Кибервойна против России вышла на принципиально новый уровень / Экономика

→ Оригинал (без защиты от корпорастов) | Изображения из статьи: [1] [2]

Целевые атаки поражают изощренностью, а массовые - бьют рекорды по мощности и продолжительности

Глава Минцифры Максут Шадаев оказался во время президентских выборов в этом году буквально на передовой той кибервойны, которая ведется злоумышленниками против России. Фото РИА Новости

Почти сразу после начала специальной военной операции в интернет-пространстве развернулась против России полноценная кибервойна, которая уже прошла несколько этапов. На первом этапе страну захлестнула волна массовых DDoS-атак, призванных напугать и дезориентировать. Второй этап - взломы, целью которых были утечки конфиденциальной информации. И теперь можно говорить о третьем этапе, случайно или нет, но совпавшем со вступлением Украины в киберцентр НАТО. Сейчас особо заметен драматический рост количества именно целевых крайне сложных и дорогих кибератак, направленных на ключевые узлы экономики страны и организованных уже явно не частными группировками. Об этом рассказали на конференции в Москве представители рынка информационной безопасности (ИБ).

Российские организации - как коммерческие, так и государственные - сталкивались с киберугрозами, конечно, и раньше. Но с 2022 года страна находится под особым киберогнем. Фактически можно говорить о полноценной кибервойне против России, которая уже прошла несколько этапов, следует из обнародованного в Москве обзора киберугроз, подготовленного экспертами группы компаний «Солар».

«Вспомните первые месяцы после начала СВО. Тогда на Россию, на российские ресурсы шли огромные волны DDoS-атак - это были массовые атаки, которые покрывали практически всю поверхность. И основной целью атакующих злоумышленников было создание визуального эффекта», - сообщил на конференции гендиректор «Солар» Игорь Ляпунов.

Как пояснил «НГ» эксперт по кибербезопасности в Лаборатории Касперского Дмитрий Бунин, DDoS-атака (Distributed Denial of Service, распределенная атака типа «отказ в обслуживании») - это один из самых распространенных видов кибератак. «Ее цель - довести информационную систему организации-жертвы, например, веб-сайт или базу данных, до такого состояния, при котором пользователи не могут получить к ней доступ. Финансовые и репутационные потери организации, которая подверглась атаке такого типа, могут быть очень велики», - пояснил эксперт.

Следующий этап кибердавления на Россию - эпоха утечек. «За конец 2022-го и 2023 год в Сеть утекло более 400 млн записей о российских гражданах, о российских интернет-пользователях, - сообщил на конференции Ляпунов. - И конечно, нам казалось, что это были такие волны атак, с которыми мы достаточно быстро научились справляться». Но одновременно с этим в 2023 году в ландшафте киберугроз начало кое-что существенно меняться: стало увеличиваться количество целевых кибератак.

И этому, по мнению Ляпунова, есть свое объяснение. Массовые публичные атаки производили, конечно, сильный визуальный эффект: допустим, сайт какой-либо популярной организации не открывался несколько часов - чем не информационный повод. Но такие киберудары, как можно судить, не давали атакующей стороне какого-то особого стратегического преимущества. Поэтому злоумышленники перешли еще и к другому типу атак, которые направлены не просто на взлом цифровой инфраструктуры, утечку сведений, замедление работы сервисов и ресурсов, а еще и в принципе на уничтожение атакуемой инфраструктуры - на стирание или шифрование критически важных данных.

Целевые атаки - это тоже, конечно, не нововведение последних лет, они случались и раньше. Но теперь такие атаки происходят в разы чаще, они стали изощреннее и высокотехнологичнее.

Российские ресурсы оказались под ударом

теперь уже не только частных хакерских

группировок.  Фото Reuters «Одновременно это совпало со вступлением Украины в киберцентр НАТО», - обратил внимание Ляпунов. Упомянутое событие произошло в мае 2023 года.

В итоге, по данным авторов обзора, за 2023 год количество целевых атак на российские объекты увеличилось сразу в 2,6 раза. «И то, что мы видим на защищаемых ресурсах, - это принципиально другая сложность и механика кибератак. И конечно, это очень дорогие атаки, - пояснил Ляпунов. - Мы понимаем их характер, понимаем стоимость - она запредельная». Как сообщается в обзоре, средняя стоимость одной такой сложной целевой атаки составляет оценочно 300 тыс. долл.

«Кроме того, в одной серьезной целевой кибератаке может быть задействовано и 50, и 60 человек, которые разрабатывают атакующий софт, проводят взлом, аналитику, закрепляются в инфраструктуре и потом ее уничтожают, - добавил Ляпунов. - То есть это уже ни разу не какие-то частные, коммерческие группировки, которые преследуют свои частные интересы. А это серьезное воздействие на страну». Эксперты перечислили, на что нацеливаются атакующие: это государственные цифровые сервисы, операторы центров обработки данных, телекоммуникационная инфраструктура, интернет-провайдеры, объекты критической информационной инфраструктуры.

