Безопасность российским пользователям интернета обеспечивает объединённый киберштаб ведущих ИТ-компаний
На SOC-Форуме 2022 ключевые игроки рынка ИБ – «Ростелеком-Солар», «Лаборатория Касперского», Positive Technologies и BI.ZONE – раскрыли новый формат своего взаимодействия.
С конца февраля на фоне колоссального роста атак злоумышленников компании создали своего рода киберштаб для совместной защиты российских организаций.
За восемь месяцев совместной деятельности объединённая группа разработала для компаний несколько документов и рекомендаций, в том числе по обновлению зарубежного программного обеспечения, по борьбе с отзывом сертификатов, а также аналитику по ИТ-армии Украины.
Участники киберштаба не только усилили взаимодействие в рамках ГосСОПКА — «Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак», но и сформировали отдельную среду для оперативной совместной работы. Поступающие данные по атакам обрабатываются в рамках единой команды на условиях отсутствия конкуренции, свободного и полного шеринга экспертизы, а задачи распределяются с учётом объективной оценки свободных ресурсов. Такой подход позволил обеспечить максимально качественное реагирование на атаки внутри инфраструктур отдельных компаний, которым оказывалась поддержка.
«События в киберпространстве после 24 февраля стали наиболее заметны для массовой аудитории благодаря непрекращающейся волне DDoS-атак. Некоторые из них достигали нескольких терабит, но поначалу эти атаки были не очень технологичны. В частности, все цели размещались в специализированных телеграм-каналах. По классической схеме злоумышленники использовали массовые международные ботнеты. Однако у этих атак имелись и специфические черты», – рассказал Евгений Волошин, директор по стратегии BI.ZONE.
Во-первых, учитывалась сезонная популярность ресурсов: атаки на порталы по продаже железнодорожных и авиабилетов – в начале сезона отпусков, на сайты вузов – в начале и конце приёмной кампании, а в период праздников – DDoS ключевых ресурсов, обеспечивающих видеотрансляции. Во-вторых, хакеры с помощью специализированного ПО сформировали бот-сеть, атакующую даже те организации, которые ограничили у себя использование международного трафика и закрылись от международных ботнетов.
Созданная инфраструктура ИТ-армии Украины использовалась не только для DDoS каналов связи, но и для массовых атак уровня веб-приложений. И если обычно злоумышленники работают фокусно, по адресам конкретной организации, то теперь в их зоне интереса оказались все российские IP-адреса. Сегодня в российском интернете содержится несколько десятков тысяч уязвимых корпоративных ресурсов и забытых веб-консолей, опубликованных на ИТ-периметрах госструктур и коммерческих компаний.
Характер атак этого года и их активный пиар хакерами говорит о попытке посеять панику среди населения, создав ощущение критического воздействия на инфраструктуры множества российских организаций. Однако за таким визуальным эффектом в большинстве случаев стоят достаточно несложные атаки на подрядчиков по размещению контента, не имеющие серьезных последствий. Такими, например, были атаки на поставщика онлайн-вещания на 9 мая или на сеть обмена баннерами, работающую с ключевыми интернет-порталами и СМИ.
«Если раньше информация о хакерских атаках становилась доступна лишь экспертам на профильных форумах и в даркнете, то сейчас она все чаще появляется в публичных телеграм-каналах, а иногда высылается напрямую журналистам как новость, – прокомментировал директор центра противодействия кибератакам SolarJSOC компании «Ростелеком-Солар» Владимир Дрюков. – Данные, которые раньше продавались за существенные суммы в биткоинах, сейчас выкладываются в общий доступ абсолютно бесплатно. При этом анализируя ситуацию с утечками этого года, приходится констатировать, что 9 из 10 таких публичных кейсов являются фейками. Часто злоумышленники пытаются представить как утечку тестовые данные, данные из открытых источников, на которые иногда специально навешиваются грифы коммерческой тайны или секретности, либо компиляцию старых утечек. Поэтому мы просим граждан, и особенно журналистов и блогеров, сохранять спокойствие и не обращать внимания на эти массовые попытки дестабилизации информационной обстановки».
