Опасный момент: как хакеры выступят на чемпионате мира по футболу в России
Чемпионат мира по футболу обязательно привлечет к себе внимание хакеров всех мастей — идейных хактивистов, фишеров и других бойцов теневого киберфронта. Серьезные группировки не обходят стороной такие мероприятия.
Судя по динамике киберинцидентом, подготовка уже ведется: в 2017 год было зафиксировано на 13% больше инцидентов, чем годом ранее. Новой тенденцией стало увеличение доли атак хактивистов — хакеров, которые ломают чужие сайты из идейных соображений.
В дни проведения ЧМ-2018 рост числа атак может быть взрывным и его последствия затронут не только организаторов. Например, во время Олимпиады в Южной Корее зловред «Олимпийский разрушитель» (Olympic Destroyer) вывел из строя официальный сайт и сеть Wi-Fi на стадионе. В результате часть пользователей не смогли распечатать билеты, атака помешала прямой трансляции, и была отменена часть церемонии открытия. Например, великолепное шоу дронов, которые видели телезрители, не состоялось — была подмонтирована картинка с репетиции.
Можно пытаться все свалить на российских хакеров, но во время Олимпиады в Сочи в 2014 году, хакеры проводили десятки тысяч атак в день, в том числе на медиасайты.
Выманить реквизиты
В первую очередь преступников притягивают массовые события из-за скопления туристов — в этом смысле хакеры не сильно отличаются от карманников. Сейчас весьма популярен тематический фишинг, эксплуатирующий тему чемпионата мира: например, пользователю сообщают, что его заявка выиграла в лотерее FIFA. Часто используется заражение вредоносными приложениями сайтов, популярных среди интересных для хакеров групп людей. При заходе на такой сайт, браузер пользователя считывает код, который перенаправляет по вредоносной ссылке. Одновременно могут создаваться и копии сайтов банков — «фарминг». Цель — получить данные банковской карты.
Пользователям необходимо критически относиться к входящим сообщениям и просьбам ввести карточные данные. Никогда не надо оплачивать что-либо напрямую из письма (SMS-сообщения) или переходя из него: адреса отправителя и сайта могут быть подделаны. Безопаснее вводить адрес самостоятельно.
Другой вектор — гостиницы. Недавний пример: накануне визита президента России в Крым неизвестные хакеры атаковали booking.com, в результате чего за одну ночь сотни крымских отелей были полностью забронированы. Подобные действия, скорее всего, связаны с хулиганством. На более серьезном уровне работает группировка Fancy Bear: они атакуют гостиницы с помощью эксплойта, на базе которого функционировал шифровальщик WannaCry, а затем перехватывают логины и пароли посетителей гостиниц, передаваемые по беспроводному соединению. Для защиты от таких атак пользователям гостиниц (и не только гостиниц) не надо совершать покупки, используя публичный Wi-Fi, а отелям (и другим инфраструктурным объектам) стоит своевременно обновлять ПО на своих компьютерных системах.
Особое внимание следует обратить на обновления систем Windows в связи с вероятными попытками использовать вирусы-шифровальщики хактивистами, желающими помешать проведению чемпионата мира. Они могут попытаться, например, скомпрометировать сервис идентификации болельщиков («паспорт болельщика») на ЧМ-2018, чтобы заблокировать проход на стадион или значительно осложнить процесс перемещения между спортивными объектами.
И если в подобных атаках будет опять использована пресловутые уязвимости в Windows — это станет позором для специалистов по безопасности. Поэтому все важные системы на базе Windows должны быть обновлены.
Выключить стадион из розетки
ФСБ России предписывает некоторым предприятиям остановить производство на период проведения чемпионата мира. Но этот документ касается преимущественно нефтехимических производств. Хакеров же вполне могут привлечь и другие инфраструктурные объекты: стадионы, электростанции, а также, учитывая масштабы мероприятия, транспортные компании.
При этом хакерам не обязательно обладать высокой квалификацией, чтобы провести разрушительные последствия, как это показала история с «Прикарпатьеоблэнерго» 23 декабря 2015 года, временно оставившая без электричества более 200 тысяч человек на 6 часов. Этот инцидент хотя и стал первым случаем, когда хакеры совершили столь масштабное отключение энергосистемы, но никакого программного «супероружия» уровня Stuxnet при этом не использовалось. В корпоративную сеть злоумышленники проникли традиционно — с помощью фишинговых писем (примерно четверть сотрудников в компаниях переходят по ссылкам из фишинговых писем).
Затем атакующие стирали программное обеспечение на компьютерных системах электрокомпании и вносили изменения в прошивки конвертеров фирмы Moxa. Опасность этих маленьких коробочек недооценивают — описание их работы легко обнаружить в Интернете и в дальнейшем изменять параметры. В результате компоненты электросети становятся неуправляемыми. В случае «Прикарпатьеоблэнерго», если бы на подобных объектах не было ручного управления, восстановить подачу электроэнергии было бы не просто.
Регулярно совершаются атаки и на транспортные системы. В 2016 году спецслужбы КНДР попытались получить доступ к системе управления движением поездов Южной Кореи, а в Сан-Франциско неизвестные злоумышленники заблокировали терминалы оплаты, рабочие станции сотрудников метрополитена и прочие ресурсы, связанные с городским общественным транспортом.
Такие атаки происходят из-за низкой готовности предприятий к атакам на свои корпоративные сети. Практически любой квалифицированный пользователь, обладающий минимальными знаниями, способен преодолеть сетевой периметр 55% систем. В среднем ему требуется всего два шага. Компрометация информационной системы компании чаще всего занимает считанные минуты, тогда как обнаружение факта взлома — месяцы и годы.
Если периметр уже пройден
Более опытные хакеры могут находиться внутри сетей и ждать нужного часа для атаки. Среднее время присутствия атакующих в системе составляет до 3 лет. При этом лишь 10% атак выявляются самими жертвами.
Например, в случае вмешательства в выборы президента США 2016 года хакеры получили доступ к сетям национального комитета демократической партии в июле 2015 года и сохраняли его вплоть до самих выборов в июне 2016 года. За это время атакующим удалось получить доступ к огромному объему данных и впоследствии рассекретить их, используя известные публичные площадки (например, WikiLeaks).
Инфраструктура, обеспечивающая проведение ЧМ-2018, настолько многообразна, что всерьез рассчитывать на отсутствие в какой-либо ее части закладок нереально. Множество систем, скорее всего, уже были взломаны, а доступ к ним, вполне вероятно, уже продан в даркнете. Поэтому защищать один лишь периметр недостаточно. Надо проводить автоматизированное сканирование специальными средствами, а также проводить тесты на проникновение.
Следующим шагом должен стать поиск индикаторов компрометации и реакция на них: проверка журналов событий доступа в интернет и почтовую переписку на наличие связи с известными серверами управления вредоносным ПО или полученные писем от известных мошеннических адресов. Любые обнаруженные индикаторы компрометации требуют проведения полномасштабного расследования. Оно позволит определить причины и последствия инцидента, понять степень распространения вредоносного ПО или возможностей злоумышленника.