудования. 

В связи с этим, в целях повышения защищённости беспроводной инфраструктуры объектов частного бизнеса и минимизации рисков несанкционированного доступа, рекомендуется реализовать следующие технические и организационные меры:

·     Настройте беспроводную сеть с применением протокола WPA3. При невозможности его использования, применить WPA2 с отключением алгоритма TKIP. Запретить применение устаревших и уязвимых протоколов шифрования, включая WEP, WPA и WPA2-PSK.

·        Установите уникальное имя SSID, не содержащее информации о типе оборудования или его владельце.

·        Активируйте ведение журналов подключения (логирование) для отслеживания времени и устройств, подключавшихся к сети.

·        Ограничьте подключение устройств с помощью списков разрешённых MAC-адресов либо внедрите аутентификацию на основе цифровых сертификатов.

·        Измените заводские логины и пароли на сетевом и управляющем оборудовании, включая медиаплееры и контроллеры.

·     Не используйте простые и стандартные пароли (например, admin/admin или 12345678). Внедрите использование сложных паролей (не менее 12 символов, включая буквы в разных регистрах, цифры и специальные символы), а также регламентируйте их периодическое обновление.

·        Ограничьте физический доступ к оборудованию, установите модули и кабели в недоступных локациях, к примеру, в шкафу или в закрытом боксе.

·        Заблокируйте неиспользуемые физические порты (USB, Ethernet) во избежание несанкционированного подключения.

·        Ограничьте доступ к кнопкам "Reset" и "Power". Разместите блоки питания в закрытых и защищённых технических помещениях. 

·        Обеспечьте регулярное обновление прошивки маршрутизаторов, точек доступа, контроллеров LED-экранов и иных сетевых компонентов.

·        Исключите использование устаревших моделей оборудования, не поддерживающих актуальные протоколы и механизмы защиты.

Соблюдение данных рекомендаций может позволить повысить устойчивость беспроводной инфраструктуры к внешним угрозам и обеспечить надёжную работу уличных цифровых решений.

Специалисты АО «Государственная техническая служба» зафиксировали и проанализировали ряд мошеннических схем, в которых злоумышленники действуют под прикрытием официальных организаций — от поликлиник и коммунальных предприятий до служб доставки. Цель преступников — получить доступ к личным данным граждан и аккаунтам в госприложениях.

 

Основные схемы мошенничества:

1. От имени регистратуры поликлиники

Мошенники звонят, представляясь сотрудниками реальных поликлиник (могут называть точные адреса и названия).

Они утверждают, что с определённого числа запись к врачам и вызов скорой якобы осуществляется не по ИИН, а по номеру медицинской декларации. Далее просят продиктовать «номер декларации», который на самом деле является одноразовым кодом для входа в госприложения, такие как DamuMed или eGov. Получив SMS, просят продиктовать шестизначный код, получая тем самым доступ к персональному аккаунту гражданина.

2. «Проверка электросчётчиков» от коммунальных служб

Мошенники представляются сотрудниками «Астана Энергосбыт», «Алматы Су» или других коммунальных организаций. Под предлогом участия в «государственной программе по замене счётчиков» они расспрашивают, когда была последняя замена, и якобы открывают заявку. Затем отправляют код на телефон жертвы и просят его продиктовать — снова пытаясь получить доступ к цифровым сервисам.

3. Уведомление о заказном письме от госорганов

Под видом сотрудников «Казпочты» или курьерских служб сообщают о заказном письме из налогового комитета, КГД РК, ЦОНа или других ведомств. Уточняют адрес, присылают SMS с номеров 1414 или 1412 и просят продиктовать код или перейти по ссылке. Это — попытка кражи данных или установки вредоносного ПО.

Специалисты АО «ГТС» сообщают, что во всех этих случаях мошенники используют персональные данные (Ф.И.О., адрес), чтобы вызвать доверие. Однако ни одна государственная или коммунальная организация не запрашивает по телефону коды из SMS или ссылки из мессенджеров.

