С начала специальной военной операции направленность кибератак существенном образом изменилась. Если раньше главной целью злоумышленников было обогащение и кража конфиденциальных данных при помощи троянских программ, шифровальщиков и DDos-атак, то сейчас упор делается на негативное информационное воздействие на общественное мнение людей. Злоумышленникам крайне важно посеять панику, вызвать недовольство населения за счёт распространения ложной информации на официальных ресурсах. Об этом на конференции «гИБЧе» в Челябинске рассказали эксперты по информационной безопасности.
С момента появления интернета, различных онлайн-ресурсов и корпоративных ИТ-систем целью подавляющего числа кибератак было желание заработать, нанести репутационный ущерб и побороться с неугодными конкурентами. Но за последние несколько лет вектор воздействие заказчиков сместился в сторону геоэкономики и политики, а для атак стали использоваться полноценные группировки государственного уровня, которые называют киберармией. Ситуация февраля-мая 2022 года стала яркой иллюстрацией происходящих процессов в рамках всего мира.
Информационные войны
Тысячи ИТ-систем в России как государственного, так и корпоративного уровня столкнулись с невиданной по силе мощностью кибератак. Причём атакующие не стремились получить какие-либо материальные выгоды. Главной целью стали попытки посеять панику и настроить население страны против своего руководства. Для этого в социальных сетях распространялась заведомо ложная информация о происходящих событиях, а также совершались DDoS-атаки, которые должны были приостановить работу различных услуг и сервисов хотя бы на время. По этой причине в первую очередь атакам подвергались и продолжают подвергаться порталы и сайты органов государственной власти, онлайн-ресурсы средств массовой информации, государственные информационные системы, которые содержат персональные данные и т.п. Это создаёт благоприятную почву для распространения домыслов, фейков и недостоверной информации.
Как отмечает Алексей Кравченко, директор по развитию региональных продаж в государственном сегменте «Ростелеком-Солар», в основном, атаки идут с IP-адресов, зарегистрированных за пределами России. «Увы, в связи с политической обстановкой прямых контактов с компаниями и правоохранительными органами за пределами России из недружественных стран нет».
Для помощи российским организациям с февраля 2022 года были ускорены все коммерческие инициативы (команды работали в три смены, подключая клиентов в том числе под атакой). При этом для заказчиков, которые не могли оплатить услуги, часть работ проводилась бесплатно. Кроме того, всем заинтересованным компаниям неограниченно предоставлялась методическая поддержка в части защиты.
Для противодействия массированным кибератакам крупнейшие компании в сфере информационное безопасности организовали дополнительный канал коммуникации и обмена данными по всем киберинцидентам. В киберштаб вошли представители «Ростелеком-Солар», «Лаборатория Касперского», Positive Technologies и BI ZONE. За 8 месяцев совместной деятельности объединенная группа разработала для компаний несколько документов и рекомендаций, в том числе по обновлению зарубежного ПО, борьбе с отзывом сертификатов, а также аналитику по ИТ-армии Украины и др. Участники киберштаба не только усилили взаимодействие в рамках ГосСОПКА, но и сформировали отдельную среду для оперативной совместной работы.
Поступающие данные по атакам обрабатываются в рамках единой команды на условиях неконкуренции, свободного и полного шеринга экспертизы, а задачи распределяются с учетом честной оценки свободных ресурсов. Такой подход позволил обеспечить максимально качественное реагирование на атаки внутри инфраструктур отдельных компаний, которым оказывалась поддержка.
События в киберпространстве после 24 февраля стали наиболее заметны для массовой аудитории, благодаря непрекращающейся волне DDoS-атак. Некоторые из них достигали нескольких терабит, но поначалу эти атаки были не очень технологичны. В частности, все цели размещались в специализированных телеграм-каналах. По классической схеме злоумышленники использовали массовые международные ботнеты. Однако у этих атак были и специфические черты.
Во-первых, учитывалась сезонная популярность ресурсов: атаки на порталы по продаже ж/д и авиабилетов – в начале сезона отпусков, на сайты вузов – в начале и конце приемной кампании, а в период праздников – DDoS ключевых ресурсов, обеспечивающих видеотрансляции.
Во-вторых, хакеры с помощью специализированного ПО сформировали бот-сеть, атакующую даже те организации, которые ограничили у себя использование международного трафика и закрылись от международных ботнетов. Так, в самой крупной из атак было задействовано 250 тыс. устройств.
В-третьих, злоумышленники использовали и нестандартные способы DDoS-атак с территории РФ. Например, за счёт заражения видеоплеера на популярном видеохостинге хакеры включили в свой ботнет устройства ничего не подозревающих российских зрителей.
