Вредоносные атаки: как защитить российское киберпространство от хакеров

Виктор Сергеев

20.07.2023 00:01

Уже второй год киберпространство – отнюдь не спокойное место для бизнеса, госорганизаций, медиа, а также для обычных пользователей, чьи данные хранят отраслевые компании и госструктуры. Весной 2022 года российская сфера информационной безопасности (ИБ) пережила серьезный кризис: мало того, что критически выросло число кибератак, так еще и зарубежные ИБ-вендоры покинули рынок РФ. Сегодня ситуация проще не стала – ежедневно на российские информационные ресурсы совершается более 170 кибератак.В начале июля РЖД <a href="https://t.me/telerzd/3338" target="_blank" rel="noopener">сообщили</a> о «массированной хакерской атаке» на свои сайт и приложение. Это не первый инцидент: в конце февраля 2022 года перевозчик уже <a href="https://t.me/telerzd/1334" target="_blank" rel="noopener">сталкивался</a> с аналогичным случаем, но тогда атака была менее эффективной – приложения она не коснулась, только веб-ресурса. В обоих случаях результат был очевиден: сломалась выстроенная схема онлайн-покупки билетов, что повлекло за собой наплыв на офлайн-кассы, а также рост числа недовольных клиентов. Как следствие – падение прибыли и ущерб репутации.Случай с РЖД – только один из примеров, список можно продолжать. В конце июня от хакерской атаки <a href="https://www.comnews.ru/content/227163/2023-07-03/2023-w27/khakery-obrushili-dozor-teleport-cherez-oblako" target="_blank" rel="noopener">пострадал</a> оператор спутниковой связи «Дозор-Телепорт» (входит в ГК «Амтел», на треть контролируемую «Росатомом»), а в начале июня злоумышленники <a href="https://t.me/dataleak/3002" target="_blank" rel="noopener">слили</a> в сеть пользовательские данные 12 крупных компаний, включая ритейлеров, книжные издательства и магазины, интернет-сервисы. В том же месяце эксперты BI.ZONE (партнер экосистемы «Сбера») <a href="https://safe.cnews.ru/news/line/2023-06-22_bizone_gruppirovka_red_wolf_vnov" target="_blank" rel="noopener">сумели отследить</a> хакерскую активность, направленную на кражу паролей из баз данных компаний в различных отраслях экономики. «Лаборатория Касперского» тем временем <a href="https://tass.ru/ekonomika/18016529" target="_blank" rel="noopener">предупреждает</a>: рассчитывать на то, что дальше кибератак будет меньше, не стоит.<h2><span id="--fishing-i-defeis-1689171770616" class="anchor" data-point-name="DDoS, фишинг и дефейс">DDoS, фишинг и дефейс</span></h2>Самый популярный способ атаковать любую организацию через Сеть, который хакеры любят за простоту и эффективность, – DDoS-атаки. Сайты и онлайн-сервисы в этом случае подвергаются такой массированной волне запросов, которую не успевают обработать, в результате чего либо начинают очень сильно «тормозить», либо вовсе отключаются. Именно так атаковали, например, сайт и приложение РЖД.Поскольку DDoS-атаки являются самым доступным для киберпреступников способом навредить, именно они стали ключевым показателем при анализе ИБ-ситуации в Рунете. Компания StormWall <a href="https://www.gazeta.ru/tech/news/2023/07/05/20811164.shtml" target="_blank" rel="noopener">подсчитала</a>, что во II квартале 2023-го количество подобных атак увеличилось на 28% по сравнению с аналогичным периодом прошлого года.Эта динамика прослеживается и поквартально: по <a href="https://safe.cnews.ru/news/line/2023-04-25_statistika_ddos-atak_v_i_kvartale" target="_blank" rel="noopener">данным</a> ИБ-специалистов Qrator Labs, в I квартале этого года число DDoS-атак стало больше на 22% по сравнению с последним кварталом предыдущего. Впрочем, та же компания <a href="https://www.kommersant.ru/doc/5952992" target="_blank" rel="noopener">утверждает</a>, что заметно сократилась их длительность: если в начале 2022 года максимальная продолжительность одной атаки могла составлять до 10 суток, то в начале 2023-го – менее двух суток. При этом