Раскрыты подробности работы киберштаба для совместной защиты российских организаций

969

Крупные игроки рынка информационной безопасности (ИБ) – «Ростелеком-Солар», «Лаборатория Касперского», Positive Technologies и BI.ZONE – во вторник на SOC-Форуме 2022 сообщили о новых формах взаимодействия в интересах защищаемых организаций, сообщила пресс-служба «Ростелеком-Солар».

С конца февраля на фоне колоссального роста атак компании создали своего рода киберштаб для совместной защиты российских организаций. С этой целью эксперты обмениваются инструментарием и наработками, которые ранее считали своим конкурентным преимуществом. Также компании дали оценку изменений в киберпространстве с начала СВО.

Работа киберштаба

Как отметил директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков, «для помощи российским организациям в этот сложный период были ускорены все коммерческие инициативы (команды работали в три смены, подключая клиентов в том числе под атакой). При этом для заказчиков, которые не могли оплатить услуги, часть работ проводилась бесплатно. Кроме того, всем заинтересованным компаниям неограниченно предоставлялась методическая поддержка в части защиты».

За восемь месяцев совместной деятельности объединенная группа разработала для компаний несколько документов и рекомендаций, в том числе по обновлению зарубежного ПО, борьбе с отзывом сертификатов, а также аналитику по «киберармии» Украины и др.

Участники киберштаба не только усилили взаимодействие в рамках ГосСОПКА, но и сформировали отдельную среду для оперативной совместной работы. Поступающие данные по атакам обрабатываются в рамках единой команды на условиях, исключающих конкуренцию между компаниями, свободного и полного разделения экспертизы, а задачи распределяются «с учётом честной оценки свободных ресурсов». Такой подход позволил обеспечить максимально качественное реагирование на атаки внутри инфраструктур отдельных компаний, которым оказывалась поддержка.

«Этот опыт необходимо масштабировать, выстраивать баланс между коммерческими интересами отдельных компаний и реальной экстренной помощью пострадавшим: в информационной безопасности необходима своя «клятва Гиппократа», в соответствии с которой первостепенной является именно неотложная помощь атакованным», – прокомментировал директор по исследованиям и разработке компании Positive Technologies Алексей Новиков.

Массовые атаки

«События в киберпространстве после 24 февраля стали наиболее заметны для массовой аудитории благодаря непрекращающейся волне DDoS-атак. Некоторые из них достигали нескольких терабит, но поначалу эти атаки были не очень технологичны. В частности, все цели размещались в специализированных Telegram-каналах, по классической схеме злоумышленники использовали массовые международные ботнеты. Однако у этих атак были и специфические черты», – рассказал директор по стратегии BI.ZONE Евгений Волошин.

Во-первых, учитывалась сезонная популярность ресурсов: атаки на порталы по продаже железнодорожных и авиабилетов – в начале сезона отпусков, на сайты вузов – в начале и конце приёмной кампании, а в период праздников – DDoS ключевых ресурсов, обеспечивающих видеотрансляции. Во-вторых, хакеры с помощью специализированного ПО сформировали бот-сеть, атакующую даже те организации, которые ограничили у себя использование международного трафика и закрылись от международных ботнетов. Так, в самой крупной из атак было задействовано 250 тысяч устройств. В-третьих, злоумышленники использовали и нестандартные способы DDoS-атак с территории РФ. Например, за счёт заражения видеоплеера на популярном видеохостинге хакеры включили в свой ботнет устройства ничего не подозревающих российских зрителей.

Созданная инфраструктура «киберармии» Украины использовалась не только для DDoS каналов связи, но и для массовых атак уровня веб-приложений. И если обычно злоумышленники работают прицельно, по адресам конкретной организации, то теперь в их зоне интереса оказались все российские IP-адреса.

Сейчас в российском сегменте Интернета содержится несколько десятков тысяч уязвимых корпоративных ресурсов и забытых веб-консолей, опубликованных на IT-периметрах госструктур и коммерческих компаний. Причём многие их этих уязвимостей довольно старые и эксплуатировать их может даже школьник, так что количество взломов ограничивается лишь числом атакующих. Например, уязвимость в почтовом клиенте MS Exchange, устранить которую мешала только нерадивость владельцев серверов (обновление вышло в начале 2021 года), использовалась примерно в 15% крупных взломов компаний и государственных организаций. Известная уязвимость в Bitrix также использовалась в нескольких десятках атак с лета этого года.

