Сводки с киберфронта: как большой украинский ботнет атаковал Россию

Международный прецедент

Начало СВО повлекло за собой ряд тяжелых последствий для страны: экономическая блокада, рекордное количество санкций, боевые действия и потери в них. Но не стоит отодвигать на второй план и развязанную в отношении России кибервойну.

«В 2022 году мы увидели, как чиновник высокого государственного уровня – руководитель министерства цифрового развития Украины – начал в открытую призывать граждан атаковать информационные ресурсы России. Ранее в международной практике еще никто не призывал к кибератакам на территории другого государства, подобное произошло впервые», – констатирует директор экспертного центра безопасности Positive Technologies Алексей Новиков.

Как пояснил эксперт, после этого призыва начали массово создаваться инструментарии, которые мог использовать любой человек, имеющий компьютер или телефон. И если поначалу требовалась хоть какая-то техническая подготовка и выкладывались подробные инструкции, то уже к концу 2022 года инструментарий дошел до такого уровня, что можно было просто скачать файл, запустить и забыть про него – все делалось за пользователя централизованно: ставились цели и давались доступы к прокси-серверам для DDoS-атак. По сути, из легальных граждан начали создавать большой ботнет, который централизованно управлялся и использовался для атак на Российскую Федерацию.

Откуда у «эпидемии сливов» ноги растут

Пик по количеству киберинцидентов в России пришелся на апрель 2022 года. Количество атак возросло, увеличилось и число успешных взломов. По словам Алексея Новикова, за большинством нападений стояли политически мотивированные хактивисты – встречались как хакеры-одиночки, так и спонтанно организованные группы, которые преимущественно состояли из разрозненных энтузиастов.

«Чаще всего в прошлом году целями кибератак становились государственные учреждения и СМИ. Таким способом преступники пытались вызвать общественный резонанс и панические настроения среди населения, – комментирует эксперт. – По итогам проведенных нами расследований отраслевые интересы группировок, атаковавших российские организации в течение 2022 года, распределились между государственными предприятиями (30% случаев), IT-компаниями (16%), финансовым, энергетическим и промышленным сектором (по 10% случаев на каждый)».

Собеседник «Татар-информа» отмечает, что чаще всего целями атак становилось хищение и слив данных в интернет, чтобы нанести репутационный ущерб жертвам. Большая часть злоумышленников никакой выгоды не преследовала, взломы они совершали только ради хайпа. Прошлый год действительно запомнился многим «эпидемией сливов»: утечки произошли из популярных сервисов и крупных компаний. Среди наиболее известных – Яндекс.Еда, Delivery Club, «Гемотест» , «ВкусВилл», Whoosh, СДЭК и DNS.

«Айфон» может превратиться в «кирпич»?

Помимо атак хактивистов на российскую инфраструктуру есть и другой способ ведения кибервойны, лежащий во вполне легальной плоскости. Речь о прекращении поддержки устройств на территории РФ со стороны иностранных производителей. К слову, в прошедшие новогодние каникулы снова поднялась волна слухов о том, что уже в январе «айфоны» российских пользователей превратятся в «кирпичи».

«По желанию производителя это, безусловно, реализуемо. С “андроидом” все то же самое. Тенденция цифровизации такова, что любое более-менее умное устройство так или иначе связывается с облаком вендора производителя, получает оттуда обновления, передает телеметрию и так далее. И в какой-то момент времени пользователю просто может прийти сообщение о прекращении работы. Более того, с некоторыми иностранными вендорами в начале года уже были прецеденты, когда они отключали средства защиты информации у тех компаний, на которые были наложены санкции», – рассказывает Алексей Новиков.

На извечный вопрос «что делать?» эксперт ожидаемо отвечает: «Создавать собственные технологии».

«Многие безопасники еще три года назад не могли поверить, что, напрмиер, Fortinet уйдет с российского рынка и перестанет обслуживать устройства или вообще удаленно их отключит. Тренд на импортозамещение пошел с 2014 года, но, к сожалению, большинство к нему не прислушались, не веря в возможные катастрофические сценарии, которые в принципе обсуждались в профессиональном сообществе, – сетует директор экспертного центра безопасности Positive Technologies. – Но как минимум в части ИБ есть требование государства к 1 января 2025 года полностью перейти на отечественные решения. По нашей оценке, за два-три года сделать это вполне реально».

Цели на 2023 год: аварии и остановка предприятий вместо финансовой наживы

По мнению аналитиков, атаки киберпреступников в ушедшем году изменили сложившиеся стереотипы о том, что их интересует только финансовая нажива. Под ударом оказались даже те компании, которые исторически считали себя неинтересными для злоумышленников.

В 2023 году стоит ожидать развития этого тренда: киберпреступников будет интересовать не получение крупных сумм выкупа, а перебои деятельности предприятий, остановка важнейших технологических процессов и аварии. Также ожидается появление новых кампаний кибершпионажа в отношении промышленных предприятий и ТЭК.

Может вырасти и число атак на государственные структуры. За ними будут стоять как организованные высококвалифицированные кибергруппировки, нацеленные на кражу ценных данных, получение финансовой выгоды, нарушение работы государственных систем, так и хактивисты.

Хактивизм тоже может привести к негативным последствиям, от дефейса сайтов до разрушения инфраструктуры. Цифровизация большинства услуг для населения без должной защиты от кибератак ставит под угрозу персональные данные граждан и может привести к перебоям в предоставлении услуг, как это уже случалось в 2022 году.

«В России вопросом отражения киберугроз занимается колоссальное количество коммерческих компаний, а также ФСТЭК, ФСБ, государственная система обнаружения и предупреждения компьютерных атак. Есть Центробанк, который занимается вопросами информационной безопасности в финансовой сфере, Минэнерго тоже пытается регулировать вопрос ИБ в своей сфере. Делается большое количество шагов для того, чтобы все эти атаки были неуспешными, – успокаивает Алексей Новиков. – А фиксируемая нехватка кадров в ИБ сглаживается консолидацией рынка, произошедшей на фоне СВО: компании начали помогать друг другу компетенциями, технологиями и специалистами».