И 2024 год не дает передышки. Наоборот, как показал первый квартал года, крупные ИБ-инциденты происходят «каждую неделю». IT-эксперты сделали важное уточнение. Говоря про рост числа изощренных целевых атак, не стоит забывать о том, что первые две упомянутые угрозы - «обычные» массовые DDoS-атаки и взломы, приводящие к утечкам данных, - никуда не делись: они тоже снова и снова происходят, более того - бьют рекорды. И этому всему надо и дальше противостоять.

В первом квартале 2024-го зафиксирована самая мощная DDoS-атака - 2,7 терабита в секунду (Тбит/с), сообщают в «Солар». Для сравнения: основная часть коммерческих компаний использует каналы шириной до 100 Мбит/с (1 терабит равен 1 млн мегабит). Это все равно что дать залп из царь-пушки по воробью.

«До начала СВО мы считали атаки на уровне 3 Тбит/с черным лебедем, экзистенциальным риском, с которым никто бы не справился, - пояснил Ляпунов. - Но прошло немногим более двух лет, и эти огромнейшие DDoS-атаки обрушились на наши ресурсы. И мы такого рода атакам смогли противостоять». Как и изощренным целевым атакам.

Судя по уточнениям Ляпунова, особым периодом с точки зрения кибератак стали выборы президента. Но к этому российские профильные ведомства и специалисты отрасли заблаговременно подготовились. Как сообщал в марте глава Минцифры Максут Шадаев, в период выборов ожидалось «большое количество кибератак, серьезного давления, киберпрессинга». «С нашей стороны мы все меры по обеспечению безопасности предприняли», - уверил тогда министр. После выборов в Роскомнадзоре отчитались, что во время голосования было отражено около 500 DDoS-атак. Они велись из Германии, Англии, США, Финляндии, Литвы.

Кибератаки по объектам в России бьют рекорды с точки зрения не только мощности, но и продолжительности. Судя по обзору «Солар», за последний год в РФ была зафиксирована самая долгая DDoS-атака - она длилась 278 дней. Под ударом оказался региональный интернет-оператор. 

Кроме того, опрошенные «НГ» эксперты рассказали о продолжающихся утечках данных. Казалось бы, все, что могло утечь, уже давно утекло. Однако это не совсем так.

«Данные теряют свою актуальность. Нельзя сказать, что, например, украденные в 2022 году базы релевантны для мошенников до сих пор. Для мошенников представляют интерес новые базы. Кроме того, нельзя сказать, что утекло абсолютно все. Набор данных может меняться в зависимости от организации даже внутри одной отрасли», - уточнила руководитель исследовательской группы Positive Technologies Ирина Зиновкина. «Новые утечки персональных данных позволяют дополнять существующую базу, добавляя туда новые сведения о конкретном человеке, например, новые телефоны, адреса электронной почты, дополнительные адреса работы и проживания, автомобили и другие сведения, которых не было в предыдущих утечках», - пояснил ведущий инженер компании CorpSoft24 Михаил Сергеев. «Действительно, за прошедшие несколько лет было множество утечек компаний в РФ. Тем не менее, в 2024 году видим 21% уникальных почтовых адресов, ранее не упомянутых в утечках прошлых двух лет», - привел пример руководитель группы OSINT центра противодействия киберугрозам SOC CyberART Innostage Альберт Антонов. «В 2024 году практически каждая утечка добавляет новую информацию и расширяет знания злоумышленников о конкретном человеке или организации, что увеличивает риски реализации атак, в том числе целевых, - пояснил при этом руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT Руслан Амиров. - Например, упрощается фишинг, и мошенники могут получить конфиденциальные данные посредством убедительного текста электронного письма с вредоносным вложением или ссылкой на фиктивный ресурс». Как рассказал «НГ» аналитик сервиса Kaspersky Digital Footprint Intelligence Игорь Фиц, в 2023 году проблема утечки больше всего затронула компании, которые в силу своей специфики хранят большие объемы пользовательских данных: это интернет-сервисы, организации в области карьеры и образования, ретейла. Наиболее же значительный рост публичных инцидентов, связанных с утечками пользовательских данных в 2023 году, по словам эксперта, произошел в сфере финансов и IT. При этом большинство утечек фиксировалось в сегменте малого и среднего бизнеса, но более чем в полтора раза вырос объем данных, полученных в результате инцидентов в крупных компаниях, добавил Фиц. Руководитель сервиса мониторинга внешних цифровых угроз Solar AURA Александр Вураско предупредил, что не стоит в ближайшее время ожидать какого-то существенного снижения числа утечек. «Персональные и иные конфиденциальные данные хранятся в десятках тысяч организаций, поэтому поле для деятельности злоумышленников весьма широкое», - отметил он. Тем более что помимо персональной информации, да и в целом баз данных в сеть иногда утекают и массивы внутренней документации той или иной организации.