Добавим также, что компания «Ростелеком» в 2022 году реализовал услугу «Мониторинг трафика и защита от DDoSатак» на крупных заводах Великого Новгорода на канале 300 Мбит/с.
В 2023 году в Боровичах «Ростелеком» планирует проведение Пентеста: работы по моделированию действий хакеров. В ходе работ моделируются действия потенциальных злоумышленников, использующих общедоступное специализированное ПО и не обладающих навыками самостоятельного исследования уязвимостей информационных систем и их компонентов, как и квалификацией, достаточной для самостоятельной разработки вредоносного ПО.
Антон Иванов, директор по исследованиям и разработке «Лаборатории Касперского», рассказал о тенденциях в мире финансово мотивированных злоумышленников.
В 2022 году они продолжили активно атаковать компании, используя все доступные инструменты: целевой фишинг, DDoS, различное вредоносное ПО. Чтобы заставить жертву заплатить, злоумышленники стремятся нанести максимальный ущерб: остановить операционные процессы, навредить репутации, сделать восстановление практически невозможным.
«Мы призываем компании максимально ответственно относиться к обеспечению кибербезопасности: не ограничиваться защитой конечных точек, а обучать персонал, внедрять эшелонированную защиту, постоянно следить за данными из сервисов киберразведки», — прокомментировал Антон Иванов.
Далеко не все из профессиональных политически мотивированных атак стали доступны широкой публике, но можно отметить, что несколько компаний с очень серьёзным уровнем безопасности пали жертвой группировок, работающих в интересах наших политических визави и нацеленных на дестабилизацию, разрушение инфраструктуры или максимальную компрометацию критических данных организации. Для атаки, как правило, использовались эксплуатация уже известных уязвимостей и фишинговые рассылки с вредоносным ПО, в том числе с серверов предварительно скомпрометированных компаний.
«Большинство организаций после февральских событий стали наращивать свою защищённость, однако на практике этого мало — в случае любых геополитических потрясений, равно как и общественно значимых событий, необходимо оперативно искать следы более раннего взлома организации, — подчеркнул Алексей Новиков, директор по исследованиям и разработке компании Positive Technologies. — На практике оказалось, что многие компании взломали за несколько месяцев до нанесения им реального ущерба — в частности, полного вывода из строя или длительного нарушения работоспособности сервисов, потери конфиденциальных данных».
Не исчезли и группировки, практикующие классический кибершпионаж. В актуальных реалиях им стало даже проще скрываться от взглядов команд безопасности. Причина этого проста: защищающая сторона сейчас вынуждена противодействовать непрерывному валу простых, но быстрых в реализации атак. При этом на уровне риск-приоритетов компаний угроза шифрования данных куда более значима, чем «абстрактный» шпионаж.
Немного статистики: данные по атакам, фиксируемым сенсорами и ханипотами* на сетях Ростелекома (без DDoS)
СЗФО
За третий квартал 2022 года число скомпрометированных организаций выросло на 35%.
Разбивка по отраслям от общего числа успешных атак:
| Образование | 34% |
| Государство | 18% |
| Здравоохранение | 18% |
| Пищепром | 11% |
| ТЭК | 6% |
| Промышленность | 6% |
| Телеком | 3% |
| Финансы | 5% |
Новгородская область:
За последний квартал число скомпрометированных организаций выросло вдвое.
Разбивка по отраслям от общего числа успешных атак:
| Здравоохранение | 26% |
| Образование | 26% |
| Государство | 20% |
| Финансы | 8% |
| Телеком | 3% |
| Пищепром | 7% |
| Промышленность | 7% |
| ТЭК | 4% |
* Специальное программное обеспечение для поиска кибератак.
