Перейти к основному содержанию
Реклама
Прямой эфир
Армия
Экипаж Су-34 уничтожил опорный пункт и живую силу ВСУ в курском приграничье
Происшествия
Над Волгоградской, Воронежской и Белгородской областями за ночь сбили пять БПЛА
Мир
Трамп пообещал Канаде вдвое снизить налоги при присоединении к США
Мир
Посол России в Гаване назвал приглашение Кубы в БРИКС признаком престижа страны
Мир
Премьер-министр Японии Исиба провел телефонный разговор с Зеленским
Мир
СМИ сообщили о намерениях ЦАХАЛ оставаться в Ливане дольше 60 дней
Мир
В Казахстан прибыли представители авиавластей Азербайджана и Azerbaijan Airlines
Политика
Лукашевич назвал обвинявших Лаврова в дезинформации недалекими
Мир
Спецборт МЧС РФ с пострадавшими при падении самолета россиянами вылетел из Актау
Армия
Минобороны показало учения танкистов в Краснодарском крае
Общество
Эксперты объяснили рост цен на препараты от диабета
Мир
В Азербайджане начался день траура по погибшим в авиакатастрофе в Казахстане
Мир
Трамп анонсировал назначение чиновника из Флориды послом США в Панаме
Общество
Синоптики спрогнозировали небольшие осадки и гололед в Москве 26 декабря
Общество
В Новый год жители России смогут увидеть Черную Луну
Общество
СК РФ возбудил уголовное дело по факту теракта в городе Льгов Курской области
Мир
Красный Крест готов содействовать в освобождении заложников из Газы
Мир
Пять палестинских журналистов убиты в результате удара Израиля по центру Газы
Главный слайд
Начало статьи
Озвучить текст
Выделить главное
Вкл
Выкл

Киберпреступники научились взламывать интернет-провайдеров, предупреждают эксперты. Такой взлом позволяет злоумышленникам централизованно распространять вредоносное программное обеспечение среди клиентов пострадавших компаний. Подробнее о новой схеме хакеров, о том, чем это опасно для пользователей, и как защититься от таких угроз, читайте в материале «Известий».

Новая угроза

О том, что хакеры научились взламывать интернет-провайдеров, сообщили эксперты по кибербезопасности из компании Volexity (США). Они расследовали взлом неназванного провайдера, за которым стояла китайская хакерская группа Storm Bamboo, также известная как Evasive Panda.

По данным специалистов, взлом провайдера позволил киберпреступникам распространять вредоносное программное обеспечение (ПО) среди его клиентов. Поначалу эксперты Volexity предположили, что проблема была связана с брандмауэром организации, подвергшейся атаке, но дальнейшее расследование показало, что источник вредоносного ПО находился на уровне интернет-провайдера.

Мужчина сидит в компьютере девушка в телефоне
Фото: ИЗВЕСТИЯ/Эдуард Корниенко

Хакерам удалось провести так называемое «отравление DNS» — атаку, при которой они манипулируют системой доменных имен и перенаправляют трафик пользователей на вредоносные ресурсы. Когда пользовательские приложения пытались получить обновления, им присылали вместо них вредоносное ПО. Эта схема атаки была применена к нескольким программным продуктам, использующим небезопасные механизмы обновления.

Благодаря вредоносным программам MACMA и MGBot злоумышленники могли делать снимки экрана, перехватывать нажатия клавиш, красть файлы и пароли. Компания Volexity не раскрыла информацию о количестве пострадавших компьютеров и названии интернет-провайдера, но сообщила, что речь идет о «множественных инцидентах», произошедших в середине 2023 года.

Риски взлома

Случай, описанный Volexity, не особо отличается от любых других взломов, ведь, по сути, провайдер — это обычная организация со своей IT-инфраструктурой, считает ведущий эксперт отдела разработки и тестирования компании «Код безопасности» Александр Самсонов.

— С другой стороны, здесь есть своя особенность, поскольку у злоумышленников появляются дополнительные возможности для дальнейших атак, — рассказывает специалист. — Все дело в том, что через оборудование провайдера проходит весь интернет-трафик его клиентов, причем это могут быть как физические лица, так и организации.

По словам Александра Самсонова, проникнув в инфраструктуру провайдера, злоумышленники получают возможность взять под контроль весь поток данных. А если провайдер крупный, то количество пользователей может достигать десятков тысяч или даже миллионов.

Офис
Фото: ИЗВЕСТИЯ/Эдуард Корниенко

Это позволяет получать информацию из незащищенного трафика пользователей (в некоторых случаях — даже из защищенного), подменять запрашиваемые адреса, модифицировать трафик, проводить фишинговые атаки, а также атаковать напрямую слабо защищенные устройства пользователей.

