Это произошло на фоне возросших угроз
На SOC-Форуме 2022 ключевые игроки рынка ИБ – «Ростелеком-Солар», «Лаборатория Касперского», Positive Technologies и BI.ZONE – раскрыли новый формат своего взаимодействия.
С конца февраля на фоне колоссального роста атак компании создали своего рода киберштаб для совместной защиты российских организаций. С этой целью эксперты обмениваются инструментарием и наработками, которые ранее считали своим конкурентным преимуществом. Также компании дали оценку изменений в киберпространстве с начала СВО.
Работа киберштаба
Как отметил директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков, «для помощи российским организациям в этот сложный период были ускорены все коммерческие инициативы (команды работали в три смены, подключая клиентов в том числе под атакой). При этом для заказчиков, которые не могли оплатить услуги, часть работ проводилась бесплатно. Кроме того, всем заинтересованным компаниям неограниченно предоставлялась методическая поддержка в части защиты».
За 8 месяцев совместной деятельности объединенная группа разработала для компаний несколько документов и рекомендаций, в том числе по обновлению зарубежного ПО, борьбе с отзывом сертификатов, а также аналитику по ИТ-армии Украины и другим.
Участники киберштаба не только усилили взаимодействие в ГосСОПКА, но и сформировали отдельную среду для оперативной совместной работы. Поступающие данные по атакам обрабатываются в единой команде на условиях неконкуренции, свободного и полного шеринга экспертизы, а задачи распределяются с учетом честной оценки свободных ресурсов. Такой подход позволил обеспечить максимально качественное реагирование на атаки внутри инфраструктур отдельных компаний, которым оказывалась поддержка.
«Этот опыт необходимо масштабировать, выстраивать баланс между коммерческими интересами отдельных компаний и реальной экстренной помощью пострадавшим: в информационной безопасности необходима своя «клятва Гиппократа», в соответствии с которой первостепенной является именно неотложная помощь атакованным», – прокомментировал Алексей Новиков, директор по исследованиям и разработке компании Positive Technologies.
Массовые атаки
«События в киберпространстве после 24 февраля стали наиболее заметны для массовой аудитории благодаря непрекращающейся волне DDoS-атак. Некоторые из них достигали нескольких терабит, но поначалу эти атаки были не очень технологичны. В частности, все цели размещались в специализированных телеграм-каналах, по классической схеме злоумышленники использовали массовые международные ботнеты. Однако у этих атак были и специфические черты», – рассказал Евгений Волошин, директор по стратегии BI.ZONE.
Во-первых, учитывалась сезонная популярность ресурсов: атаки на порталы по продаже ж/д и авиабилетов – в начале сезона отпусков, на сайты вузов – в начале и конце приемной кампании, а в период праздников – DDoS ключевых ресурсов, обеспечивающих видеотрансляции.
Во-вторых, хакеры с помощью специализированного ПО сформировали бот-сеть, атакующую даже те организации, которые ограничили у себя использование международного трафика и закрылись от международных ботнетов. Так, в самой крупной из атак было задействовано 250 тысяч устройств.
В-третьих, злоумышленники использовали и нестандартные способы DDoS-атак с территории РФ. Например, за счет заражения видеоплеера на популярном видеохостинге хакеры включили в свой ботнет устройства ничего не подозревающих российских зрителей.
Созданная инфраструктура ИТ-армии Украины использовалась не только для DDoS каналов связи, но и для массовых атак уровня веб-приложений. И если обычно злоумышленники работают фокусно, по адресам конкретной организации, то теперь в их зоне интереса оказались все российские IP-адреса. Ведь на текущий момент в российском интернете содержится несколько десятков тысяч уязвимых корпоративных ресурсов и забытых веб-консолей, опубликованных на ИТ-периметрах госструктур и коммерческих компаний. Причем многие их этих уязвимостей довольно старые и проэксплуатировать их может даже школьник, так что количество взломов скорее ограничивается числом атакующих. Например, уязвимость в почтовом клиенте MS Exchange использовалась примерно в 15% крупных корпоративных и государственных взломов, хотя соответствующее обновление было выпущено вендором еще в начале 2021 г. Известная уязвимость в Bitrix также использовалась в нескольких десятках атак с лета этого года.