Рекомендации:

• Не передавайте никому коды подтверждения из SMS — даже если звонящий представляется сотрудником госоргана;
• Не сообщайте ИИН и другие персональные данные по телефону;
• Не переходите по ссылкам в SMS, особенно если вы в разговоре с «представителем» организации;
• Прерывайте разговор и перезванивайте в организацию по официальному номеру;
• Сообщайте о подозрительных звонках в правоохранительные органы.

Каждый год информационные технологии делают нашу жизнь проще и удобнее, но вместе с этим увеличивается количество угроз, которым подвергаются как государственные учреждения, так и простые пользователи. Кибератаки стали частью современной реальности, влияя на частные данные, финансы и даже национальную безопасность. 2024 год стал годом ярких примеров того, как цифровая эпоха требует повышенного внимания к вопросам кибербезопасности. Как и положено по традиции, АО «Государственная техническая служба» в начале каждого года представляет новый выпуск кибердайджеста, в котором освещены инциденты в сфере информационной безопасности (ИБ) в Казахстане за прошедший период.

Утечка данных Zaimer.kz: личные данные миллионов — в открытом доступе

В марте 2024 года Казахстан столкнулся с одной из крупнейших утечек данных. База данных микрофинансовой организации Zaimer.kz, включающая личную информацию 1 947 022 граждан, появилась в открытом доступе в Telegram. Среди данных — полные имена, идентификационные номера и контактные телефоны пользователей.

Эта информация быстро попала в руки мошенников, которые использовали её для создания фальшивых займов, оформления кредитов и кражи денег со счетов клиентов.

Почему это произошло?

Специалисты по кибербезопасности отмечают, что организация не обеспечила должного уровня защиты баз данных. Отсутствие регулярных проверок безопасности, устаревшие системы и слабое шифрование стали причиной утечки.

Как предотвратить подобные случаи?

1. Использовать шифрование на уровне баз данных.
2. Регулярно проводить аудит систем безопасности.
3. Оповещать клиентов о рисках и обучать их основам кибергигиены.

Кибератака на министерство

В июне 2024 года злоумышленники атаковали сервер одного из министерств страны. С помощью специальных утилит они получили доступ к базе данных учетных записей сотрудников, включая административные. Используя технику извлечения данных, хакеры могли получить доступ к конфиденциальной переписке и стратегическим документам.

Этот случай стал серьезным вызовом для национальной безопасности. Специалисты утверждают, что атака могла быть организована иностранными хакерскими группами с целью шпионажа.

Последствия атаки:

1. Угроза утечки данных, касающихся международных соглашений.
2. Риск ухудшения дипломатических отношений.

Какие меры предприняты?

 Немедленно была отключена скомпрометированная система от сети.

 Учетные данные сотрудников обновлены, а доступ к серверу — заблокирован.

Утечка данных медицинской информационной системы: угроза для самых беззащитных

Еще одной крупной утечкой 2024 года стала компрометация данных медицинской информационной системы, которая содержит информацию о детях, зарегистрированных в медицинских учреждениях Казахстана. В открытый доступ попали личные данные детей, включая их даты рождения, имена и адреса.

Такие данные могут быть использованы для социальной инженерии, создания фальшивых профилей или даже похищения детей. Уязвимость системы показала, что даже самые чувствительные базы данных требуют более серьезной защиты.

DDoS-атака на отечественный ИР: интернет-ресурс под прицелом

Отечественный интернет-ресурс в январе 2024 года стал жертвой высокоинтенсивной DDoS-атаки. Хакеры использовали десятки тысяч запросов с тысяч IP-адресов, чтобы перегрузить сервер и сделать сайт недоступным.

Эта атака вывела ресурс из строя на несколько часов, что привело к репутационным и финансовым потерям.

После данного инцидента ИР установил системы защиты Cloudflare и CAPTCHA, чтобы снизить риск повторения подобных атак.

DDoS-атаки остаются популярным инструментом хакеров, и их предотвратить можно только с помощью профессиональных решений для фильтрации трафика.