— В случае, описанном Volexity, злоумышленники подменяли адреса серверов обновлений пользовательского ПО на свои и пакеты обновлений на вредоносные, — говорит эксперт. — Легитимный пользовательский софт, уязвимый к такому виду атак, при попытке получения своих обновлений загружал и устанавливал ПО с серверов злоумышленников.

Директор портфеля решений экосистемы в области информационной безопасности «Нота Купол» Игорь Душа дополняет, что в российском информационном поле сообщения, связанные с возможным взломом провайдеров, достаточно редки — к примеру, в отличие от инцидентов, связанных с утечками данных. Однако в нашей стране в принципе информация о произошедшем киберинциденте чаще всего не распространяется широко, отмечает он.

Инструменты хакеров

Для взлома провайдеров злоумышленники могут эксплуатировать уязвимости в программном обеспечении, использовать вредоносное ПО или атаковать сотрудников таких компаний при помощи социальной инженерии, рассказывает руководитель направления аналитических исследований в Positive Technologies Ирина Зиновкина. Кроме того, достаточно часто провайдеры подвергаются DDoS-атакам.

— Провайдер — это та же самая телекоммуникационная компания, имеющая большое число внешних сервисов, через которые происходит взаимодействие с клиентами, — говорит в беседе с «Известиями» Игорь Душа. — Соответственно, наиболее простые пути проникновения злоумышленников — атака на внешний контур или сами сервисы.

В случае целенаправленного взлома могут использоваться корпоративные ресурсы, с которыми работают сотрудники, либо действия через внутреннего нарушителя, дополняет эксперт.

Клавиатура ноутбука в неоновом освещении
Фото: Global Look Press/IMAGO/Andrew Brookes

Если взлом удался, то киберпреступники получают доступ во внутреннюю инфраструктуру провайдера, а затем начинают проникать в закрытые сегменты.

При этом, как отмечает Александр Самсонов, если хакеры не пытаются напрямую атаковать устройства клиента и активно воздействовать на его трафик, то узнать о взломе инфраструктуры провайдера пользователю практически невозможно. Если же злоумышленники активно воздействуют на устройства и трафик абонента, то по косвенным признакам возможно определить, откуда проводится атака: непосредственно из сети провайдера или же удаленно.

— К таким признакам можно отнести адреса устройств, с которых производилась атака, маршруты трафика и сам характер атаки, — говорит специалист. — Например, модифицировать сетевой трафик пользователя невозможно, не имея над ним контроль.

Механизмы защиты

По словам экспертов, опрошенных «Известиями», добиться защиты в 100% случаев от инцидентов, подобных тому, что описали эксперты Volexity, к сожалению, не смогут ни пользователи, ни сами провайдеры. Тем не менее, можно заметно снизить вероятность взлома, соблюдая требования информационной безопасности. При этом, поскольку такие атаки относятся к разряду типовых, стандартная инфраструктура по обеспечению ИБ будет достаточно эффективной, говорит Игорь Душа.

— В России есть базовые требования по киберзащите, выполнение которых сильно снижает вероятность взлома, — отмечает собеседник «Известий». — Они включают работу периметральных систем защиты, инструменты для контроля проникновений и развития атак, решения для защиты рабочих станций, серверов и многое другое.

Что касается абонентов провайдера, то в случае с ними речь чаще всего идет о системах защиты на одной рабочей станции. В целом, по словам Игоря Души, сегодня их безопасность обеспечивается с помощью антивирусных средств.

Телефон аутентификация
Фото: РИА Новости/Максим Блинов

В свою очередь, Александр Самсонов советует пользователям не вводить аутентификационные данные на подозрительных ресурсах, на которые могут перенаправить злоумышленники.

При этом несмотря на то, что фишинговые страницы хорошо мимикрируют под реальные сервисы, проявив внимательность можно найти несоответствия в их доменных именах. Кроме того, по возможности стоит использовать защищенные соединения для доступа к удаленным ресурсам, в том числе с использованием VPN, следить за обновлением ПО устройств и соблюдать рекомендации по безопасной настройке — например, не отключать брандмауэр и антивирус.

От подмены DNS у провайдера защититься будет сложно, но ничего не мешает защититься от последствий: антивирусы заблокируют вредоносные файлы, IPS-системы ограничат зловредный трафик, а NTA-системы проведут глубокий анализ причин и последствий, а также сообщат об аномалиях в сети, — заключает руководитель отдела сетевых технологий Angara Security Денис Бандалетов.

Читайте также
Прямой эфир