Фейки, вбросы и визуальный эффект

Характер атак этого года и их активное освещение хакерами говорит о попытке посеять панику среди населения, создав ощущение критического воздействия на инфраструктуры множества российских организаций. Однако за таким визуальным эффектом («дефейсом», т.е. подменой веб-страниц атакованного сайта) в большинстве случаев стоят достаточно несложные атаки на подрядчиков по размещению контента, не имеющие серьёзных последствий, сказано в сообщении. Такими, например, были атаки на поставщика онлайн-вещания на 9 мая или на сеть обмена баннерами, работающую с ключевыми интернет-порталами и СМИ.

«Если раньше информация о хакерских атаках становилась доступна лишь экспертам на профильных форумах и в даркнете, то сейчас она всё чаще появляется в публичных Telegram-каналах, а иногда высылается напрямую журналистам как новость, – прокомментировал директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков. – Данные, которые раньше продавались за существенные суммы в биткоинах, сейчас выкладываются в общий доступ абсолютно бесплатно. При этом, анализируя ситуацию с утечками этого года, приходится констатировать, что девять из 10 таких публичных кейсов являются фейками. Часто злоумышленники пытаются представить как утечку тестовые данные, данные из открытых источников (на которые иногда специально навешиваются грифы коммерческой тайны или секретности) либо компиляцию старых утечек. Поэтому мы просим граждан (и особенно журналистов и блогеров) сохранять спокойствие и не обращать внимания на эти массовые попытки дестабилизации информационной обстановки».

Классические атаки с целью наживы

Директор по исследованиям и разработке «Лаборатории Касперского» Антон Иванов рассказал о тенденциях в мире «финансово мотивированных злоумышленников». В 2022 году они продолжили активно атаковать компании, используя все доступные инструменты: целевой фишинг, DDoS, различное вредоносное ПО. Чтобы заставить жертву заплатить, злоумышленники стремятся нанести максимальный ущерб: остановить операционные процессы, навредить репутации, сделать восстановление данных практически невозможным.

«Сегодня мы продолжаем фиксировать высокий уровень атак на бизнес. Злоумышленники переходят от массовых рассылок к более сложному ПО и таргетированным подходам, разрабатывают инструменты под разные операционные системы и платформы. Они активно используют новостную повестку: только осенью мы зафиксировали несколько вредоносных рассылок с темами, связанными с мобилизацией, их конечной целью в основном были шпионаж или уничтожение данных, – прокомментировал Антон Иванов. – В связи с этим мы призываем компании максимально ответственно относиться к обеспечению кибербезопасности: не ограничиваться защитой конечных точек, а обучать персонал, внедрять эшелонированную защиту, постоянно следить за данными из сервисов киберразведки».

Продвинутые атаки

Далеко не все из профессиональных политически мотивированных атак стали доступны широкой публике, но можно отметить, что несколько компаний с очень серьезным уровнем безопасности пали жертвой группировок, работающих в интересах наших политических визави и нацеленных на дестабилизацию, разрушение инфраструктуры или максимальную компрометацию критических данных организации. Для атаки как правило использовались эксплуатация уже известных уязвимостей и фишинговые рассылки с вредоносным ПО, в том числе с серверов предварительно скомпрометированных компаний.

«Большинство организаций после февральских событий стали наращивать свою защищённость, однако на практике этого мало — в случае любых геополитических потрясений, равно как и общественно значимых событий, необходимо оперативно искать следы более раннего взлома организации, — подчеркнул Алексей Новиков. — На практике оказалось, что многие компании были взломаны за несколько месяцев до нанесения им реального ущерба — в частности, полного вывода из строя или длительного нарушения работоспособности сервисов, потери конфиденциальных данных».

Не исчезли и группировки, практикующие классический кибершпионаж. В текущих реалиях им стало даже проще скрываться от команд безопасности, поскольку защищающая сторона сейчас вынуждена противодействовать непрерывному валу простых, но быстрых в реализации атак. При этом на уровне риск-приоритетов компаний угроза шифрования данных куда более значима, чем «абстрактный» шпионаж.

Кибервойна против России ещё не началась

Нынешние атаки на российские информационные ресурсы из-за из беспрецедентной интенсивности поспешили назвать «кибервойной». Настоящей кибервойной против России следует считать не нападения, за которыми стоят толпы разрозненных добровольцев, а организованные как военная операция действия враждебных государств.

Об этом на SOC-форуме заявила глава ГК InfoWatch Наталья Касперская. По её словам, сейчас борьбу против нас ведут хакеры-самоучки, а если бы её вели спецслужбы, они бы действовали иначе.

Глава Positive Technologies Денис Баранов добавил, что «кибервойна только предстоит».

Последствия настоящего кибернападения на Россию, в котором будут участвовать американские поставщики телекоммуникационного оборудования и операционных систем, могут быть катастрофическими. Если проводить аналогию с 1941 годом, сейчас на нашем календаре 21 июня.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться:

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь