Крайний сервер: как хакеры выбирают объекты для атаки
В прошлом и текущем годах не было допущено ни одного взлома портала «Госуслуги» даже на фоне роста числа кибератак на российские компании и сервисы, сообщили в группе компаний «Солар», обеспечивающей защиту главного отечественного цифрового сервиса для граждан. Тем не менее за этот период более 2,2 тыс. фрагментов закрытого кода российских организаций различных форм собственности и секторов экономики попало в открытый доступ. Подробности — в материале «Известий».
Устояли под ударами
Главный официальный портал взаимодействия россиян с органами власти хакерам взломать не удалось, заявили в центре противодействия кибератакам Solar JSOC (входит в ГК «Солар»). Между тем в 2022 году было немало ложных сообщений о якобы имевших место взломах «Госуслуг».
— Было около 15 [вбросов]. Со всей ответственностью могу сказать, что в прошлом году [утечек и взломов] не было и в этом не было тоже, — сообщил журналистам директор центра противодействия кибератакам Solar JSOC Владимир Дрюков на пресс-конференции, посвященной трансформации компании.
Хакеры насытились ПД
По оценкам Владимира Дрюкова, в 2023 году наблюдается рост числа атак по сравнению с прошлым годом на несколько десятков процентов.
— На сегодняшний день гораздо меньше интереса [у киберпреступников] стало к персональным данным, — отметил специалист. — Прозвучит печально, но почти все персональные данные так или иначе были выкачаны из разных организаций [ранее].
Он обратил внимание, что число строк кода с утечками ПД превосходит число жителей России в четыре раза. Впрочем, Дрюков упомянул о фокусных нападениях.
— На той стороне создается база на всех граждан РФ: недвижимость, адреса, телефоны, места, куда заказывают еду. Как это будет использоваться в дальнейшем, можно только гадать, — прокомментировал специалист.
Он отметил, что многие госорганы воспользовались системой блокирования зарубежного трафика на базе ЦМУ ССОП с использованием технических средств противодействия угрозам (ТСПУ). Это привело к тому, что значительную часть атак и их направленность специалисты попросту не видят, сказал киберэксперт.
Центр мониторинга и управления сетью связи общего пользования создан на базе Федерального государственного унитарного предприятия «Главный радиочастотный центр» (ФГУП «ГРЧЦ») по инициативе Минцифры. Его задачи — отслеживать состояние сетей связи; взаимодействовать с информационными системами операторов связи, различными ведомствами и другими внешними информационными системами; вести мониторинг маршрутно-адресной информации. 20 сентября стало известно, что центр выявил 6 тыс. российских сайтов, которые подвергались взлому. Доступ к ресурсам был ограничен для предотвращения атак.
Ломают без разбору
Взлом российских госресурсов считается значимой задачей для киберпреступников, отмечает Владимир Дрюков. Однако глобальная задача криминального киберсообщества сегодня — ломать Рунет целиком.
— Например, есть опубликованный уязвимый сервис на каком-то IP-адресе, его взламывают. Это может быть тестовый сегмент АСУТП (автоматизированные системы управления технологическими процессами на предприятии. — Ред.) или школьный портал. Это может быть сайт, который сделал школьник во время подготовки к занятиям. Или это может быть хостинг одной из администраций в регионе, — перечисляет эксперт.
На старте киберпреступникам не столь важно назначение ресурса, важна лишь его уязвимость. А уже потом, в зависимости от самого сайта, следуют разные варианты действий: если есть перспективы — будут «копать» дальше; если ресурс никому не нужен — повесят дефейс и разошлют в телеграм-чаты.
— Под атакой — вся инфраструктура России, — резюмирует Дрюков. Вместе с тем он отмечает, что атак прикладного характера, причем колоссально емких, тоже остается очень много. Это преступные группировки, которые работают фокусно по конкретной инфраструктуре и решают конкретные задачи.
— К ним долго и тяжело готовятся. А последствия этих взломов наступают через месяцы. Все мы слышим о них — как правило, что-то перестает работать, — поясняет он.
Кто под ударом и как защищаться
По мнению коммерческого директора компании «Код безопасности» (обеспечивает защиту информационных систем) Федора Дбара, вектор атак принципиально не изменился, злоумышленники по-прежнему пользуются проверенными методами.
— В первую очередь это социальная инженерия, которую используют в фишинговых атаках с вредоносными ссылками. Также хакеры нередко эксплуатируют любовь пользователей к небезопасным паролям. Нередко случается так, что сотрудник объекта КИИ использует один и тот же пароль и для рабочей учетной записи, и для какого-либо сайта доставки или заказа бытовых предметов, — поделился эксперт.
Такие порталы в зоне риска, отмечает он. Их базы с данными о пользователях часто выкладываются для продажи или в открытый доступ. Поэтому в распоряжении злоумышленников оказываются многочисленные пароли, с помощью которых можно подобрать ключ к корпоративным системам или рабочей почте.
Динамику активности киберпреступности Дбар оценивает более оптимистично: в 2023 году количество атак снизилось примерно на половину, хотя и продолжает оставаться на довольно высоком уровне. Однако инфраструктура справляется с этими проблемами.
— Страна функционирует, экономика стоит, и даже зафиксирован ее рост, что наглядно иллюстрирует: все хакерские атаки, которые были призваны нарушить нашу жизнь и пошатнуть социально-экономическое положение России, успеха не принесли, — констатирует спикер.
Все направления, в которых необходимо развиваться, известны специалистам ИБ, говорит Федор Дбар.
— В общем и целом объекты КИИ надежно защищены, однако хакеры нередко атакуют их через цепочку поставок, то есть подрядчиков, которые предоставляют те или иные услуги. Поэтому в первую очередь подтягивать безопасность нужно именно таким организациям. Впрочем, по этому пути они и идут. Согласно нашему анализу, только в 2022 году на ИБ-рынок пришло дополнительно 25–35% новых клиентов, а к концу этого года цифра, по предварительным оценкам, вырастет вдвое, — подытожил спикер.
