Летняя кибергроза: интенсивность DDoS-атак на вузы выросла в разы
В последние недели приемной кампании, которая стартовала 20 июня, интенсивность кибератак на вузы существенно выросла, сообщили «Известиям» в компаниях по кибербезопасности. В высших учебных учреждениях увеличение частоты атак подтверждают, хотя и не во всех. В этом году сайты вузов пытались подвесить как сами абитуриенты, чтобы не дать возможность конкурентам за бюджетные места подать документы в выбранный университет, так и политически мотивированные хакеры, отмечают эксперты.
Приемные атаки
Количество DDoS-атак на вузы с 1 по 15 июля 2024 года увеличилось в 3,5 раза по сравнению с аналогичным периодом прошлого года и в 4,5 раза по сравнению с первой половиной июня этого года. Об этом сообщили «Известиям» в компании StormWall, которая поставляет услуги в области информационной безопасности. Ее аналитики оценивали данные своих клиентов.
В компании по кибербезопасности Servicepipe «Известиям» предоставили данные за последнюю неделю приемной кампании в вузы. Ее специалисты зафиксировали рост количества атак примерно в 1,5 раза выше, чем за аналогичный период прошлого года.
— Объемы атак составили порядка 70 тыс. запросов в секунду, — рассказал заместитель генерального директора Servicepipe Даниил Щербаков. — Это не рекордные скорости, однако для незащищенного ресурса такая вредоносная нагрузка будет означать недоступность сервисов.
Он отметил, что в этом июле более 80% вредоносных запросов поступали с отечественных IP-адресов. Первую летнюю волну DDoS-атак на вузы Servicepipe фиксировала с середины мая по третью неделю июня, но тогда большинство «мусорного трафика» шло с иностранных IP-адресов.
— Мы связываем это с тем, что большая часть июльских хакеров в это время сдавали ЕГЭ и им было не до атак, — сказал Даниил Щербаков. — Мы считаем, что с большой долей вероятности инициаторами атак в июле были абитуриенты, которые уже подали документы в вуз, после чего атаковали ресурсы учебного заведения, чтобы добиться недоступности сервисов и, как следствие, недоступности списков поступающих для отслеживания.
Это, по его словам, делается, чтобы вынудить конкурентов в борьбе за бюджетные места запаниковать и забрать документы либо, если документы пока не поданы, выбрать другой вуз.
В StormWall также полагают, что, судя по характеру ряда атак, часть их была запущена непрофессионалами — то есть это могли быть абитуриенты, которые боялись конкуренции.
— Абитуриенты атаковали сайты образовательных учреждений, чтобы нарушить их работу и помешать соперникам с более высокими баллами подать заявления в вузы. Подобная ситуация наблюдалась в 2022 и 2023 годах, — констатировали в компании.
Политические киберинциденты
Атаки на вузы отличались разной мощностью: от 4 тыс. до 700 тыс. запросов в секунду. Это указывает на то, что организаторами атак были как профессиональные хакеры, так и любители. Впрочем, большинство атак, как полагают специалисты StormWall, было организовано с участием политически мотивированных хактивистов.
— Хакеры запустили новую волну DDoS-атак на образовательные учреждения в разгар работы приемной кампании. Киберпреступники стремились помешать выпускникам российских школ подать документы в высшие учебные заведения, — полагают в компании.
Длительность киберинцидентов также отличалась. Специалисты фиксировали DDoS-атаки с диапазоном продолжительности от четырех до 53 минут. Небольшая длительность указывает на проведение атак в тестовом режиме, когда хакеры пытались определить, насколько надежна защита вузов, полагают эксперты. В случае неэффективной атаки хакеры быстро переходили к другому объекту.
Длительные же атаки указывали на их успешность, а также на важность вуза для злоумышленников.
— Для нас нет ничего необычного в атаках на вузы во время работы приемной кампании, — отметил CEO и сооснователь StormWall Рамиль Хантимиров. — Необычно только то, что раньше атаки на вузы обычно запускались выпускниками школ, которые боролись с конкурентами, а теперь большинство атак запускаются хактивистами, которые пытаются навредить российским школьникам.
С появлением хактивистов атаки на вузы стали более профессиональными, мощными и длительными, что делает проблему более серьезной, полагает он.
У вузов всё в порядке
Рост интенсивности и частоты атак «Известиям» подтвердили и в вузах.
— К примеру, два года назад их почти не было, год назад у нас были спокойные дни без атак на сайт, а в последнее время атаки идут практически непрерывно, — рассказал проректор Московского городского педагогического университета, кандидат технических наук Руслан Сулейманов. — Иногда атаки сильнее, иногда слабее, но в целом за год (c июля по июль) сайт университета получил более 14,5 млн подозрительных обращений, причем интенсивность атак нарастала с апреля.
