Ключевые игроки рынка информационной безопасности на фоне колоссального роста атак на коммерческие и государственные компании создали единый киберштаб для совместной защиты российских организаций. С этой целью эксперты компаний «Ростелеком-Солар», «Лаборатория Касперского», Positive Technologies и BI ZONE обмениваются инструментарием и наработками, которые ранее считали своим конкурентным преимуществом. Также компании дали оценку изменений в киберпространстве с начала специальной военной операции.
Как отметил директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков, «для помощи российским организациям в этот сложный период были ускорены все коммерческие инициативы (команды работали в три смены, подключая клиентов в том числе под атакой). При этом для заказчиков, которые не могли оплатить услуги, часть работ проводилась бесплатно. Кроме того, всем заинтересованным компаниям неограниченно предоставлялась методическая поддержка в части защиты».
За 8 месяцев совместной деятельности объединенная группа разработала для компаний несколько документов и рекомендаций, в том числе по обновлению зарубежного ПО, борьбе с отзывом сертификатов, а также аналитику по ИТ-армии Украины и др. Участники киберштаба не только усилили взаимодействие в рамках ГосСОПКА, но и сформировали отдельную среду для оперативной совместной работы.
Поступающие данные по атакам обрабатываются в рамках единой команды на условиях неконкуренции, свободного и полного шеринга экспертизы, а задачи распределяются с учетом честной оценки свободных ресурсов. Такой подход позволил обеспечить максимально качественное реагирование на атаки внутри инфраструктур отдельных компаний, которым оказывалась поддержка.
«Этот опыт необходимо масштабировать, выстраивать баланс между коммерческими интересами отдельных компаний и реальной экстренной помощью пострадавшим: в информационной безопасности необходима своя «клятва Гиппократа», в соответствии с которой первостепенной является именно неотложная помощь атакованным», – заявил Алексей Новиков, директор по исследованиям и разработке компании Positive Technologies.
«События в киберпространстве после 24 февраля стали наиболее заметны для массовой аудитории благодаря непрекращающейся волне DDoS-атак. Некоторые из них достигали нескольких терабит, но поначалу эти атаки были не очень технологичны. В частности, все цели размещались в специализированных телеграм-каналах, по классической схеме злоумышленники использовали массовые международные ботнеты. Однако у этих атак были и специфические черты», – рассказал Евгений Волошин, директор по стратегии BI.ZONE.
Во-первых, учитывалась сезонная популярность ресурсов: атаки на порталы по продаже ж/д и авиабилетов – в начале сезона отпусков, на сайты вузов – в начале и конце приемной кампании, а в период праздников – DDoS ключевых ресурсов, обеспечивающих видеотрансляции.
Во-вторых, хакеры с помощью специализированного ПО сформировали бот-сеть, атакующую даже те организации, которые ограничили у себя использование международного трафика и закрылись от международных ботнетов. Так, в самой крупной из атак было задействовано 250 тысяч устройств.
В-третьих, злоумышленники использовали и нестандартные способы DDoS-атак с территории РФ. Например, за счет заражения видеоплеера на популярном видеохостинге хакеры включили в свой ботнет устройства ничего не подозревающих российских зрителей.
Созданная инфраструктура ИТ-армии Украины использовалась не только для DDoS каналов связи, но и для массовых атак уровня веб-приложений. И если обычно злоумышленники работают фокусно, по адресам конкретной организации, то теперь в их зоне интереса оказались все российские IP-адреса. Ведь на текущий момент в российском интернете содержится несколько десятков тысяч уязвимых корпоративных ресурсов и забытых веб-консолей, опубликованных на ИТ-периметрах госструктур и коммерческих компаний. Причем многие их этих уязвимостей довольно старые и проэксплуатировать их может даже школьник, так что количество взломов скорее ограничивается числом атакующих. Например, уязвимость в почтовом клиенте MS Exchange использовалась примерно в 15% крупных корпоративных и государственных взломов, хотя соответствующее обновление было выпущено вендором еще в начале 2021 года. Известная уязвимость в Bitrix также использовалась в нескольких десятках атак с лета этого года.
