Вредоносные атаки: как защитить российское киберпространство от хакеров

Содержание:

• DDoS, фишинг и дефейс
• Мотивация и источники кибератак
• Тактика и стратегия киберзащиты

В начале июля РЖД сообщили о «массированной хакерской атаке» на свои сайт и приложение. Это не первый инцидент: в конце февраля 2022 года перевозчик уже сталкивался с аналогичным случаем, но тогда атака была менее эффективной – приложения она не коснулась, только веб-ресурса. В обоих случаях результат был очевиден: сломалась выстроенная схема онлайн-покупки билетов, что повлекло за собой наплыв на офлайн-кассы, а также рост числа недовольных клиентов. Как следствие – падение прибыли и ущерб репутации.

Случай с РЖД – только один из примеров, список можно продолжать. В конце июня от хакерской атаки пострадал оператор спутниковой связи «Дозор-Телепорт» (входит в ГК «Амтел», на треть контролируемую «Росатомом»), а в начале июня злоумышленники слили в сеть пользовательские данные 12 крупных компаний, включая ритейлеров, книжные издательства и магазины, интернет-сервисы. В том же месяце эксперты BI.ZONE (партнер экосистемы «Сбера») сумели отследить хакерскую активность, направленную на кражу паролей из баз данных компаний в различных отраслях экономики. «Лаборатория Касперского» тем временем предупреждает: рассчитывать на то, что дальше кибератак будет меньше, не стоит.

DDoS, фишинг и дефейс

Самый популярный способ атаковать любую организацию через Сеть, который хакеры любят за простоту и эффективность, – DDoS-атаки. Сайты и онлайн-сервисы в этом случае подвергаются такой массированной волне запросов, которую не успевают обработать, в результате чего либо начинают очень сильно «тормозить», либо вовсе отключаются. Именно так атаковали, например, сайт и приложение РЖД.

Поскольку DDoS-атаки являются самым доступным для киберпреступников способом навредить, именно они стали ключевым показателем при анализе ИБ-ситуации в Рунете. Компания StormWall подсчитала, что во II квартале 2023-го количество подобных атак увеличилось на 28% по сравнению с аналогичным периодом прошлого года.

Эта динамика прослеживается и поквартально: по данным ИБ-специалистов Qrator Labs, в I квартале этого года число DDoS-атак стало больше на 22% по сравнению с последним кварталом предыдущего. Впрочем, та же компания утверждает, что заметно сократилась их длительность: если в начале 2022 года максимальная продолжительность одной атаки могла составлять до 10 суток, то в начале 2023-го – менее двух суток. При этом одна из самых длительных атак, начавшаяся в мае прошлого года, составила 29 суток.

Как хакеры взламывают аккаунты и за секунды подбирают пароли

Еще один простой и доступный даже не высококвалифицированным хакерам способ атаки – фишинг. Он больше рассчитан на человеческий фактор и психологическое давление: на почту сотрудникам приходит письмо с вложенным файлом и мотивирующим текстом (это может быть «объявление о выигрыше», «инструкция по кибербезопасности» и вообще что угодно). Если пользователь открывает вредоносный файл, злоумышленник получает доступ к конфиденциальной информации, внутрикорпоративным системам и сервисам.

Один из последних показательных примеров – обнаруженная ИБ-специалистами в начале июня массовая фишинговая рассылка якобы от госорганов (такая подделка адресата называется «спуфинг») с информацией о «мобилизации». К слову, мошенники активно изучают возможности современных технологий для совершенствования подобных атак: в случае с фишингом они, как рассказывала на ПМЭФ управляющий директор «Лаборатории Касперского» на территории РФ и стран СНГ Анна Кулашова, начали использовать генеративный искусственный интеллект ChatGPT для составления более грамотных и «прицельных» писем.

Более сложный, но при этом зачастую более эффективный вид атак – дефейс. Суть проста, но механика требует продвинутых хакерских навыков: сайт или онлайн-сервис взламывается, затем на нем публикуется вредоносная информация. Например, год назад хакеры взломали сайты Росреестра и Совета при президенте РФ по развитию гражданского общества и правам человека (СПЧ): после массированной DDoS-атаки на порталах было размещено дискредитирующее поздравление с днем конституции другого государства. Прежде чем работоспособность сайтов восстановили, некоторое время они были недоступны.