Глобальные инциденты: уроки для Казахстана

Казахстан оказался не единственной страной, пострадавшей от цифровых угроз. В 2024 году мир столкнулся с рядом масштабных инцидентов, которые подчеркнули глобальный характер киберугроз.

1. Взлом криптовалютной биржи (США): Хакеры похитили более 1 миллиарда долларов из-за уязвимости в системе биржи.
2. Утечка данных крупнейшего банка Индии: Данные миллионов клиентов были опубликованы в даркнете, что привело к волне финансового мошенничества.
3. Атака на образовательную платформу в Европе: Хакеры скомпрометировали данные студентов, включая персональную информацию несовершеннолетних.

Эти случаи показали, что атаки становятся всё более сложными и масштабными. Даже самые технологически развитые компании оказываются не готовы к современным угрозам.

Кибербезопасность уже не просто техническая задача — это стратегическая необходимость, определяющая устойчивость организаций в цифровом мире. В 2025 году ожидается рост числа кибератак и развитие технологий ИИ, что потребует от компаний не только внедрения передовых решений, но и подготовки кадров, способных быстро реагировать на угрозы.

В 2024 году АО «ГТС» зафиксировано более 41 тысячи инцидентов в области информационной безопасности, в том числе с вирусами, сетевыми червями и троянами. Обострение угроз связано с применением IoT (интернет вещей) и ИИ в кибератаках, что требует постоянного совершенствования защиты и улучшения осведомленности пользователей по вопросам кибергигиены.

Тенденции и прогнозы: куда движется ИБ в 2025 году?

В 2025 году одной из наиболее значимых угроз в сфере дезинформации станет использование искусственного интеллекта. Это представляет собой серьезный вызов для информационной безопасности, поскольку такие технологии могут быть использованы для распространения дезинформации на массовом уровне, В условиях этой угрозы потребность в разработке и внедрении эффективных алгоритмов на ИИ станет приоритетной задачей для государственных структур, технологических компаний и международных организаций.

Подробнее в КИБЕРКОД 2024: вызовы цифровой эпохи.

Скачав однажды игру на смартфон, можно остаться без денег и даже без самого смартфона. Как это происходит и как защититься от этого мы сегодня разберем в нашей статье.

В сегодняшнем обзоре мы поговорим про смартфоны, работающие на операционной системе Android.

Актуальность данной статьи обусловлена тем, что у пользователей операционной системы (ОС) Android существует возможность установки приложений и игр не только с официальных магазинов (Play Market, Google Play, AppGallery, Samsung Galaxy Store и других), но и из других источников, что не является безопасным и несет в себе различные угрозы. Поэтому крайне не рекомендуется скачивание и установка файлов и игр из различных неизвестных источников.

 

Установка из неофициальных и непроверенных источников может повлечь за собой установку различного вредоносного программного обеспечения, которое несет риски утечки ваших персональных данных, доступ к приложениям вашего интернет-банкинга, считывание SMS-сообщений, а также ваш смартфон может стать частью бот-сетей и использоваться злоумышленниками для осуществления различных кибератак, спам-рассылок, несанкционированных звонков и других.

Так как же защититься от подобного рода кибератак?

1.Отключить установки из неизвестных источников.
Для защиты от случайной установки убедитесь, что возможность установки приложений из неизвестных источников отключена. Как правило, она отключена по умолчанию, но лучше проверить.

В Android версии 4.0 и выше необходимо перейти в раздел Настройки безопасности и убедиться, что Неизвестные источники отключены.

В предыдущих версиях Android, нажмите Настройки – Настройки приложений и смотрите, стоит ли галочка на пункте Неизвестные источники.
! Важным тревожным сигналом может быть и запрос приложения на получение прав администратора. Таким образом владелец приложения получит право на удаленный доступ к вашему смартфону, что несет вышеуказанные риски.