За первое полугодие этого года количество DDos-атак увеличилось на 10% на ресурсы Российского университета дружбы народов в сравнении с аналогичным периодом в прошлом году.
— С начала приемной кампании отмечается рост атак на ресурсы РУДН. В пик нагрузки фиксировалось 100 атакующих запросов в секунду. Среди наиболее активных зарубежных IP-адресов — Гонконг, США, Узбекистан, Казахстан, Украина. С 20 июня отразили 100% атак, что равноценно более чем 12 млн подозрительных запросов, — рассказала проректор по стратегическим коммуникациям РУДН Елена Апасова.
В РАНХиГС сообщили, что активность хакерских атак осталась на уровне прошлого года.
— Но мы видим ее лучше, следовательно, лучше защищены, — сказал «Известиям» директор по информационной безопасности Президентской академии Илья Яблоков. — Число инцидентов, связанных с DDoS, растет и будет расти неуклонно год от года. Базовые атаки вроде фишинга или DDoS стали рутиной.
Он рассказал, что в РАНХиГС действует комплекс мероприятий, позволяющий защищаться от атак: от межсетевых экранов и средств мониторинга до самых простых, но эффективных мероприятий по обучению основам информационной гигиены.
— Никакого вреда такие атаки абитуриентам нанести не могут, так как главная цель атакующих — сделать WEB-сервис недоступным. Правильная защита позволяет академии избегать подобных инцидентов, — сказал Илья Яблоков.
В Московском Политехе «Известиям» сообщили, что в течение года на ресурсы вуза атаки шли из Индонезии, США, Бразилии, Колумбии, Индии, Германии, Канады, Сингапура, Таиланда и Аргентины. Долю инцидентов из России там оценили примерно в три процента от общего числа.
Можно ли наказать за кибератаку
Найти виновного и доказать, что именно этот конкретный человек совершил DDoS-атаку, крайне сложно, признал управляющий партнер адвокатского бюро Nordic Star Андрей Гусев. DDoS-атаки представляют особую сложность при расследовании, ведь для того, чтобы установить первоисточник атаки, которая зачастую может осуществляться с нескольких и даже сотен тысяч устройств, необходимо размотать запутанные цепочки компьютеров и IP-адресов, добавил адвокат ZE Lawgic Legal Solutions Рафаэль Данельян.
Он также подчеркнул, что необходимо проводить различие между одиночными DDoS-атаками от тех, которые проводятся одновременно из разных мест, с использованием большого количества устройств с целью перегрузить систему и обвалить сайт.
За DDoS-атаки могут привлечь по трем статьям УК РФ. Это статья о неправомерном доступе к компьютерной информации (ст. 272, предполагает до семи лет лишения свободы), о создании, использовании и распространении вредоносных компьютерных программ (ст. 273, до семи лет лишения свободы) и о неправомерном воздействии на критическую информационную инфраструктуру России (ст. 274.1, до десяти лет лишения свободы). Но, отметил Андрей Гусев, судебная практика по делам о киберпреступлениях в России пока еще не очень развита.
Так, в 2021 году житель Барнаула был осужден на два года условно за DDoS-атаку на сайт мэрии. В 2022 году в Санкт-Петербурге двое подростков получили условные сроки за DDoS-атаки на сайты школ, а в 2023 году в Москве студента осудили на полтора года условно за DDoS-атаку на сайт университета.
Как отметил управляющий партнер Адвокатского бюро «Плешаков, Ушкалов и партнеры» Вячеслав Ушкалов, закон напрямую не относит к критической для страны инфраструктуре образовательные организации. А вот судебная практика по ст. 273 УК РФ имеется, в том числе вступившие в силу приговоры к лишению свободы, сказал он.
Рафаэль Данельян пояснил: с точки зрения квалификации DDoS-атак сама по себе организация многочисленных запросов на сайт, повлекшая его блокировку, не образует состав преступления.
— Привлечение к уголовной ответственности по ст. 272 УК РФ допустимо только в том случае, если преступник получил доступ к компьютерной информации, которая впоследствии была заблокирована, — сказал он. — В случае с DDoS-атаками на сайты вузов целями злоумышленников становятся непосредственно блокировка ресурса и невозможность им пользоваться другим пользователям. А вот получения доступа к компьютерной информации не происходит, что исключает ответственность по ст. 272 УК РФ, и судебная практика это подтверждает.
По словам юриста, привлечение к уголовной ответственности по ст. 273 возможно не за проведение атак и блокировку сайтов, а за создание и использование вредоносных компьютерных программ или вирусов, которые использовались преступниками. Однако с учетом запутанности и разветвленной структуры сети атакующих устройств при расследовании будет сложно установить компьютер-первоисточник и участвующие в организации атак лица, добавил эксперт.
