Глава Минцифры Максут Шадаев оказался во время президентских выборов в этом году буквально на передовой той кибервойны, которая ведется злоумышленниками против России. Фото РИА Новости
Почти сразу после начала специальной военной операции в интернет-пространстве развернулась против России полноценная кибервойна, которая уже прошла несколько этапов. На первом этапе страну захлестнула волна массовых DDoS-атак, призванных напугать и дезориентировать. Второй этап – взломы, целью которых были утечки конфиденциальной информации. И теперь можно говорить о третьем этапе, случайно или нет, но совпавшем со вступлением Украины в киберцентр НАТО. Сейчас особо заметен драматический рост количества именно целевых крайне сложных и дорогих кибератак, направленных на ключевые узлы экономики страны и организованных уже явно не частными группировками. Об этом рассказали на конференции в Москве представители рынка информационной безопасности (ИБ).
Российские организации – как коммерческие, так и государственные – сталкивались с киберугрозами, конечно, и раньше. Но с 2022 года страна находится под особым киберогнем. Фактически можно говорить о полноценной кибервойне против России, которая уже прошла несколько этапов, следует из обнародованного в Москве обзора киберугроз, подготовленного экспертами группы компаний «Солар».
«Вспомните первые месяцы после начала СВО. Тогда на Россию, на российские ресурсы шли огромные волны DDoS-атак – это были массовые атаки, которые покрывали практически всю поверхность. И основной целью атакующих злоумышленников было создание визуального эффекта», – сообщил на конференции гендиректор «Солар» Игорь Ляпунов.
Как пояснил «НГ» эксперт по кибербезопасности в Лаборатории Касперского Дмитрий Бунин, DDoS-атака (Distributed Denial of Service, распределенная атака типа «отказ в обслуживании») – это один из самых распространенных видов кибератак. «Ее цель – довести информационную систему организации-жертвы, например, веб-сайт или базу данных, до такого состояния, при котором пользователи не могут получить к ней доступ. Финансовые и репутационные потери организации, которая подверглась атаке такого типа, могут быть очень велики», – пояснил эксперт.
Следующий этап кибердавления на Россию – эпоха утечек. «За конец 2022-го и 2023 год в Сеть утекло более 400 млн записей о российских гражданах, о российских интернет-пользователях, – сообщил на конференции Ляпунов. – И конечно, нам казалось, что это были такие волны атак, с которыми мы достаточно быстро научились справляться». Но одновременно с этим в 2023 году в ландшафте киберугроз начало кое-что существенно меняться: стало увеличиваться количество целевых кибератак.
И этому, по мнению Ляпунова, есть свое объяснение. Массовые публичные атаки производили, конечно, сильный визуальный эффект: допустим, сайт какой-либо популярной организации не открывался несколько часов – чем не информационный повод. Но такие киберудары, как можно судить, не давали атакующей стороне какого-то особого стратегического преимущества. Поэтому злоумышленники перешли еще и к другому типу атак, которые направлены не просто на взлом цифровой инфраструктуры, утечку сведений, замедление работы сервисов и ресурсов, а еще и в принципе на уничтожение атакуемой инфраструктуры – на стирание или шифрование критически важных данных.
Целевые атаки – это тоже, конечно, не нововведение последних лет, они случались и раньше. Но теперь такие атаки происходят в разы чаще, они стали изощреннее и высокотехнологичнее.
Российские ресурсы оказались под ударом теперь уже не только частных хакерских группировок. Фото Reuters |
В итоге, по данным авторов обзора, за 2023 год количество целевых атак на российские объекты увеличилось сразу в 2,6 раза. «И то, что мы видим на защищаемых ресурсах, – это принципиально другая сложность и механика кибератак. И конечно, это очень дорогие атаки, – пояснил Ляпунов. – Мы понимаем их характер, понимаем стоимость – она запредельная». Как сообщается в обзоре, средняя стоимость одной такой сложной целевой атаки составляет оценочно 300 тыс. долл.
«Кроме того, в одной серьезной целевой кибератаке может быть задействовано и 50, и 60 человек, которые разрабатывают атакующий софт, проводят взлом, аналитику, закрепляются в инфраструктуре и потом ее уничтожают, – добавил Ляпунов. – То есть это уже ни разу не какие-то частные, коммерческие группировки, которые преследуют свои частные интересы. А это серьезное воздействие на страну». Эксперты перечислили, на что нацеливаются атакующие: это государственные цифровые сервисы, операторы центров обработки данных, телекоммуникационная инфраструктура, интернет-провайдеры, объекты критической информационной инфраструктуры.
