Киберпреступники научились взламывать интернет-провайдеров, предупреждают эксперты. Такой взлом позволяет злоумышленникам централизованно распространять вредоносное программное обеспечение среди клиентов пострадавших компаний. Подробнее о новой схеме хакеров, о том, чем это опасно для пользователей, и как защититься от таких угроз, читайте в материале «Известий».
Новая угроза
О том, что хакеры научились взламывать интернет-провайдеров, сообщили эксперты по кибербезопасности из компании Volexity (США). Они расследовали взлом неназванного провайдера, за которым стояла китайская хакерская группа Storm Bamboo, также известная как Evasive Panda.
По данным специалистов, взлом провайдера позволил киберпреступникам распространять вредоносное программное обеспечение (ПО) среди его клиентов. Поначалу эксперты Volexity предположили, что проблема была связана с брандмауэром организации, подвергшейся атаке, но дальнейшее расследование показало, что источник вредоносного ПО находился на уровне интернет-провайдера.
Хакерам удалось провести так называемое «отравление DNS» — атаку, при которой они манипулируют системой доменных имен и перенаправляют трафик пользователей на вредоносные ресурсы. Когда пользовательские приложения пытались получить обновления, им присылали вместо них вредоносное ПО. Эта схема атаки была применена к нескольким программным продуктам, использующим небезопасные механизмы обновления.
Благодаря вредоносным программам MACMA и MGBot злоумышленники могли делать снимки экрана, перехватывать нажатия клавиш, красть файлы и пароли. Компания Volexity не раскрыла информацию о количестве пострадавших компьютеров и названии интернет-провайдера, но сообщила, что речь идет о «множественных инцидентах», произошедших в середине 2023 года.
Риски взлома
Случай, описанный Volexity, не особо отличается от любых других взломов, ведь, по сути, провайдер — это обычная организация со своей IT-инфраструктурой, считает ведущий эксперт отдела разработки и тестирования компании «Код безопасности» Александр Самсонов.
— С другой стороны, здесь есть своя особенность, поскольку у злоумышленников появляются дополнительные возможности для дальнейших атак, — рассказывает специалист. — Все дело в том, что через оборудование провайдера проходит весь интернет-трафик его клиентов, причем это могут быть как физические лица, так и организации.
По словам Александра Самсонова, проникнув в инфраструктуру провайдера, злоумышленники получают возможность взять под контроль весь поток данных. А если провайдер крупный, то количество пользователей может достигать десятков тысяч или даже миллионов.
Это позволяет получать информацию из незащищенного трафика пользователей (в некоторых случаях — даже из защищенного), подменять запрашиваемые адреса, модифицировать трафик, проводить фишинговые атаки, а также атаковать напрямую слабо защищенные устройства пользователей.
— В случае, описанном Volexity, злоумышленники подменяли адреса серверов обновлений пользовательского ПО на свои и пакеты обновлений на вредоносные, — говорит эксперт. — Легитимный пользовательский софт, уязвимый к такому виду атак, при попытке получения своих обновлений загружал и устанавливал ПО с серверов злоумышленников.
Директор портфеля решений экосистемы в области информационной безопасности «Нота Купол» Игорь Душа дополняет, что в российском информационном поле сообщения, связанные с возможным взломом провайдеров, достаточно редки — к примеру, в отличие от инцидентов, связанных с утечками данных. Однако в нашей стране в принципе информация о произошедшем киберинциденте чаще всего не распространяется широко, отмечает он.
Инструменты хакеров
Для взлома провайдеров злоумышленники могут эксплуатировать уязвимости в программном обеспечении, использовать вредоносное ПО или атаковать сотрудников таких компаний при помощи социальной инженерии, рассказывает руководитель направления аналитических исследований в Positive Technologies Ирина Зиновкина. Кроме того, достаточно часто провайдеры подвергаются DDoS-атакам.
— Провайдер — это та же самая телекоммуникационная компания, имеющая большое число внешних сервисов, через которые происходит взаимодействие с клиентами, — говорит в беседе с «Известиями» Игорь Душа. — Соответственно, наиболее простые пути проникновения злоумышленников — атака на внешний контур или сами сервисы.
В случае целенаправленного взлома могут использоваться корпоративные ресурсы, с которыми работают сотрудники, либо действия через внутреннего нарушителя, дополняет эксперт.
Если взлом удался, то киберпреступники получают доступ во внутреннюю инфраструктуру провайдера, а затем начинают проникать в закрытые сегменты.
При этом, как отмечает Александр Самсонов, если хакеры не пытаются напрямую атаковать устройства клиента и активно воздействовать на его трафик, то узнать о взломе инфраструктуры провайдера пользователю практически невозможно. Если же злоумышленники активно воздействуют на устройства и трафик абонента, то по косвенным признакам возможно определить, откуда проводится атака: непосредственно из сети провайдера или же удаленно.
— К таким признакам можно отнести адреса устройств, с которых производилась атака, маршруты трафика и сам характер атаки, — говорит специалист. — Например, модифицировать сетевой трафик пользователя невозможно, не имея над ним контроль.
Механизмы защиты
По словам экспертов, опрошенных «Известиями», добиться защиты в 100% случаев от инцидентов, подобных тому, что описали эксперты Volexity, к сожалению, не смогут ни пользователи, ни сами провайдеры. Тем не менее, можно заметно снизить вероятность взлома, соблюдая требования информационной безопасности. При этом, поскольку такие атаки относятся к разряду типовых, стандартная инфраструктура по обеспечению ИБ будет достаточно эффективной, говорит Игорь Душа.
— В России есть базовые требования по киберзащите, выполнение которых сильно снижает вероятность взлома, — отмечает собеседник «Известий». — Они включают работу периметральных систем защиты, инструменты для контроля проникновений и развития атак, решения для защиты рабочих станций, серверов и многое другое.
Что касается абонентов провайдера, то в случае с ними речь чаще всего идет о системах защиты на одной рабочей станции. В целом, по словам Игоря Души, сегодня их безопасность обеспечивается с помощью антивирусных средств.
В свою очередь, Александр Самсонов советует пользователям не вводить аутентификационные данные на подозрительных ресурсах, на которые могут перенаправить злоумышленники.
При этом несмотря на то, что фишинговые страницы хорошо мимикрируют под реальные сервисы, проявив внимательность можно найти несоответствия в их доменных именах. Кроме того, по возможности стоит использовать защищенные соединения для доступа к удаленным ресурсам, в том числе с использованием VPN, следить за обновлением ПО устройств и соблюдать рекомендации по безопасной настройке — например, не отключать брандмауэр и антивирус.
— От подмены DNS у провайдера защититься будет сложно, но ничего не мешает защититься от последствий: антивирусы заблокируют вредоносные файлы, IPS-системы ограничат зловредный трафик, а NTA-системы проведут глубокий анализ причин и последствий, а также сообщат об аномалиях в сети, — заключает руководитель отдела сетевых технологий Angara Security Денис Бандалетов.