Созданная инфраструктура ИТ-армии Украины использовалась не только для DDoS каналов связи, но и для массовых атак уровня веб-приложений. И если обычно злоумышленники работают фокусно, по адресам конкретной организации, то теперь в их зоне интереса оказались все российские IP-адреса. Ведь на текущий момент в российском интернете содержится несколько десятков тысяч уязвимых корпоративных ресурсов и забытых веб-консолей, опубликованных на ИТ-периметрах госструктур и коммерческих компаний. Причем многие их этих уязвимостей довольно старые и проэксплуатировать их может даже школьник, так что количество взломов скорее ограничивается числом атакующих. Например, уязвимость в почтовом клиенте MS Exchange использовалась примерно в 15% крупных корпоративных и государственных взломов, хотя соответствующее обновление было выпущено вендором еще в начале 2021 года. Известная уязвимость в Bitrix также использовалась в нескольких десятках атак с лета этого года.
В настоящее время в стране на базе ФСБ действует отдельное подразделение - Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Именно он отвечает за сбор, своевременное обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирования на компьютерные инциденты.
НКЦКИ объединяет центры ГосСОПКА по всей России, куда стекается информация обо всех компьютерных инцидентах, которые происходят на тех или иных объектах критической инфраструктуры, информационных системах госорганов, крупных предприятий и т.д. Вся эта информация анализируется, изучается: на какие объекты, информационные системы происходят атаки. После этого, соответствующие предупреждения направляются в компании, операторам связи или ИТ-решений, в которых используются схожие или аналогичные системы. В настоящее время по всей стране работает целая сеть как ведомственных, так и корпоративных центров госСОПКА. Они также решают задачи по оперативному реагированию на разного рода инциденты.
По словам экспертов, сейчас активно создаются центры мониторинга и реагирования на компьютерные атаки, которые строятся на базе специалистов по информационной безопасности. Их задача – выявление в инфраструктуре компьютерных инцидентов, векторов атак, своевременное реагирование на них.
Так, компания «Ростелеком-Солар» активно продвигает такое решение, как киберполигон, который по сути представляет собой тренажёр для специалистов по информационной безопасности. Решение построено на базе ЦОДа, где в виртуальной среде создаётся цифровой двойник предприятия или государственного учреждения. Информационная среда, точно такая же как в реальности, тестируется на предмет разного рода атак и реакции ответственного персонала. Помимо этого, проверяется реакция специалистов по кибербезопасности, они получают новый бесценный опыт. Вся эта процедура очень похожа на обучение пилотов на авиасимуляторе, где создаются разного рода нештатные ситуации, отрабатываются базовые навыки и т.п.
«Теоретических знаний всегда много, а вот перевести их в практику не всегда получается. Моделирование реальных систем предприятий в рамках киберполигона позволяет сотрудникам получить бесценный опыт», - рассказывает Алексей Кравченко.
Мошенничество
Несмотря на увеличение числа атак в сфере информационного воздействия в течение всего 2022 года специалисты продолжают фиксировать рост количества финансово мотивированных злоумышленников. Для этих целей используются все доступные инструменты: целевой фишинг, DDoS, различное вредоносное ПО. Чтобы заставить жертву заплатить, злоумышленники стремятся нанести максимальный ущерб: остановить операционные процессы, навредить репутации, сделать восстановление практически невозможным.
Далеко не все из профессиональных политически мотивированных атак стали доступны широкой публике, но можно отметить, что несколько компаний с очень серьезным уровнем безопасности пали жертвой группировок, работающих в интересах наших политических визави и нацеленных на дестабилизацию, разрушение инфраструктуры или максимальную компрометацию критических данных организации. Для атаки как правило использовались эксплуатация уже известных уязвимостей и фишинговые рассылки с вредоносным ПО, в том числе с серверов предварительно скомпрометированных компаний.
Большинство организаций после февральских событий стали наращивать свою защищенность, однако на практике этого мало — в случае любых геополитических потрясений, равно как и общественно значимых событий, необходимо оперативно искать следы более раннего взлома организации. На практике оказалось, что многие компании были взломаны за несколько месяцев до нанесения им реального ущерба — в частности, полного вывода из строя или длительного нарушения работоспособности сервисов, потери конфиденциальных данных.
Не исчезли и группировки, практикующие классический кибершпионаж. В текущих реалиях им стало даже проще скрываться от взглядов команд безопасности. Причина этого проста: защищающая сторона сейчас вынуждена противодействовать непрерывному валу простых, но быстрых в реализации атак. При этом на уровне риск-приоритетов компаний угроза шифрования данных куда более значима, чем «абстрактный» шпионаж.