Хактивисты пришли за банковскими клиентами
Фото: Unsplash
Киберпреступная индустрия активно реагирует на кризисы любого происхождения. Прошлые рекорды по взломам, зафиксированные в период пандемии, побиты с связи со спецоперацией на Украине. Минцифры фиксирует беспрецедентное количество кибератак. Причина этого — увеличение числа хактивистов, непрофессиональных хакеров, которые ставят своей целью не извлечение прибыли от проникновения в ИТ-периметр компании, а дестабилизацию или даже прекращение ее работы.
Российскому бизнесу отражать такие атаки вдвойне сложнее: и противник новый, и инструментов, в связи с уходом иностранных вендоров, становится меньше. Хотя в сфере кибербеза ИТ-импортозамещение самое результативное, эксперты отмечают, что на время перестройки инфраструктуры уровень защищенности компаний снизится.
Код преткновения
В начале марта для выражения своей политической позиции ИТ-разработчик Брэндон Нодзаки Миллер встроил вредоносный код в обновления популярной у его коллег библиотеки node-ipc. Программа часто используется создателями мобильных приложений и благодаря этому деструктивная часть кода могла попасть на сотни тысяч пользовательских устройств. Если IP-адрес пользователя оказывался российским или белорусским, запускалось автоматическое уничтожение всей информации, доступ к которой могла получить программа. По данным Fortune, именно с этим фактом связан призыв Сбербанка к своим клиентам не скачивать обновления мобильного приложения.
В сообщении банка говорилось, что различный контент и вредоносный код могут быть встроены в свободно распространяемые библиотеки, используемые для разработки программного обеспечения, и использование подобного программного обеспечения может привести к заражению вредоносным ПО личных и корпоративных компьютеров, а также ИТ-инфраструктуры.
По статистике, которую приводит «Лаборатория Касперского», в марте число DDoS-атак (один из самых популярных способов атак) в России увеличилось на 54%. Длительность в среднем достигла 29,5 часа, а рекорд составил 145 часов.
Чаще всего хакеры нападали на порталы государственных органов (33% всех атак), банков (35% атак) и СМИ (3–4%).
По словам директора экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексея Новикова, первоначально DDoS-атаки были направлены на выведение из строя ключевой инфраструктуры, обеспечивающей бесперебойную работу бизнеса и государственных систем из сфер финансов, транспорта, логистики, коммуникаций, госуправления, ИТ и энергетики.
За полторы-две недели от DDoS-атак на веб-ресурсы отдельных компаний хакеры перешли к организации DDoS-атак на различные сервисы, обеспечивающие работу различных интернет-ресурсов в интернете. Например, несколько раз подвергались DDoS-атакам компании, обеспечивающие работу DNS-серверов. В результате проблемы с работоспособностью испытывали сотни тысяч интернет-ресурсов, которые использовали данные компании для размещения своих доменных зон.
«Под раздачу попали и организации малого и среднего бизнеса, которые становились звеньями в цепочке атаки. Так, например, случилось с серией "дефейсов" (атак, цель которых подменить контент на сайте) крупных крупнейших изданий — ТАСС, "Коммерсант", "Известия" и других, которая стала возможна в результате кибератаки на сервис учёта статистики сайтов Onthe.io, который применялся на всех скомпрометированных сайтах», — рассказал Алексей Новиков журналистам «Компании».
Атака «одним кликом»
Хактивизм — не новое явление, люди и раньше объединялись в сообщества, чтобы парализовать работу ИТ-сервисов или компаний, украсть данные, обнародовать какую-либо секретную информацию. На слуху деятельность Anonymous или HackNet и подобных «кружков по интересам», деятельность которых сопровождается максимальным медийным шумом.
Хотя доказать, кто именно стоит за каждой из атак достаточно сложно, отмечает эксперт по кибербезопаности «Лаборатории Касперского» Дмитрий Галов, тем не менее очевидна явная политическая поляризация участников хакерского движения. По его словам, помимо активистов кибернападения сейчас осуществляют и серьезные киберпреступники. Если раньше они использовали для атак программы-шифровальщики, что давало бизнесу какой-то шанс вернуть потерянный доступ к информации в случае выплаты выкупа, то сейчас нарушители переключились на вайперы, которые удаляют данные безвозвратно, то есть ведут в чистом виде деструктивную деятельность.