одна из самых длительных атак, начавшаяся в мае прошлого года, составила 29 суток.https://profile.ru/scitech/kak-hakery-vzlamyvajut-akkaunty-i-za-sekundy-podbirajut-paroli-1324960/Еще один простой и доступный даже не высококвалифицированным хакерам способ атаки – фишинг. Он больше рассчитан на человеческий фактор и психологическое давление: на почту сотрудникам приходит письмо с вложенным файлом и мотивирующим текстом (это может быть «объявление о выигрыше», «инструкция по кибербезопасности» и вообще что угодно). Если пользователь открывает вредоносный файл, злоумышленник получает доступ к конфиденциальной информации, внутрикорпоративным системам и сервисам.Один из последних показательных примеров – <a href="https://bi.zone/news/my-obnaruzhili-massovuyu-fishingovuyu-rassylku-pod-vidom-dokumentov-o-mobilizatsii/" target="_blank" rel="noopener">обнаруженная</a> ИБ-специалистами в начале июня массовая фишинговая рассылка якобы от госорганов (такая подделка адресата называется «спуфинг») с информацией о «мобилизации». К слову, мошенники активно изучают возможности современных технологий для совершенствования подобных атак: в случае с фишингом они, как <a href="https://www.kommersant.ru/doc/6044090" target="_blank" rel="noopener">рассказывала</a> на ПМЭФ управляющий директор «Лаборатории Касперского» на территории РФ и стран СНГ Анна Кулашова, начали использовать генеративный искусственный интеллект ChatGPT для составления более грамотных и «прицельных» писем.Более сложный, но при этом зачастую более эффективный вид атак – дефейс. Суть проста, но механика требует продвинутых хакерских навыков: сайт или онлайн-сервис взламывается, затем на нем публикуется вредоносная информация. Например, год назад хакеры <a href="https://www.fontanka.ru/2022/06/28/71446544/" target="_blank" rel="noopener">взломали</a> сайты Росреестра и Совета при президенте РФ по развитию гражданского общества и правам человека (СПЧ): после массированной DDoS-атаки на порталах было размещено дискредитирующее поздравление с днем конституции другого государства. Прежде чем работоспособность сайтов восстановили, некоторое время они были недоступны.А в конце июня уже этого года в российском сегменте <a href="https://www.securitylab.ru/news/539321.php" target="_blank" rel="noopener">были взломаны</a> и подверглись дефейсу сразу несколько тысяч сайтов, использующих систему «Битрикс». Хакеры воспользовались лазейкой, которая была обнаружена и устранена разработчиками еще в марте 2022-го, но при этом оставалась открытой в компаниях, не обновлявших ПО с тех пор.<h2><span id="Motivatsiya-i-istochniki-kiberatak-1689171778514" class="anchor" data-point-name="Мотивация и источники кибератак">Мотивация и источники кибератак</span></h2>В конце мая 2023 года эксперты Национального координационного центра по компьютерным инцидентам (НКЦКИ, ИБ-центр ФСБ) <a href="https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%A7%D0%B8%D1%81%D0%BB%D0%BE_%D0%BA%D0%B8%D0%B1%D0%B5%D1%80%D0%B0%D1%82%D0%B0%D0%BA_%D0%B2_%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B8_%D0%B8_%D0%B2_%D0%BC%D0%B8%D1%80%D0%B5" target="_blank" rel="noopener">фиксировали</a> более 170 кибератак на российские информационные ресурсы ежедневно. А в июле пресс-служба ИБ-компании F.A.C.C.T. (ранее Group-IB в России) <a href="https://fomag.ru/news-streem/chislo-utekshikh-strok-dannykh-polzovateley-rf-v-pervoy-polovine-iyunya-vyroslo-v-11-raz/" target="_blank" rel="noopener">сообщила</a>, что за первые полгода в России случилось 114 утечек персональных данных из компаний и госучреждений. Их количество не сильно увеличилось по сравнению с аналогичным периодом прошлого года (109), но при этом существенно возросли объемы утекших данных – в 11 раз (62,1 млн строк).https://profile.ru/scitech/vojna-v-kiberprostranstve-kak-rossiya-zashhishhaet-svoj-cifrovoj-suverenitet-1193878/Именно получение таких данных – первый и