И 2024 год не дает передышки. Наоборот, как показал первый квартал года, крупные ИБ-инциденты происходят «каждую неделю». IT-эксперты сделали важное уточнение. Говоря про рост числа изощренных целевых атак, не стоит забывать о том, что первые две упомянутые угрозы – «обычные» массовые DDoS-атаки и взломы, приводящие к утечкам данных, – никуда не делись: они тоже снова и снова происходят, более того – бьют рекорды. И этому всему надо и дальше противостоять.
В первом квартале 2024-го зафиксирована самая мощная DDoS-атака – 2,7 терабита в секунду (Тбит/с), сообщают в «Солар». Для сравнения: основная часть коммерческих компаний использует каналы шириной до 100 Мбит/с (1 терабит равен 1 млн мегабит). Это все равно что дать залп из царь-пушки по воробью.
«До начала СВО мы считали атаки на уровне 3 Тбит/с черным лебедем, экзистенциальным риском, с которым никто бы не справился, – пояснил Ляпунов. – Но прошло немногим более двух лет, и эти огромнейшие DDoS-атаки обрушились на наши ресурсы. И мы такого рода атакам смогли противостоять». Как и изощренным целевым атакам.
Судя по уточнениям Ляпунова, особым периодом с точки зрения кибератак стали выборы президента. Но к этому российские профильные ведомства и специалисты отрасли заблаговременно подготовились. Как сообщал в марте глава Минцифры Максут Шадаев, в период выборов ожидалось «большое количество кибератак, серьезного давления, киберпрессинга». «С нашей стороны мы все меры по обеспечению безопасности предприняли», – уверил тогда министр. После выборов в Роскомнадзоре отчитались, что во время голосования было отражено около 500 DDoS-атак. Они велись из Германии, Англии, США, Финляндии, Литвы.
Кибератаки по объектам в России бьют рекорды с точки зрения не только мощности, но и продолжительности. Судя по обзору «Солар», за последний год в РФ была зафиксирована самая долгая DDoS-атака – она длилась 278 дней. Под ударом оказался региональный интернет-оператор.
Кроме того, опрошенные «НГ» эксперты рассказали о продолжающихся утечках данных. Казалось бы, все, что могло утечь, уже давно утекло. Однако это не совсем так.
«Данные теряют свою актуальность. Нельзя сказать, что, например, украденные в 2022 году базы релевантны для мошенников до сих пор. Для мошенников представляют интерес новые базы. Кроме того, нельзя сказать, что утекло абсолютно все. Набор данных может меняться в зависимости от организации даже внутри одной отрасли», – уточнила руководитель исследовательской группы Positive Technologies Ирина Зиновкина.«Новые утечки персональных данных позволяют дополнять существующую базу, добавляя туда новые сведения о конкретном человеке, например, новые телефоны, адреса электронной почты, дополнительные адреса работы и проживания, автомобили и другие сведения, которых не было в предыдущих утечках», – пояснил ведущий инженер компании CorpSoft24 Михаил Сергеев.
«Действительно, за прошедшие несколько лет было множество утечек компаний в РФ. Тем не менее, в 2024 году видим 21% уникальных почтовых адресов, ранее не упомянутых в утечках прошлых двух лет», – привел пример руководитель группы OSINT центра противодействия киберугрозам SOC CyberART Innostage Альберт Антонов.
«В 2024 году практически каждая утечка добавляет новую информацию и расширяет знания злоумышленников о конкретном человеке или организации, что увеличивает риски реализации атак, в том числе целевых, – пояснил при этом руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT Руслан Амиров. – Например, упрощается фишинг, и мошенники могут получить конфиденциальные данные посредством убедительного текста электронного письма с вредоносным вложением или ссылкой на фиктивный ресурс».
Как рассказал «НГ» аналитик сервиса Kaspersky Digital Footprint Intelligence Игорь Фиц, в 2023 году проблема утечки больше всего затронула компании, которые в силу своей специфики хранят большие объемы пользовательских данных: это интернет-сервисы, организации в области карьеры и образования, ретейла. Наиболее же значительный рост публичных инцидентов, связанных с утечками пользовательских данных в 2023 году, по словам эксперта, произошел в сфере финансов и IT. При этом большинство утечек фиксировалось в сегменте малого и среднего бизнеса, но более чем в полтора раза вырос объем данных, полученных в результате инцидентов в крупных компаниях, добавил Фиц.
Руководитель сервиса мониторинга внешних цифровых угроз Solar AURA Александр Вураско предупредил, что не стоит в ближайшее время ожидать какого-то существенного снижения числа утечек. «Персональные и иные конфиденциальные данные хранятся в десятках тысяч организаций, поэтому поле для деятельности злоумышленников весьма широкое», – отметил он. Тем более что помимо персональной информации, да и в целом баз данных в сеть иногда утекают и массивы внутренней документации той или иной организации.