Хакеры ИГИЛ зачастили в российский интернет
Специалисты по информбезопасности компании Group IB отмечают активность хакеров запрещенной в России террористической организации ИГИЛ в российском сегменте интернета. С лета 2014 года до середины 2015 года они атаковали сайты более чем 600 российских компаний и государственных организаций среднего и мелкого уровня, блокируя их и размещая там пропагандистские материалы. По мнению экспертов, таким образом хакеры тренируются, чтобы устроить атаки на более защищенные сайты крупных компаний и госструктур.
С лета 2014 года Group IB уже зафиксировано более чем 600 атак хакеров-исламистов на сайты компаний и организаций в России. Они действовали по уже стандартному сценарию: после взлома закрывали доступ ко всем разделам сайта, а на главной странице размещали баннер со своей пропагандой и оскорблениями мировых политиков, выступавших против ИГИЛ. Иногда вывешивались фото политиков либо видеозаписи, сделанные во время акций террористов. При атаках сайтов исламисты использовали самые разные методы — от фишинга и DDoS-атак до запуска троянских программ или поиска уязвимостей вручную.
— Обычные хакеры зачастую взламывают ресурсы ради кражи информации или денег — так они монетизируют свой труд, — рассказал «Известиям» глава Group IB Илья Сачков. — Радикальным исламистам ничего этого не нужно — их интересует паника, хаос и сбой деятельности организаций.
Чаще всего в атаках на российские ресурсы были замечены кибер-группировки Team System Dz, FallaGa Team и Global Islamic Caliphate.
Изучив данные кэша поисковиков Google и «Яндекс», эксперты выяснили, что они атаковали сайты в России в хаотичном порядке. Так, их жертвой стал сайт девелопера элитного жилья «Анапа-Лазурное» и крымского ЧОПа «Русичъ-Юг». Под атаку попали сайты администрации Борисоглебского района Ярославской области, НПП «Гидрокомплект», который строит подземные коммуникации, центра сердечной медицины «Черная речка».
Начальник информационно-компьютерного отдела администрации Борисоглебского района Сергей Бородулин рассказал «Известиям», что сайт пытались взломать несколько раз, и трижды хакерам это удалось.
— Было несколько взломов, когда у нас на сайте появлялась эта плашка, но каждый раз это было днем, поэтому нам понадобилось совсем немного времени, чтобы всё убрать, — рассказал Бородулин. — Хакеры в первый раз изменили файл index в коде страницы, и нам понадобилось минут пять, чтобы вернуть сайт к работе. Во второй раз они этот файл удалили, и мы потратили час на то, чтобы восстановить сайт из резервной копии.
По его словам, игиловцы использовали DDoS-атаку для поражения ресурса. При этом, по его словам, на работе сайта и администрации атаки никак не сказались.
— Мы не подавали заявления в полицию, потому что трудно отследить конкретное место, откуда шла атака, а те, кто атаковал, явно находятся за пределами юрисдикции России, — пояснил Бородулин.
В «Анапе-Лазурном» рассказали «Известиям», что их сайт атаковали летом этого года, а послание ИГИЛ висело несколько часов перед тем, как его сняли.
— Мы увидели этот баннер и сразу же связались с айтишником, который у нас на аутсорсе обслуживает сайт, — сообщили «Известиям» в компании. — Прошло еще какое-то время, прежде чем баннер был снят.
Представитель «Анапы-Лазурного» сообщила, что они пока не подавали заявления в полицию.
Представитель ЧОП «Русичъ-Юг», чей сайт также подвергся атаке, рассказал, что в их случае хакеры могли просто перепутать объект атаки.
— У нас похожее название с военизированным подразделением «Русич», поэтому могли просто нас перепутать, — сообщил он «Известиям».
Баннеры ИГИЛ также появлялись на сайтах Калининградской художественной галереи, международного агентства регистрации рекордов «Интеррекорд», коллегии адвокатов «Альянс» из Хабаровска, компании «Волс-инвест», занимающейся прокладкой оптоволоконных линий связи.