2. Установить антивирусное приложение.
Хороший антивирус способен защитить ваш смартфон от программ-вымогателей и прочих киберугроз, которые могут быть спрятаны не только на сайтах, но и приложениях, загруженных из различных источников. Если вы случайно нажмете подозрительную ссылку, скачаете поддельное приложение или попробуете установить мошенническую надстройку, антивирусное приложение поместит вирус в карантин и предотвратит заражение смартфона.
! Антивирусная защита выпускается не только для персональных компьютеров.

3.Регулярно обновлять операционную систему.
Устанавливайте все обновления ОС Android, поскольку многие из них связаны с безопасностью. Конечно, обновления для смартфонов с ОС Android известны тем, что нередко выходят слишком долго, поэтому в вопросах своей безопасности нельзя полагаться только на них, поэтому лучше все же установить антивирус.

4. Делать резервные копии всех важных файлов, которые хранятся на вашем смартфоне.
Резервные копии можно хранить в облаке, на внешнем жестком диске или использовать сторонний сервис.
Для запуска резервного копирования необходимо провести следующие действия:
•    В разделе Настройки операционной системы найдите раздел Google.
•    Далее переходите в раздел Резервное копирование. Здесь вы увидите кнопку Начать копирование. Под ней представлен список данных, которые будут сохранены в ваш аккаунт. В их число входит журнал звонков, сообщения, контакты, настройки Android, фотографии и видео, а также данные приложений, которые подтверждают эту функцию.
•    Нажмите на кнопку Начать копирование и дождитесь окончания процесса.
Таким образом, периодически можно делать резервную копию данных вашего смартфона.

5.Быть крайне осторожным со всплывающими окнами.
Посещая сайт или играя в онлайн-игру и получив всплывающий запрос на обновление или установку надстройки, лучшее, что вы можете сделать — закрыть всплывающее окно.
! Для защиты от различных всплывающих окон рекомендуем использовать надстройки типа AdBlock в вашем браузере.

6. Дважды подумать, прежде чем перейти по ссылке.
Фишинг – по-прежнему самый популярный способ распространения вредоносных программ и сбора персональных данных. Неумолимо растет количество случаев использования фишинговых атак, которые нацелены на смартфоны, социальные сети и мессенджеры. Не нажимайте ссылки, которые получаете в сообщении или электронном письме от неизвестного источника. Даже если источник знаком, внимательно изучите адрес отправителя и источник ссылки, прежде чем продолжить. Если что-либо вызывает сомнение, воздержитесь от каких-либо действий.

7. Использовать безопасный DNS.
Безопасный DNS – это бесплатный сервис контентной фильтрации, который ограничивает доступ к вредоносным сайтам, а также ресурсам, нежелательным для просмотра. Позволяет владельцу защищать либо все домашние смартфоны, либо выбирать фильтрацию для них по отдельности через простые для понимания готовые в профиле. Если сайт внесен в базу Безопасного DNS, пользователь увидит сообщение об этом.

Этот сервис схож с услугой «Родительского контроля», но в отличие от многих других является абсолютно бесплатным. Подключить данную услугу может любой пользователь, поскольку подключение не требует особых специальных знаний в сфере IT.

Подключение сервиса для смартфонов на базе Android возможна как на определенном смартфоне, так и при помощи Wi-Fi сети.
Для настройки на смартфоне необходимо совершить следующие действия: Выберите свою точку доступа Wi-Fi из списка доступных сетей => нажмите на кнопку Настройки => выберите пункт Дополнительно => в разделе Параметры IP измените данный пункт с DHCP на Статический => введите 91.214.42.211 в качестве DNS1 => альтернативный 91.214.42.212 DNS2.

Несколько удобнее, конечно, будет провести конфигурацию сразу точки доступа Wi-Fi сети, нежели каждого смартфона. Для этого достаточно в настройках DHCP на точке доступа Wi-Fi указать 91.214.42.211 в качестве предпочитаемого DNS сервера, а также 91.214.42.212 в качестве альтернативного. Таким образом, принятые настройки DNS будут автоматически приняты для смартфонов, подключаемых к данному Wi-Fi.

