24.04.2024

Целевые атаки поражают изощренностью, а массовые – бьют рекорды по мощности и продолжительности
Анастасия Башкатова
Заместитель заведующего отделом экономики "Независимой газеты"

Глава Минцифры Максут Шадаев оказался во время президентских выборов в этом году буквально на передовой той кибервойны, которая ведется злоумышленниками против России. Фото РИА Новости

Почти сразу после начала специальной военной операции в интернет-пространстве развернулась против России полноценная кибервойна, которая уже прошла несколько этапов. На первом этапе страну захлестнула волна массовых DDoS-атак, призванных напугать и дезориентировать. Второй этап – взломы, целью которых были утечки конфиденциальной информации. И теперь можно говорить о третьем этапе, случайно или нет, но совпавшем со вступлением Украины в киберцентр НАТО. Сейчас особо заметен драматический рост количества именно целевых крайне сложных и дорогих кибератак, направленных на ключевые узлы экономики страны и организованных уже явно не частными группировками. Об этом рассказали на конференции в Москве представители рынка информационной безопасности (ИБ).

Российские организации – как коммерческие, так и государственные – сталкивались с киберугрозами, конечно, и раньше. Но с 2022 года страна находится под особым киберогнем. Фактически можно говорить о полноценной кибервойне против России, которая уже прошла несколько этапов, следует из обнародованного в Москве обзора киберугроз, подготовленного экспертами группы компаний "Солар".

"Вспомните первые месяцы после начала СВО. Тогда на Россию, на российские ресурсы шли огромные волны DDoS-атак – это были массовые атаки, которые покрывали практически всю поверхность. И основной целью атакующих злоумышленников было создание визуального эффекта", – сообщил на конференции гендиректор "Солар" Игорь Ляпунов.

Как пояснил "НГ" эксперт по кибербезопасности в Лаборатории Касперского Дмитрий Бунин, DDoS-атака (Distributed Denial of Service, распределенная атака типа "отказ в обслуживании") – это один из самых распространенных видов кибератак. "Ее цель – довести информационную систему организации-жертвы, например, веб-сайт или базу данных, до такого состояния, при котором пользователи не могут получить к ней доступ. Финансовые и репутационные потери организации, которая подверглась атаке такого типа, могут быть очень велики", – пояснил эксперт.

Следующий этап кибердавления на Россию – эпоха утечек. "За конец 2022-го и 2023 год в Сеть утекло более 400 млн записей о российских гражданах, о российских интернет-пользователях, – сообщил на конференции Ляпунов. – И конечно, нам казалось, что это были такие волны атак, с которыми мы достаточно быстро научились справляться". Но одновременно с этим в 2023 году в ландшафте киберугроз начало кое-что существенно меняться: стало увеличиваться количество целевых кибератак.

И этому, по мнению Ляпунова, есть свое объяснение. Массовые публичные атаки производили, конечно, сильный визуальный эффект: допустим, сайт какой-либо популярной организации не открывался несколько часов – чем не информационный повод. Но такие киберудары, как можно судить, не давали атакующей стороне какого-то особого стратегического преимущества. Поэтому злоумышленники перешли еще и к другому типу атак, которые направлены не просто на взлом цифровой инфраструктуры, утечку сведений, замедление работы сервисов и ресурсов, а еще и в принципе на уничтожение атакуемой инфраструктуры – на стирание или шифрование критически важных данных.

Целевые атаки – это тоже, конечно, не нововведение последних лет, они случались и раньше. Но теперь такие атаки происходят в разы чаще, они стали изощреннее и высокотехнологичнее.

Российские ресурсы оказались под ударом
теперь уже не только частных хакерских
группировок.
"Одновременно это совпало со вступлением Украины в киберцентр НАТО", – обратил внимание Ляпунов. Упомянутое событие произошло в мае 2023 года.

В итоге, по данным авторов обзора, за 2023 год количество целевых атак на российские объекты увеличилось сразу в 2,6 раза. "И то, что мы видим на защищаемых ресурсах, – это принципиально другая сложность и механика кибератак. И конечно, это очень дорогие атаки, – пояснил Ляпунов. – Мы понимаем их характер, понимаем стоимость – она запредельная". Как сообщается в обзоре, средняя стоимость одной такой сложной целевой атаки составляет оценочно 300 тыс. долл.

"Кроме того, в одной серьезной целевой кибератаке может быть задействовано и 50, и 60 человек, которые разрабатывают атакующий софт, проводят взлом, аналитику, закрепляются в инфраструктуре и потом ее уничтожают, – добавил Ляпунов. – То есть это уже ни разу не какие-то частные, коммерческие группировки, которые преследуют свои частные интересы. А это серьезное воздействие на страну". Эксперты перечислили, на что нацеливаются атакующие: это государственные цифровые сервисы, операторы центров обработки данных, телекоммуникационная инфраструктура, интернет-провайдеры, объекты критической информационной инфраструктуры.

