К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Атака одной кнопкой: кто взламывает сайты российских компаний

Фото Annette Riedl / picture alliance via Getty Images
Фото Annette Riedl / picture alliance via Getty Images
За последние полтора месяца количество кибератак на российские компании выросло с десятков в месяц до сотен тысяч в неделю. Директор экспертного центра безопасности Positive Technologies Алексей Новиков в колонке для Forbes рассказывает, кто участвует во взломах сайтов, как изменилась стратегия злоумышленников и чего они хотят добиться

Количество кибератак на российские компании за последние полтора месяца значительно выросло: если раньше мы видели десятки атак в месяц, то сейчас столкнулись с сотнями тысяч в неделю. Самое главное ― теперь хакеры стремятся к кооперации и самоорганизации: за считаные минуты из порой незнакомых друг с другом людей собираются команды для массовых DDoS-атак.   

Любую массовую атаку, рассчитанную на то, что за счет охвата кто-то из жертв все-таки попадется, хакеры теперь быстро «дорабатывают» до целенаправленной — когда весь сценарий адаптирован под конкретную жертву, а это в разы повышает шансы хакеров на успех. Поэтому компаниям приходится подстраиваться к ситуации буквально на ходу.   

Микс типажей

Традиционно хакеров можно было поделить на три большие группы: кибершпионы, финансово мотивированные злоумышленники и хактивисты. Кибершпионы нацелены на хищение конфиденциальных данных, финансово мотивированные работают исключительно ради денег, а для хактивистов важнее всего самопиар, поэтому они выбирали наиболее простые и не требующие высокой экспертизы способы атак и наименее защищенные организации.

 

Что происходит сейчас? Это разделение перестало быть актуальным. Если кто-то привык считать, что он не интересен тем же хактивистам или кибершпионам, то сегодня одни и те же компании атакует невообразимый микс хакерских типажей.

При этом к нынешним атакам на российские организации подключились пользователи со всего мира. Здесь и те, кто откликнулся на призыв министра по цифровой трансформации Украины о создании киберармии, и стихийно формирующиеся инициативные группы людей с компетенциями в области IT и кибербезопасности. Речь не только об организованных группировках, но и об обычных интернет-пользователях, которые вовлекаются в киберпротивостояние без каких бы то ни было специальных знаний. Для них более опытные хакеры разрабатывают простые инструменты и инструкции, которые позволяют проводить атаки одной кнопкой. Для координации таких атак созданы специальные чаты (чаще всего в Telegram или Discord), доступные всем. К примеру, число активных пользователей одного из таких чатов более 300 000, а всего их несколько десятков. Иногда соучастниками атак становятся и просто любопытные граждане, изучающие просторы интернета в поисках истины. Вся их злонамеренная активность сводится к банальному клику по той или иной ссылке — этого вполне достаточно, чтобы отдать мощности своего компьютера в пользу массовой DDoS-атаки и даже не знать об этом.

 

Есть и другие истории, когда атакующие вставляют в самые разные продукты вредоносный код. Так, к примеру, пользователи одной из онлайн-игр вместо рекламы видели политические лозунги; сам же разработчик игры не знал о происходящем, так как проблему представлял именно сервис доставки рекламы.

При этом нельзя сбрасывать со счетов профессиональные хакерские группировки, действующие в интересах тех или иных государств. Это вполне профессиональные команды, которые используют общий фон для маскировки и имеют свои далеко идущие планы по контролю инфраструктур отечественных компаний. При этом инфраструктуру взломанных и контролируемых компаний хакеры могут в дальнейшем использовать, чтобы добраться до ее партнеров и клиентов. 

Шквал атак

Атакам подвергаются практически все отечественные организации, до которых могут дотянуться злоумышленники. Например, под атакой оказались сайты арбитражных судов, сервис Госмониторинга, служба доставки Boxberry, сайты СМИ или стриминговых сервисов и одновременно с ними электрозарядные станции, холдинг «Мираторг» и другие компании. Ключевой ориентир для хакеров ―  российские IP-адреса, а главная их задача — создать видимость шквала атак. 

 

Мы фиксировали атаки (безуспешные) и на свою инфраструктуру: злоумышленники пробуют организовать DDoS на наши ресурсы, постоянно сканируют наши сайты, пытаясь выявить уязвимости, используют вредоносные рассылки на электронные адреса сотрудников компании, чтобы получить доступ к инфраструктуре изнутри.

В конце февраля атаки приходились в основном на правительственные организации, госкорпорации и компании критической инфраструктуры. DDoS был направлен на выведение из строя ключевых компонентов, обеспечивающих бесперебойную работу бизнеса и государственных систем в сфере финансов, транспорта, логистики, коммуникаций, госуправления, IT и энергетики. 

Новый подход

Резонансные события всегда вызывали реакцию в киберпространстве, но обычно они ограничивались исключительно волной фишинговых писем по тематике. Так, например, было в преддверии Олимпиады или чемпионата мира по футболу, или, скажем, когда были первые волны коронавирусных локдаунов. Во всех этих случаях в считаные дни злоумышленники брали тематику на вооружение и организовывали фишинговые рассылки в русле общей информационной повестки, используя в таких письмах чаще всего популярные вирусы. 

Сейчас же арсенал сценариев хакерских атак расширился: используются как хорошо известные инструменты (например, HOIC — опенсорсная разработка, позволяющая организовывать DDoS-атаки большой мощности буквально одним кликом), так и их модификации или даже специально созданные инструменты. 

Помимо этого, сейчас набирают обороты фишинговые атаки, задача которых — «доставить» внутрь атакуемой организации вредоносный софт (вирус). Обычно тема таких сообщений — геополитика или защита от хакерской активности на территории России. Внутри письма может быть архив, вредоносный документ или же ссылка на скачивание из публичного хранилища. Во время некоторых атак злоумышленники используют уязвимости на периметре организаций — например, уязвимость в почтовом сервере Microsoft, о которой известно уже год, но которой все еще подвержены не менее 10% всех существующих в доменной зоне .ru почтовых серверов. Эта уязвимость позволяет злоумышленникам как минимум читать переписку на зараженном почтовом сервере, а как максимум ― «забраться» внутрь инфраструктуры компании: сначала получив доступ к прочим системам с зараженного сервера, а далее как по цепочке — от системы к системе, повышая свои права доступа, добраться до управления наиболее критичными для организации структурами.

 

В случае проникновения внутрь организаций хакеры похищают и публикуют данные компании, а также пытаются вывести из строя системы организации доступным им способом.

К сожалению, на практике большинство компаний оказались не готовы к такому интенсивному напору хакеров: выстроенная ими система информационной безопасности отлично справлялась с автоматизированными или не столь массовыми атаками. Но как только к автоматизированным атакам присоединился человек, который может проанализировать, по какой именно причине автоматизированная атака не прошла, ситуация изменилась полностью — небольшая модификация позволяет превратить любую атаку в успешную.

Мнение редакции может не совпадать с точкой зрения автора

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+