Рост числа вредоносных программ, нацеленных на Android несет в себе серьезную угрозу. Но разве не приятно знать, что у вас есть возможность, благодаря которой эта угроза никогда не станет реальностью для вашего смартфона? Нужно лишь соблюдать правила кибергигиены и устанавливать приложения из проверенных источников.

Защитите ваши данные и деньги на смартфоне, используя наши рекомендации!

Количество фишинговых атак увеличивается с каждым годом, а методы «фишеров» становятся все изощреннее. Жертвы фишинговых атак — обычные интернет-пользователи, предприниматели и целые компании. Существуют множество уловок злоумышленников, направленных на получение конфиденциальных данных пользователей с дальнейшим их использованием в корыстных целях, в том числе снятие средств с банковских карт.

Впервые понятие «фишинг» было использовано в 1996 году, когда злоумышленники, представляясь сотрудниками крупного американского интернет-провайдера AOL (America Online), собирали идентификационную информацию пользователей (логины и пароли). В результате от имени этих людей производились рассылки спама.

Для того, чтобы не стать жетрвой мошенников эксперты KZ-CERT рекомендуют соблюдать следующие рекомендации:

• С подозрением относитесь к нежелательным телефонным звонкам, сообщениям электронной почты, особенно с ссылками от людей, которые запрашивают данные о сотрудниках или другую внутреннюю информацию. Если неизвестный человек утверждает, что он из доверенной организации, то следует проверить его личность напрямую в компании.

• Остерегайтесь открытия сомнительных ссылок, получаемых в мессенджерах и социальных сетях.

• Не передавайте личную, конфиденциальную и корпоративную информацию о вашей организации, если вы не уверены в том, что у человека есть полномочия на получение такой информации.

• Не раскрывайте личную или финансовую информацию по электронной почте.

• Не отправляйте конфиденциальную информацию через Интернет, если вы не уверены в легитимности интернет-ресурса.

• Если вы не уверены, является ли обращение или запрос по электронной почте законным, то следует проверить его, связавшись напрямую с компанией. При этом не используйте контактную информацию, указанную в письме или по ссылке из письма.

• Используйте антивирусное программное обеспечение и своевременно обновляйте его базы, используйте фильтры электронной почты, чтобы уменьшить количество получаемых фишинговых рассылок.

• Воспользуйтесь всеми функциями защиты от фишинга, предлагаемыми вашим почтовым клиентом и веб-браузером.

• Используйте двухфакторную аутентификацию (2FA).

• Никому не сообщайте трёхзначный CVV/CVC-код (на обратной стороне банковской карты). И не сообщайте поступающий SMS-код от банка.

Если вы столкнулись с инцидентом информационной безопасности, просим сообщать нашим специалистам по бесплатному номеру 1400 (круглосуточно) или отправить заявку в Telegram-чат: https://t.me/kzcert.

АО «Государственная техническая служба» (АО «ГТС») сообщает о новом разделе на официальном сайте sts.kz.

Новый раздел «Реестр статических адресов сетей передачи данных» (РСАСПД) располагается на главной странице сайта в правом нижнем углу.

РСАСПД — это электронный информационный ресурс, включающий в себя установленной формы перечень сведений о статических адресах сетей передачи данных, их видах и категориях, а также об их владельцах.

Сопровождение РСАСПД осуществляется АО «ГТС» в соответствии с пп.1) п.1 статьи 9-2 Закона Республики Казахстан «О связи», а также Правилами формирования и ведения реестра статических адресов сетей передачи данных, утвержденными Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан № 400/НҚ от 28 октября 2022 года.

Приказ вступает в силу с 18 ноября текущего года.

Контакты для получения консультаций: 1400, e-mail: rsaspd@sts.kz

Сообщаем вам, что 4 сентября 2023 года с 18:00 до 22:00 запланировано проведение технических работ на интернет-портале Synaq. В результате данного обновления ожидается временная недоступность портала.