А в конце июня уже этого года в российском сегменте были взломаны и подверглись дефейсу сразу несколько тысяч сайтов, использующих систему «Битрикс». Хакеры воспользовались лазейкой, которая была обнаружена и устранена разработчиками еще в марте 2022-го, но при этом оставалась открытой в компаниях, не обновлявших ПО с тех пор.

Мотивация и источники кибератак

В конце мая 2023 года эксперты Национального координационного центра по компьютерным инцидентам (НКЦКИ, ИБ-центр ФСБ) фиксировали более 170 кибератак на российские информационные ресурсы ежедневно. А в июле пресс-служба ИБ-компании F.A.C.C.T. (ранее Group-IB в России) сообщила, что за первые полгода в России случилось 114 утечек персональных данных из компаний и госучреждений. Их количество не сильно увеличилось по сравнению с аналогичным периодом прошлого года (109), но при этом существенно возросли объемы утекших данных – в 11 раз (62,1 млн строк).

Война в киберпространстве: как Россия защищает свой цифровой суверенитет

Именно получение таких данных – первый и основной мотиватор хакеров, поскольку с их помощью они решают сразу две задачи. Во-первых, персональные данные используются: на полученные email уходят новые фишинговые письма, на телефоны звонят «службы безопасности банков» и «представители полиции», а если утекают пароли, особенно корпоративные, последствия и вовсе могут быть непредсказуемыми. Во-вторых, шантаж: мошенники рассчитывают на выплаты со стороны компаний за то, чтобы не выкладывать данные в открытый доступ. По этой причине данные публикуются частями, а не сразу полностью: выше шанс получить «гонорар». Впрочем, пик хакерской активности в феврале–марте прошлого года показал, насколько распространены и другие мотиваторы – политические высказывания, намерения причинить репутационный ущерб госорганам и бизнесу.

Источники кибератак отследить практически во всех случаях невозможно либо крайне сложно. Коммуникация между хакерами и заказчиками обычно проходит в даркнете, для финансовых операций используются криптовалюты, а сами хакеры по определению являются профессионалами в области защиты данных, а значит, умело сохраняют инкогнито. Таким образом, определение атакующих, как правило, остается загадкой либо превращается в ответное политическое заявление: так, эксперты НКЦКИ конкретно называют только страны–источники тех самых 170 ежедневных кибератак на российский бизнес и госучреждения.

Тактика и стратегия киберзащиты

Ответ на вопрос «как защититься от кибератак?» практически не меняется с течением времени. Управляющий директор «Лаборатории Касперского» в России и странах СНГ Анна Кулашова по просьбе «Профиля» рассказала о комплексе ключевых мер, которые необходимо предпринять бизнесу: «Своевременно обновлять ПО на всех устройствах, включая личные смартфоны и компьютеры сотрудников, если они используются для работы; предусмотреть надежную парольную политику и многофакторную аутентификацию; разграничить доступ; регулярно проводить тренинги для сотрудников и выполнять резервное копирование данных».

На тропе кибервойны: как отражать новые угрозы информационной безопасности

О тренингах для сотрудников эксперт говорит не просто так: полтора года назад перед компаниями остро встал вопрос дефицита профильных специалистов. На фоне массового оттока российских айтишников в 2022 году резко вырос спрос на ИБ-кадры со стороны компаний: сервис SuperJob в августе фиксировал его рост практически в два раза. Анна Кулашова в беседе с «Профилем» подтверждает, что проблема остается актуальной и сегодня, и в числе возможных мер предлагает также аутсорс части ИБ-задач. При этом нужно понимать, что меры, направленные на подготовку экспертных кадров, сработают только в отдаленной перспективе: год-два минимум.

Различные инициативы по решению ИБ-вопросов «здесь и сейчас» продолжают появляться. Компания F.A.C.C.T., например, в июле объявила о создании круглосуточного Центра кибербезопасности для оперативного реагирования на киберинциденты. Схожие идеи есть и на государственном уровне: в июне в Совете Федерации обсуждалась инициатива по созданию межотраслевого центра обеспечения кибербезопасности критической информационной инфраструктуры. Ранее такой опыт был не очень успешен: еще в прошлом сентябре ИБ-компании обсуждали с Минцифры возможность создать централизованную платформу с информацией о киберинцидентах, но заметных подвижек в этом направлении пока не произошло.