Ключевые темы и особенности атак
Характер атак этого года и их активный пиар хакерами говорит о попытке посеять панику среди населения, создав ощущение критического воздействия на инфраструктуры множества российских организаций. Однако за таким визуальным эффектом (дефейсом) в большинстве случаев стоят достаточно несложные атаки на подрядчиков по размещению контента, не имеющие серьезных последствий. Такими, например, были атаки на поставщика онлайн-вещания на 9 мая или на сеть обмена баннерами, работающую с ключевыми интернет-порталами и СМИ.
«Если раньше информация о хакерских атаках становилась доступна лишь экспертам на профильных форумах и в даркнете, то сейчас она все чаще появляется в публичных телеграм-каналах, а иногда высылается напрямую журналистам как новость, – подчеркнул директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков. – Данные, которые раньше продавались за существенные суммы в биткоинах, сейчас выкладываются в общий доступ абсолютно бесплатно. При этом анализируя ситуацию с утечками этого года, приходится констатировать, что 9 из 10 таких публичных кейсов являются фейками. Часто злоумышленники пытаются представить как утечку тестовые данные, данные из открытых источников (на которые иногда специально навешиваются грифы коммерческой тайны или секретности) либо компиляцию старых утечек. Поэтому мы просим граждан (и особенно журналистов и блогеров) сохранять спокойствие и не обращать внимания на эти массовые попытки дестабилизации информационной обстановки».
В течение всего 2022 года специалисты продолжают фиксировать рост числа финансово мотивированных злоумышленников. Для этих целей используются все доступные инструменты: целевой фишинг, DDoS, различное вредоносное ПО. Чтобы заставить жертву заплатить, злоумышленники стремятся нанести максимальный ущерб: остановить операционные процессы, навредить репутации, сделать восстановление практически невозможным.
«Сегодня мы продолжаем фиксировать высокий уровень атак на бизнес. Злоумышленники переходят от массовых рассылок к более сложному ПО и таргетированным подходам, разрабатывают инструменты под разные операционные системы и платформы. Они активно используют новостную повестку: только осенью мы зафиксировали несколько вредоносных рассылок с темами, связанными с мобилизацией, их конечной целью в основном были шпионаж или уничтожение данных, – отметил Антон Иванов, директор по исследованиям и разработке «Лаборатории Касперского». – В связи с этим мы призываем компании максимально ответственно относиться к обеспечению кибербезопасности: не ограничиваться защитой конечных точек, а обучать персонал, внедрять эшелонированную защиту, постоянно следить за данными из сервисов киберразведки».
Продвинутые атаки
Далеко не все из профессиональных политически мотивированных атак стали доступны широкой публике, но можно отметить, что несколько компаний с очень серьезным уровнем безопасности пали жертвой группировок, работающих в интересах наших политических визави и нацеленных на дестабилизацию, разрушение инфраструктуры или максимальную компрометацию критических данных организации. Для атаки как правило использовались эксплуатация уже известных уязвимостей и фишинговые рассылки с вредоносным ПО, в том числе с серверов предварительно скомпрометированных компаний.
«Большинство организаций после февральских событий стали наращивать свою защищенность, однако на практике этого мало — в случае любых геополитических потрясений, равно как и общественно значимых событий, необходимо оперативно искать следы более раннего взлома организации, — подчеркнул Алексей Новиков, директор по исследованиям и разработке компании Positive Technologies. — На практике оказалось, что многие компании были взломаны за несколько месяцев до нанесения им реального ущерба — в частности, полного вывода из строя или длительного нарушения работоспособности сервисов, потери конфиденциальных данных».
Не исчезли и группировки, практикующие классический кибершпионаж. В текущих реалиях им стало даже проще скрываться от взглядов команд безопасности. Причина этого проста: защищающая сторона сейчас вынуждена противодействовать непрерывному валу простых, но быстрых в реализации атак. При этом на уровне риск-приоритетов компаний угроза шифрования данных куда более значима, чем «абстрактный» шпионаж.