«Чем бы они не вдохновлялась, какой бы идеологии ни следовали — они все еще киберпреступники. Нельзя исключать, что под флагом идеологической борьбы скрываются чисто финансовые цели», — подчеркивает Дмитрий Галов.
Как замечает Алексей Новиков, коренное отличие фиксируемых сегодня атак в том, что к ним подключились не только организованные группировки, но и обычные интернет-пользователи. В кибер-противостояние вовлекаются и те, кто откликнулся на призыв политиков о создании кибер-армии, и стихийно формирующиеся инициативные группы людей, имеющих некоторый уровень компетенций в области ИТ.
«Для новичков более опытные хакеры разрабатывают простые инструменты и инструкции, которые позволяют проводить атаки «одной кнопкой». Для координации таких атак созданы специальные чаты (чаще всего в Telegram или DisCorde), доступные всем. К примеру, число активных пользователей одного из таких чатов них более 300 тысяч человек, а всего их несколько десятков», — говорит Алексей Новиков. Он добавляет, что иногда «соучастниками» атак становятся и просто любопытные граждане, серфящие просторы интернета в поисках истины. Вся их «злонамеренная» активность сводится к банальному клику по той или иной ссылке — этого вполне достаточно, чтобы отдать мощности своего компьютера в пользу массовой DDoS-атаки и даже не знать об этом.
Уровень атак, которые могут осуществлять хактивистские группировки, считает Дмитрий Галов, очень разный: от DDOS атак, которые можно считать примитивными, но довольно болезненными для бизнеса, до сложных комбинированных атак, нацеленных на кражу секретных документов или внутренних переписок.
Бизнес оказался не готов
На практике большинство российских компаний оказались не готовы к такому интенсивному напору атакующих, подчеркивает Алексей Новиков.
«Выстроенная бизнесом система информационной безопасности отлично справлялась с автоматизированными или не столь массовыми атаками. Но как только к автоматизированным атакам присоединился человек, который может проанализировать, по какой именно причине автоматизированная атака не прошла, ситуация изменилась полностью: небольшая модификация позволяет превратить любую атаку в успешную», — говорит эксперт.
Сложности добавляет уход иностранных компаний, поставляющих решения в сфере кибербезопасности, с российского рынка. У западных вендоров были разные сценарии прекращения работы: у кого-то защитные системы перестали полностью работать или перешли в режим демонстрационных версий с ограниченной функциональностью, кто-то прекратил техническую поддержку или обновление баз угроз.
«По нашим данным до ухода с российского рынка западных игроков по отдельным направлениям в сфере безопасности доля иностранного ПО превышала 50%, — приводит статистику Дмитрий Галов. — А в некоторых классах продуктов, например firewall, которые обеспечивают сетевую безопасность периметра организации, доходила даже до 90%».
«Освободившаяся за счет ухода зарубежных вендоров ниша может достигнуть 80 млрд рублей. Сейчас не время для обдумывания долгосрочных стратегий. Успех и результат зависят от продуманных и быстрых решений, и действий в моменте, на чем мы и сконцентрированы», — заявил «Компании» директор по развитию бизнеса Positive Technologies Максим Филиппов. По его оценке общий объем рынка кибербезопасности вырос на 20–25% и в текущем году составит 190–200 млрд рублей.
По статистике «Лаборатории Касперского», спрос на антиспам-решения и системы для сканирования входящего и исходящего веб-трафика вырос в 5 раз по каждому из направлений, по защите от целевых атак — в 3 раза. Помимо этого, повысился спрос к SIEM-решениям — в 2 раза, практически удвоилось количество новых лицензий на продукты для защиты от DDoS-атак.
Сфера кибербеза оказалась наиболее готовой на всем ИТ-рынке к реактивному замещению: у российских разработчиков по большинству классов решений есть аналоги, но бизнесу потребуется время на перестройку инфраструктуры, и общий уровень защищенности может в этот период снизиться.
Подписывайтесь на нас:
Еще по теме