Приносим извинения за возможные неудобства, связанные с временным отсутствием доступа к нашему порталу.

Спасибо за понимание!

С уважением, АО «ГТС»

В сентябре текущего года с целью анализа и дальнейшего устранения в сетях государственных органов инцидента ИБ в Национальную службу реагирования на компьютерные инциденты АО «Государственная техническая служба» (Служба KZ—CERT) поступила информация от одной из казахстанских компаний о файле с Agent Tesla и DarkTortilla, которые в связке  представляют инфостилер.

По информации компании, файл, в котором были найдены электронные адреса казахстанцев, хакеры использовали для шпионских целей.

Специалистами Службы KZ CERT поступивший файл был проанализирован и воссоздан алгоритм действий инфостилера. Таким образом выяснилось, что  злоумышленник отправлял файл в адрес пользователя, а после открытия файла запускался инфостилер, который собирал конфиденциальную информацию с компьютера, в том числе, адреса сайтов с логинами и паролями.  Параллельно инфостилер каждые 20 мин делал скриншоты и отслеживал нажатие клавиш пользователей согласно прописанным запросам злоумышленника.

После получения детектированного образца стало известно название файла: «Новый запрос на заказ №_41869009.exe» и оригинальное имя: oasaesasaaa.exe.

AGENT TESLA И DARKTORTILLA

В мире киберпреступности с каждым днем увеличивается число инструментов, которые используют хакеры. В данном случае мы раскроем тактику одного из самых сложных киберугроз настоящего времени — DarkTortilla.

Немного предыстории о DarkTortilla. Это универсальный инструмент для киберпреступников, он базируется на .NET и обладает настройками, связанными с группировкой RATs Crew. Кроме того, возможно сходство с вредоносом Gameloader.

Agent Tesla, который был использован в связке с DarkTortilla, представляет собой инфостилер, способный красть личные данные из веб-браузеров, почтовых клиентов и FTP-серверов: пароли, ключи и другие конфиденциальные данные. Последние версии Agent Tesla также способны добывать личные данные из VPN-клиентов.

АНАЛИЗ КОДА И ВАЖНЫЕ ОСОБЕННОСТИ DARKTORTILLA

DarkTortilla использует метод стеганографии для сокрытия своей конфигурации. В данном случае конфигурация образца хранится в 14 файлах (изображения).

*Стеганография — это техника сокрытия информации внутри изображений или других медиафайлов так, чтобы эта информация оставалась невидимой для обычного визуального анализа.

DarkTortilla использует технику анти-анализа, чтобы обойти попытки анализа и обнаружения вредоносного кода. Точнее, он проверяет равенство имени файла с «ystem32» и текущей папки с «scan». Если оба эти условия действительны, то выполнение программы преждевременно завершается. Этот механизм представляет собой часть обфускации и самозащиты DarkTortilla.        Обнаружение «system32» и «scan» может свидетельствовать о попытке анализа или динамической декомпиляции кода. В случае обнаружения таких условий вредоносное ПО прекращает свою работу, что затрудняет его анализ и исследование. Это один из способов, которыми DarkTortilla обеспечивает свою стойкость и «спрятанность» в системе.

DarkTortilla копирует себя в папку %appdata%\\случайное_имя\\случайное_имя после заражения системы.

Это одна из тактик, которые вредоносные программы могут использовать для обеспечения долгосрочного пребывания в системе.

Для расшифровки полезной нагрузки DarkTortilla использует функцию Qb63() с алгоритмом XOR.

ПОЛЕЗНАЯ НАГРУЗКА (PAYLOADS)

На следующем этапе DarkTortilla представляет расшифрованную полезную нагрузку. Проверяет доступность сети, используя функцию InternetGetConnectedState, и, в случае отсутствия сети, завершает выполнение. Образец также получает IP-адрес текущего компьютера с использованием сервиса api[.]ipify[.]org.