И 2024 год не дает передышки. Наоборот, как показал первый квартал года, крупные ИБ-инциденты происходят "каждую неделю". IT-эксперты сделали важное уточнение. Говоря про рост числа изощренных целевых атак, не стоит забывать о том, что первые две упомянутые угрозы – "обычные" массовые DDoS-атаки и взломы, приводящие к утечкам данных, – никуда не делись: они тоже снова и снова происходят, более того – бьют рекорды. И этому всему надо и дальше противостоять.

В первом квартале 2024-го зафиксирована самая мощная DDoS-атака – 2,7 терабита в секунду (Тбит/с), сообщают в "Солар". Для сравнения: основная часть коммерческих компаний использует каналы шириной до 100 Мбит/с (1 терабит равен 1 млн мегабит). Это все равно что дать залп из царь-пушки по воробью.

"До начала СВО мы считали атаки на уровне 3 Тбит/с черным лебедем, экзистенциальным риском, с которым никто бы не справился, – пояснил Ляпунов. – Но прошло немногим более двух лет, и эти огромнейшие DDoS-атаки обрушились на наши ресурсы. И мы такого рода атакам смогли противостоять". Как и изощренным целевым атакам.

Судя по уточнениям Ляпунова, особым периодом с точки зрения кибератак стали выборы президента. Но к этому российские профильные ведомства и специалисты отрасли заблаговременно подготовились. Как сообщал в марте глава Минцифры Максут Шадаев, в период выборов ожидалось "большое количество кибератак, серьезного давления, киберпрессинга". "С нашей стороны мы все меры по обеспечению безопасности предприняли", – уверил тогда министр. После выборов в Роскомнадзоре отчитались, что во время голосования было отражено около 500 DDoS-атак. Они велись из Германии, Англии, США, Финляндии, Литвы.

Кибератаки по объектам в России бьют рекорды с точки зрения не только мощности, но и продолжительности. Судя по обзору "Солар", за последний год в РФ была зафиксирована самая долгая DDoS-атака – она длилась 278 дней. Под ударом оказался региональный интернет-оператор.

Кроме того, опрошенные "НГ" эксперты рассказали о продолжающихся утечках данных. Казалось бы, все, что могло утечь, уже давно утекло. Однако это не совсем так.

"Данные теряют свою актуальность. Нельзя сказать, что, например, украденные в 2022 году базы релевантны для мошенников до сих пор. Для мошенников представляют интерес новые базы. Кроме того, нельзя сказать, что утекло абсолютно все. Набор данных может меняться в зависимости от организации даже внутри одной отрасли", – уточнила руководитель исследовательской группы Positive Technologies Ирина Зиновкина.

"Новые утечки персональных данных позволяют дополнять существующую базу, добавляя туда новые сведения о конкретном человеке, например, новые телефоны, адреса электронной почты, дополнительные адреса работы и проживания, автомобили и другие сведения, которых не было в предыдущих утечках", – пояснил ведущий инженер компании CorpSoft24 Михаил Сергеев.

"Действительно, за прошедшие несколько лет было множество утечек компаний в РФ. Тем не менее, в 2024 году видим 21% уникальных почтовых адресов, ранее не упомянутых в утечках прошлых двух лет", – привел пример руководитель группы OSINT центра противодействия киберугрозам SOC CyberART Innostage Альберт Антонов.

"В 2024 году практически каждая утечка добавляет новую информацию и расширяет знания злоумышленников о конкретном человеке или организации, что увеличивает риски реализации атак, в том числе целевых, – пояснил при этом руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT Руслан Амиров. – Например, упрощается фишинг, и мошенники могут получить конфиденциальные данные посредством убедительного текста электронного письма с вредоносным вложением или ссылкой на фиктивный ресурс".

Как рассказал "НГ" аналитик сервиса Kaspersky Digital Footprint Intelligence Игорь Фиц, в 2023 году проблема утечки больше всего затронула компании, которые в силу своей специфики хранят большие объемы пользовательских данных: это интернет-сервисы, организации в области карьеры и образования, ретейла. Наиболее же значительный рост публичных инцидентов, связанных с утечками пользовательских данных в 2023 году, по словам эксперта, произошел в сфере финансов и IT. При этом большинство утечек фиксировалось в сегменте малого и среднего бизнеса, но более чем в полтора раза вырос объем данных, полученных в результате инцидентов в крупных компаниях, добавил Фиц.

Руководитель сервиса мониторинга внешних цифровых угроз Solar AURA Александр Вураско предупредил, что не стоит в ближайшее время ожидать какого-то существенного снижения числа утечек. "Персональные и иные конфиденциальные данные хранятся в десятках тысяч организаций, поэтому поле для деятельности злоумышленников весьма широкое", – отметил он. Тем более что помимо персональной информации, да и в целом баз данных в сеть иногда утекают и массивы внутренней документации той или иной организации.