основной мотиватор хакеров, поскольку с их помощью они решают сразу две задачи. Во-первых, персональные данные используются: на полученные email уходят новые фишинговые письма, на телефоны звонят «службы безопасности банков» и «представители полиции», а если утекают пароли, особенно корпоративные, последствия и вовсе могут быть непредсказуемыми. Во-вторых, шантаж: мошенники рассчитывают на выплаты со стороны компаний за то, чтобы не выкладывать данные в открытый доступ. По этой причине данные публикуются частями, а не сразу полностью: выше шанс получить «гонорар». Впрочем, пик хакерской активности в феврале–марте прошлого года показал, насколько распространены и другие мотиваторы – политические высказывания, намерения причинить репутационный ущерб госорганам и бизнесу.Источники кибератак отследить практически во всех случаях невозможно либо крайне сложно. Коммуникация между хакерами и заказчиками обычно проходит в даркнете, для финансовых операций используются криптовалюты, а сами хакеры по определению являются профессионалами в области защиты данных, а значит, умело сохраняют инкогнито. Таким образом, определение атакующих, как правило, остается загадкой либо превращается в ответное политическое заявление: так, эксперты НКЦКИ конкретно называют только страны–источники тех самых 170 ежедневных кибератак на российский бизнес и госучреждения.<h2><span id="Taktika-i-strategiya-kiberzaschiti-1689171784313" class="anchor" data-point-name="Тактика и стратегия киберзащиты">Тактика и стратегия киберзащиты</span></h2>Ответ на вопрос «как защититься от кибератак?» практически не меняется с течением времени. Управляющий директор «Лаборатории Касперского» в России и странах СНГ Анна Кулашова по просьбе «Профиля» рассказала о комплексе ключевых мер, которые необходимо предпринять бизнесу: «Своевременно обновлять ПО на всех устройствах, включая личные смартфоны и компьютеры сотрудников, если они используются для работы; предусмотреть надежную парольную политику и многофакторную аутентификацию; разграничить доступ; регулярно проводить тренинги для сотрудников и выполнять резервное копирование данных».https://profile.ru/scitech/na-trope-kibervojny-kak-otrazhat-novye-ugrozy-informacionnoj-bezopasnosti-1295044/О тренингах для сотрудников эксперт говорит не просто так: полтора года назад перед компаниями остро встал вопрос дефицита профильных специалистов. На фоне массового оттока российских айтишников в 2022 году резко вырос спрос на ИБ-кадры со стороны компаний: сервис SuperJob в августе <a href="https://www.securitylab.ru/news/533044.php" target="_blank" rel="noopener">фиксировал</a> его рост практически в два раза. Анна Кулашова в беседе с «Профилем» подтверждает, что проблема остается актуальной и сегодня, и в числе возможных мер предлагает также аутсорс части ИБ-задач. При этом нужно понимать, что меры, направленные на подготовку экспертных кадров, сработают только в отдаленной перспективе: год-два минимум.Различные инициативы по решению ИБ-вопросов «здесь и сейчас» продолжают появляться. Компания F.A.C.C.T., например, в июле <a href="https://www.facct.ru/media-center/press-releases/cyber-defence-center/" target="_blank" rel="noopener">объявила</a> о создании круглосуточного Центра кибербезопасности для оперативного реагирования на киберинциденты. Схожие идеи есть и на государственном уровне: в июне в Совете Федерации <a href="https://www.kommersant.ru/doc/6070841" target="_blank" rel="noopener">обсуждалась</a> инициатива по созданию межотраслевого центра обеспечения кибербезопасности критической информационной инфраструктуры. Ранее такой опыт был не очень успешен: еще в прошлом сентябре ИБ-компании <a href="https://www.kommersant.ru/doc/5537268" target="_blank" rel="noopener">обсуждали</a> с Минцифры возможность создать централизованную платформу с информацией о киберинцидентах, но заметных подвижек в этом направлении пока не произошло.

