01.04.2022 - Атака одной кнопкой: кто взламывает сайты российских компаний

За последние полтора месяца количество кибератак на российские компании выросло с десятков в месяц до сотен тысяч в неделю. Директор экспертного центра безопасности Positive Technologies Алексей Новиков в колонке для Forbes рассказывает, кто участвует во взломах сайтов, как изменилась стратегия злоумышленников и чего они хотят добиться

Количество кибератак на российские компании за последние полтора месяца значительно выросло: если раньше мы видели десятки атак в месяц, то сейчас столкнулись с сотнями тысяч в неделю. Самое главное ― теперь хакеры стремятся к кооперации и самоорганизации: за считаные минуты из порой незнакомых друг с другом людей собираются команды для массовых DDoS-атак.

Любую массовую атаку, рассчитанную на то, что за счет охвата кто-то из жертв все-таки попадется, хакеры теперь быстро «дорабатывают» до целенаправленной — когда весь сценарий адаптирован под конкретную жертву, а это в разы повышает шансы хакеров на успех. Поэтому компаниям приходится подстраиваться к ситуации буквально на ходу.

Микс типажей

Традиционно хакеров можно было поделить на три большие группы: кибершпионы, финансово мотивированные злоумышленники и хактивисты. Кибершпионы нацелены на хищение конфиденциальных данных, финансово мотивированные работают исключительно ради денег, а для хактивистов важнее всего самопиар, поэтому они выбирали наиболее простые и не требующие высокой экспертизы способы атак и наименее защищенные организации.

Что происходит сейчас? Это разделение перестало быть актуальным. Если кто-то привык считать, что он не интересен тем же хактивистам или кибершпионам, то сегодня одни и те же компании атакует невообразимый микс хакерских типажей.

При этом к нынешним атакам на российские организации подключились пользователи со всего мира. Здесь и те, кто откликнулся на призыв министра по цифровой трансформации Украины о создании киберармии, и стихийно формирующиеся инициативные группы людей с компетенциями в области IT и кибербезопасности. Речь не только об организованных группировках, но и об обычных интернет-пользователях, которые вовлекаются в киберпротивостояние без каких бы то ни было специальных знаний. Для них более опытные хакеры разрабатывают простые инструменты и инструкции, которые позволяют проводить атаки одной кнопкой. Для координации таких атак созданы специальные чаты (чаще всего в Telegram или Discord), доступные всем. К примеру, число активных пользователей одного из таких чатов более 300 000, а всего их несколько десятков. Иногда соучастниками атак становятся и просто любопытные граждане, изучающие просторы интернета в поисках истины. Вся их злонамеренная активность сводится к банальному клику по той или иной ссылке — этого вполне достаточно, чтобы отдать мощности своего компьютера в пользу массовой DDoS-атаки и даже не знать об этом.

Есть и другие истории, когда атакующие вставляют в самые разные продукты вредоносный код. Так, к примеру, пользователи одной из онлайн-игр вместо рекламы видели политические лозунги; сам же разработчик игры не знал о происходящем, так как проблему представлял именно сервис доставки рекламы.

При этом нельзя сбрасывать со счетов профессиональные хакерские группировки, действующие в интересах тех или иных государств. Это вполне профессиональные команды, которые используют общий фон для маскировки и имеют свои далеко идущие планы по контролю инфраструктур отечественных компаний. При этом инфраструктуру взломанных и контролируемых компаний хакеры могут в дальнейшем использовать, чтобы добраться до ее партнеров и клиентов.

Шквал атак

Атакам подвергаются практически все отечественные организации, до которых могут дотянуться злоумышленники. Например, под атакой оказались сайты арбитражных судов, сервис Госмониторинга, служба доставки Boxberry, сайты СМИ или стриминговых сервисов и одновременно с ними электрозарядные станции, холдинг «Мираторг» и другие компании. Ключевой ориентир для хакеров ― российские IP-адреса, а главная их задача — создать видимость шквала атак.

Мы фиксировали атаки (безуспешные) и на свою инфраструктуру: злоумышленники пробуют организовать DDoS на наши ресурсы, постоянно сканируют наши сайты, пытаясь выявить уязвимости, используют вредоносные рассылки на электронные адреса сотрудников компании, чтобы получить доступ к инфраструктуре изнутри.

В конце февраля атаки приходились в основном на правительственные организации, госкорпорации и компании критической инфраструктуры. DDoS был направлен на выведение из строя ключевых компонентов, обеспечивающих бесперебойную работу бизнеса и государственных систем в сфере финансов, транспорта, логистики, коммуникаций, госуправления, IT и энергетики.

Новый подход

Резонансные события всегда вызывали реакцию в киберпространстве, но обычно они ограничивались исключительно волной фишинговых писем по тематике. Так, например, было в преддверии Олимпиады или чемпионата мира по футболу, или, скажем, когда были первые волны коронавирусных локдаунов. Во всех этих случаях в считаные дни злоумышленники брали тематику на вооружение и организовывали фишинговые рассылки в русле общей информационной повестки, используя в таких письмах чаще всего популярные вирусы.

Сейчас же арсенал сценариев хакерских атак расширился: используются как хорошо известные инструменты (например, HOIC — опенсорсная разработка, позволяющая организовывать DDoS-атаки большой мощности буквально одним кликом), так и их модификации или даже специально созданные инструменты.

Помимо этого, сейчас набирают обороты фишинговые атаки, задача которых — «доставить» внутрь атакуемой организации вредоносный софт (вирус). Обычно тема таких сообщений — геополитика или защита от хакерской активности на территории России. Внутри письма может быть архив, вредоносный документ или же ссылка на скачивание из публичного хранилища. Во время некоторых атак злоумышленники используют уязвимости на периметре организаций — например, уязвимость в почтовом сервере Microsoft, о которой известно уже год, но которой все еще подвержены не менее 10% всех существующих в доменной зоне .ru почтовых серверов. Эта уязвимость позволяет злоумышленникам как минимум читать переписку на зараженном почтовом сервере, а как максимум ― «забраться» внутрь инфраструктуры компании: сначала получив доступ к прочим системам с зараженного сервера, а далее как по цепочке — от системы к системе, повышая свои права доступа, добраться до управления наиболее критичными для организации структурами.

В случае проникновения внутрь организаций хакеры похищают и публикуют данные компании, а также пытаются вывести из строя системы организации доступным им способом.

К сожалению, на практике большинство компаний оказались не готовы к такому интенсивному напору хакеров: выстроенная ими система информационной безопасности отлично справлялась с автоматизированными или не столь массовыми атаками. Но как только к автоматизированным атакам присоединился человек, который может проанализировать, по какой именно причине автоматизированная атака не прошла, ситуация изменилась полностью — небольшая модификация позволяет превратить любую атаку в успешную.

Постоянный адрес материала - Атака одной кнопкой: кто взламывает сайты российских компаний