Фейки, вбросы и визуальный эффект
Характер атак этого года и их активный пиар хакерами говорит о попытке посеять панику среди населения, создав ощущение критического воздействия на инфраструктуры множества российских организаций. Однако за таким визуальным эффектом (дефейсом) в большинстве случаев стоят достаточно несложные атаки на подрядчиков по размещению контента, не имеющие серьезных последствий. Такими, например, были атаки на поставщика онлайн-вещания на 9 мая или на сеть обмена баннерами, работающую с ключевыми интернет-порталами и СМИ.
«Если раньше информация о хакерских атаках становилась доступна лишь экспертам на профильных форумах и в даркнете, то сейчас она все чаще появляется в публичных телеграм-каналах, а иногда высылается напрямую журналистам как новость, – прокомментировал директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков. – Данные, которые раньше продавались за существенные суммы в биткоинах, сейчас выкладываются в общий доступ абсолютно бесплатно. При этом анализируя ситуацию с утечками этого года, приходится констатировать, что 9 из 10 таких публичных кейсов являются фейками. Часто злоумышленники пытаются представить как утечку тестовые данные, данные из открытых источников (на которые иногда специально навешиваются грифы коммерческой тайны или секретности) либо компиляцию старых утечек. Поэтому мы просим граждан (и особенно журналистов и блогеров) сохранять спокойствие и не обращать внимания на эти массовые попытки дестабилизации информационной обстановки».
Классические атаки с целью наживы
Антон Иванов, директор по исследованиям и разработке «Лаборатории Касперского», рассказал о тенденциях в мире финансово мотивированных злоумышленников. В 2022 году они продолжили активно атаковать компании, используя все доступные инструменты: целевой фишинг, DDoS, различное вредоносное ПО. Чтобы заставить жертву заплатить, злоумышленники стремятся нанести максимальный ущерб: остановить операционные процессы, навредить репутации, сделать восстановление практически невозможным.
«Сегодня мы продолжаем фиксировать высокий уровень атак на бизнес. Злоумышленники переходят от массовых рассылок к более сложному ПО и таргетированным подходам, разрабатывают инструменты под разные операционные системы и платформы. Они активно используют новостную повестку: только осенью мы зафиксировали несколько вредоносных рассылок с темами, связанными с мобилизацией, их конечной целью в основном были шпионаж или уничтожение данных, – прокомментировал Антон Иванов. – В связи с этим мы призываем компании максимально ответственно относиться к обеспечению кибербезопасности: не ограничиваться защитой конечных точек, а обучать персонал, внедрять эшелонированную защиту, постоянно следить за данными из сервисов киберразведки».
Продвинутые атаки
Далеко не все из профессиональных политически мотивированных атак стали доступны широкой публике, но можно отметить, что несколько компаний с очень серьезным уровнем безопасности пали жертвой группировок, работающих в интересах наших политических визави и нацеленных на дестабилизацию, разрушение инфраструктуры или максимальную компрометацию критических данных организации. Для атаки как правило использовались эксплуатация уже известных уязвимостей и фишинговые рассылки с вредоносным ПО, в том числе с серверов предварительно скомпрометированных компаний.
«Большинство организаций после февральских событий стали наращивать свою защищенность, однако на практике этого мало: в случае любых геополитических потрясений, равно как и общественно значимых событий, необходимо оперативно искать следы более раннего взлома организации, — подчеркнул Алексей Новиков, директор по исследованиям и разработке компании Positive Technologies. — На практике оказалось, что многие компании были взломаны за несколько месяцев до нанесения им реального ущерба — в частности, полного вывода из строя или длительного нарушения работоспособности сервисов, потери конфиденциальных данных».
Не исчезли и группировки, практикующие классический кибершпионаж. В нынешних реалиях им стало даже проще скрываться от команд безопасности. Причина этого проста: защищающая сторона сейчас вынуждена противодействовать непрерывному валу простых, но быстрых в реализации атак. При этом на уровне риск-приоритетов компаний угроза шифрования данных куда более значима, чем «абстрактный» шпионаж.