Содержание:

DDoS, фишинг и дефейс
Мотивация и источники кибератак
Тактика и стратегия киберзащиты

В начале июля РЖД сообщили о «массированной хакерской атаке» на свои сайт и приложение. Это не первый инцидент: в конце февраля 2022 года перевозчик уже сталкивался с аналогичным случаем, но тогда атака была менее эффективной – приложения она не коснулась, только веб-ресурса. В обоих случаях результат был очевиден: сломалась выстроенная схема онлайн-покупки билетов, что повлекло за собой наплыв на офлайн-кассы, а также рост числа недовольных клиентов. Как следствие – падение прибыли и ущерб репутации.

Случай с РЖД – только один из примеров, список можно продолжать. В конце июня от хакерской атаки пострадал оператор спутниковой связи «Дозор-Телепорт» (входит в ГК «Амтел», на треть контролируемую «Росатомом»), а в начале июня злоумышленники слили в сеть пользовательские данные 12 крупных компаний, включая ритейлеров, книжные издательства и магазины, интернет-сервисы. В том же месяце эксперты BI.ZONE (партнер экосистемы «Сбера») сумели отследить хакерскую активность, направленную на кражу паролей из баз данных компаний в различных отраслях экономики. «Лаборатория Касперского» тем временем предупреждает: рассчитывать на то, что дальше кибератак будет меньше, не стоит.

DDoS, фишинг и дефейс

Самый популярный способ атаковать любую организацию через Сеть, который хакеры любят за простоту и эффективность, – DDoS-атаки. Сайты и онлайн-сервисы в этом случае подвергаются такой массированной волне запросов, которую не успевают обработать, в результате чего либо начинают очень сильно «тормозить», либо вовсе отключаются. Именно так атаковали, например, сайт и приложение РЖД.

Поскольку DDoS-атаки являются самым доступным для киберпреступников способом навредить, именно они стали ключевым показателем при анализе ИБ-ситуации в Рунете. Компания StormWall подсчитала, что во II квартале 2023-го количество подобных атак увеличилось на 28% по сравнению с аналогичным периодом прошлого года.

Эта динамика прослеживается и поквартально: по данным ИБ-специалистов Qrator Labs, в I квартале этого года число DDoS-атак стало больше на 22% по сравнению с последним кварталом предыдущего. Впрочем, та же компания утверждает, что заметно сократилась их длительность: если в начале 2022 года максимальная продолжительность одной атаки могла составлять до 10 суток, то в начале 2023-го – менее двух суток. При этом одна из самых длительных атак, начавшаяся в мае прошлого года, составила 29 суток.

Как хакеры взламывают аккаунты и за секунды подбирают пароли

Еще один простой и доступный даже не высококвалифицированным хакерам способ атаки – фишинг. Он больше рассчитан на человеческий фактор и психологическое давление: на почту сотрудникам приходит письмо с вложенным файлом и мотивирующим текстом (это может быть «объявление о выигрыше», «инструкция по кибербезопасности» и вообще что угодно). Если пользователь открывает вредоносный файл, злоумышленник получает доступ к конфиденциальной информации, внутрикорпоративным системам и сервисам.

Один из последних показательных примеров – обнаруженная ИБ-специалистами в начале июня массовая фишинговая рассылка якобы от госорганов (такая подделка адресата называется «спуфинг») с информацией о «мобилизации». К слову, мошенники активно изучают возможности современных технологий для совершенствования подобных атак: в случае с фишингом они, как рассказывала на ПМЭФ управляющий директор «Лаборатории Касперского» на территории РФ и стран СНГ Анна Кулашова, начали использовать генеративный искусственный интеллект ChatGPT для составления более грамотных и «прицельных» писем.

Более сложный, но при этом зачастую более эффективный вид атак – дефейс. Суть проста, но механика требует продвинутых хакерских навыков: сайт или онлайн-сервис взламывается, затем на нем публикуется вредоносная информация. Например, год назад хакеры взломали сайты Росреестра и Совета при президенте РФ по развитию гражданского общества и правам человека (СПЧ): после массированной DDoS-атаки на порталах было размещено дискредитирующее поздравление с днем конституции другого государства. Прежде чем работоспособность сайтов восстановили, некоторое время они были недоступны.