— На нашем сайте во время новогодних праздников появился баннер с символикой некой палестинской организации, — рассказала «Известиям» директор Калининградской художественной галереи Галина Заболотская. — Специалисты нашей техподдержки через два дня после обнаружения убрали баннер, а 8 января мы подали заявление в полицию. Однако хакеров пока так и не нашли.
По ее словам, поначалу сотрудники галереи посчитали, что это чья-то злая шутка или происки недоброжелателей. После этого случая техподдержка галереи усовершенствовала защиту и структуру своего сайта.
На счету одного из членов Тeam System Dz — L’APoca-Dz — более 30 хакерских атак на различные российские ресурсы. Это Североуральский краеведческий музей, городской портал «Мытищи» и МБОУ лицей № 5 Уфы.
Эксперты объясняют хаотичный выбор хакеров ИГИЛ тем, что они пытаются взламывать различные платформы и системы защиты, чтобы набраться опыта и понять специфику российского сегмента.
— Они выбирают, что можно сделать на основе тех знаний, которые они уже получили, поэтому их атаки пока хаотичны: они ломают те сайты, которые меньше защищены, и одновременно стараются вызвать панику, — пояснил «Известиям» Сачков.
Эксперты опасаются, что, набравшись опыта и знаний, хакеры попытаются атаковать более защищенные объекты и системы автоматического управления объектов инфраструктуры — электростанций, водоканалов.
Косвенными помощниками хакеров из ИГИЛ могут стать их российские коллеги.
— На русскоязычных хакерских форумах всё чаще мелькают IP-адреса посетителей из стран, которые контролирует ИГИЛ, — рассказал «Известиям» Сачков. — Террористы читают на форумах, что умеют делать русские хакеры, и пытаются понять, как их инструменты можно использовать для своих атак. Например, русские хакеры получали доступ к стратегическим объектам, но не знали, как на этом заработать. Зато хакеры ИГИЛ знают, что делать с этой информацией, к тому же они готовы ее покупать у русских коллег.
Директор учебного центра по компьютерной безопасности «Информзащита» Михаил Савельев считает, что современные войны ведутся во всех сферах.
— Нельзя исключать, что, понеся значительный ущерб от российских бомбардировок, члены ИГИЛ или те люди, кто за ними стоит, захотят отомстить, в том числе и кибератаками на сайты российских госструктур, — пояснил «Известиям» Савельев.
По его словам, хакеры проводят атаки трех типов: чтобы привлечь внимание к ИГИЛ, чтобы нарушить технологические процессы, которые могут привести, например, к остановкам производства или технологическим авариям, а также ради кражи секретной информации или гостайны.
— К сожалению, на 100% защититься от этих атак невозможно, поскольку всегда остается риск халатности или необнаруженных уязвимостей в программном обеспечении этих сайтов и систем, — говорит Михаил Савельев.
Гендиректор компании Solar Security, специализирующейся на компьютерной безопасности, Игорь Ляпунов не видит сейчас особой опасности от хакеров ИГИЛ.
— Дело в том, что хакерское сообщество мотивировано в большинстве случаев далеко не на политические или религиозные призывы. Кроме того, данное сообщество сейчас достаточно интернационально или даже космополитично и старается дистанцироваться и от «работодателей», и от их «целей», — считает Игорь Ляпунов.
В Управлении «К» МВД РФ и Роскомнадзоре «Известиям» заявили, что борьбой с хакерами, которые взламывают сайты и компьютерные сети государственных органов в РФ, занимаются специалисты центра информационной безопасности Федеральной службы безопасности РФ и специального подразделения Федеральной службы охраны. Получить оперативный комментарий представителей спецслужб не удалось.
Как ранее писали «Известия», государственные структуры, в том числе и гражданские, на всех уровнях противодействуют присутствию ИГИЛ в российском сегменте Сети.
В результате мониторинга интернета Роскомнадзором выявлено 899 URL (адрес ресурса в сети интернет), содержащих призывы к участию в вооруженных формированиях ИГИЛ. На 863 адресах после направления уведомления информация была удалена, по 36 — ограничен доступ. По словам представителя ведомства, экстремистской информации, связанной с ИГИЛ, в русскоязычном интернете становится меньше.