Инфостилер также включает в себя функционал кейлоггера для отслеживания нажатий клавиш с помощью функции SetWindowsHookEx(). Его основная задача — эксфильтрация конфиденциальных данных, таких как пароли, ключи и настройки пользовательских программ, включая браузеры, почтовые клиенты, VPN и FTP-клиенты и многое другое. Более того, образец регулярно создает скриншоты экрана с использованием функции Graphics.CopyFromScreen() с интервалом в 20 минут.

ЭКСФИЛЬТРАЦИЯ ДАННЫХ

Все собранные конфиденциальные данные передаются с использованием протокола SMTP. Образуется электронное письмо, в котором отправителем указан «elihans@uroener.online», а получателем — «log@ld-didectic.de». Для доступа к аккаунту используется пароль: cooldown2013@@. Для отправки используется почтовый сервер: premium185.web-hosting.com. Письмо отправляется в виде HTML-вложения с именем в формате yyyy_MM_dd_HH_mm_ss.html.

ОСНОВНОЙ ФУНКЦИОНАЛ

Основными задачами DarkTortilla являются сбор конфиденциальных данных из пользовательских программ, ведение кейлоггера, профилирование системы и создание скриншотов экрана. Этот многогранный инструмент способен оставаться невидимым в системе, а также обеспечивать непрерывный сбор и передачу конфиденциальных данных киберпреступникам.

Исходя из анализа, специалисты Службы KZ CERT сообщают, что DarkTortilla и его связанный софт Agent Tesla представляют серьезную угрозу для безопасности данных и личной информации.

Службой KZ CERT в адрес казахстанских пользователей, подвергнувшихся атаке, направлены рекомендации и уведомления по кибергигиене.

Настоятельно рекомендуем использовать сложные пароли и не открывать подозрительные файлы, а также принять общие меры по кибербезопасности для защиты систем от подобных киберугроз.

Если вы столкнулись с инцидентом информационной безопасности, сообщайте нам по бесплатному номеру 1400 (круглосуточно), по ссылке на telegram-бот @KZ_CERT_chat_bot или на email: incident@cert.gov.kz

 

АО «Государственная техническая служба» сообщает, в сентябре текущего года с использованием Единого шлюза доступа к Интернету (ЕШДИ) заблокировано свыше 19 млн. кибератак.

Наиболее распространёнными типами ботнета в сетях государственных, местных исполнительных органов, организаций квазигосударственного и частного секторов РК стали Mariposa.Botnet, andromeda.Botnet и Mozi.Botnet.

По сравнению с предыдущим месяцем в сентябре АО «ГТС» зафиксировано увеличение количества кейсов связанных с распространением вредоносного программного обеспечения (ВПО) на 12%. Наибольшее количество зарегистрировано в местных исполнительных органах.

В ходе анализа отчётов по спаму, полученных с оборудования Единый шлюз электронной почты (ЕШЭП), а также в ходе обработки инцидентов информационной безопасности, полученных от казахстанских пользователей, в государственных органах, критически важных объектах информационно-коммуникационной инфраструктуры и местных исполнительных органах в сентябре 2023 года зафиксировано увеличение рассылок связанных со спамом с вредоносным вложением, писем с мошенническим содержанием и ссылкой на фишинговые/мошеннические ресурсы на 28.6%. Спам-рассылки и вредоносные вложения писем, обнаруженные в результате анализа логов ЕШЭП, помещены на карантин и до целевых получателей не доставлены. С целью устранения вредоносной активности в адрес владельцев интернет-ресурсов и зарубежных организаций стран, на территории которых расположены источники вредоносной активности, направлены оповещения.

Добавим, что зафиксированные инциденты информационной безопасности типа «Фишинг в сети Интернет» в основном связаны с клонами интернет-ресурсов и формами авторизации.

Если вы столкнулись с инцидентом информационной безопасности, сообщайте нам по бесплатному номеру 1400 (круглосуточно), по ссылке на telegram-бот @KZ_CERT_chat_bot или на email: incident@cert.gov.kz