А в конце июня уже этого года в российском сегменте были взломаны и подверглись дефейсу сразу несколько тысяч сайтов, использующих систему «Битрикс». Хакеры воспользовались лазейкой, которая была обнаружена и устранена разработчиками еще в марте 2022-го, но при этом оставалась открытой в компаниях, не обновлявших ПО с тех пор.

Мотивация и источники кибератак

В конце мая 2023 года эксперты Национального координационного центра по компьютерным инцидентам (НКЦКИ, ИБ-центр ФСБ) фиксировали более 170 кибератак на российские информационные ресурсы ежедневно. А в июле пресс-служба ИБ-компании F.A.C.C.T. (ранее Group-IB в России) сообщила, что за первые полгода в России случилось 114 утечек персональных данных из компаний и госучреждений. Их количество не сильно увеличилось по сравнению с аналогичным периодом прошлого года (109), но при этом существенно возросли объемы утекших данных – в 11 раз (62,1 млн строк).

Война в киберпространстве: как Россия защищает свой цифровой суверенитет

Именно получение таких данных – первый и основной мотиватор хакеров, поскольку с их помощью они решают сразу две задачи. Во-первых, персональные данные используются: на полученные email уходят новые фишинговые письма, на телефоны звонят «службы безопасности банков» и «представители полиции», а если утекают пароли, особенно корпоративные, последствия и вовсе могут быть непредсказуемыми. Во-вторых, шантаж: мошенники рассчитывают на выплаты со стороны компаний за то, чтобы не выкладывать данные в открытый доступ. По этой причине данные публикуются частями, а не сразу полностью: выше шанс получить «гонорар». Впрочем, пик хакерской активности в феврале–марте прошлого года показал, насколько распространены и другие мотиваторы – политические высказывания, намерения причинить репутационный ущерб госорганам и бизнесу.

Источники кибератак отследить практически во всех случаях невозможно либо крайне сложно. Коммуникация между хакерами и заказчиками обычно проходит в даркнете, для финансовых операций используются криптовалюты, а сами хакеры по определению являются профессионалами в области защиты данных, а значит, умело сохраняют инкогнито. Таким образом, определение атакующих, как правило, остается загадкой либо превращается в ответное политическое заявление: так, эксперты НКЦКИ конкретно называют только страны–источники тех самых 170 ежедневных кибератак на российский бизнес и госучреждения.

Тактика и стратегия киберзащиты

Ответ на вопрос «как защититься от кибератак?» практически не меняется с течением времени. Управляющий директор «Лаборатории Касперского» в России и странах СНГ Анна Кулашова по просьбе «Профиля» рассказала о комплексе ключевых мер, которые необходимо предпринять бизнесу: «Своевременно обновлять ПО на всех устройствах, включая личные смартфоны и компьютеры сотрудников, если они используются для работы; предусмотреть надежную парольную политику и многофакторную аутентификацию; разграничить доступ; регулярно проводить тренинги для сотрудников и выполнять резервное копирование данных».

На тропе кибервойны: как отражать новые угрозы информационной безопасности

О тренингах для сотрудников эксперт говорит не просто так: полтора года назад перед компаниями остро встал вопрос дефицита профильных специалистов. На фоне массового оттока российских айтишников в 2022 году резко вырос спрос на ИБ-кадры со стороны компаний: сервис SuperJob в августе фиксировал его рост практически в два раза. Анна Кулашова в беседе с «Профилем» подтверждает, что проблема остается актуальной и сегодня, и в числе возможных мер предлагает также аутсорс части ИБ-задач. При этом нужно понимать, что меры, направленные на подготовку экспертных кадров, сработают только в отдаленной перспективе: год-два минимум.

Различные инициативы по решению ИБ-вопросов «здесь и сейчас» продолжают появляться. Компания F.A.C.C.T., например, в июле объявила о создании круглосуточного Центра кибербезопасности для оперативного реагирования на киберинциденты. Схожие идеи есть и на государственном уровне: в июне в Совете Федерации обсуждалась инициатива по созданию межотраслевого центра обеспечения кибербезопасности критической информационной инфраструктуры. Ранее такой опыт был не очень успешен: еще в прошлом сентябре ИБ-компании обсуждали с Минцифры возможность создать централизованную платформу с информацией о киберинцидентах, но заметных подвижек в этом направлении пока не произошло.