Цифровые наемники. Борьба с Россией ведется в том числе на киберфронте 12:14 03.09.2024
На инфраструктуру страны нацеливают цифровых наемников
Анастасия Башкатова Заместитель заведующего отделом экономики "Независимой газеты"
Категории киберзлоумышленников, атаковавших российские отрасли в первом полугодии 2023 и 2024 годов. Доли их атак в процентах от всех расследованных экспертами киберинцидентов. Источник: группа компаний "Солар"
Глава Минцифры Максут Шадаев ранее не поддержал идею создания федерального органа по кибербезопасности.
Список атакуемых киберпреступниками сфер в России расширяется. Это уже не только госсектор, финансовая отрасль и промышленность, но и сфера логистики, здравоохранение, образование. А среди нападающих теперь лидируют не киберхулиганы и хактивисты или примитивные кибермошенники, а кибернаемники – особый вид профессиональных хакеров, выполняющих заказ на взлом, заражение, шпионаж, уничтожение цифровой инфраструктуры. Их активность выросла в разы, причем заказчиками могут быть в том числе иностранные госструктуры. Все это может потребовать создания цифрового защитного контура, особой линии киберобороны на уровне как отдельных организаций, так и отраслей и в целом экономики.
За год число атакованных киберпреступниками индустрий в России значительно увеличилось. Если в первом полугодии 2023-го кибератаки фиксировались в основном на государственные организации, телекоммуникационные, финансовые и промышленные компании, то в этом году список содержит уже 10 пунктов. Теперь в него вошли еще сфера IT-разработок, облачные провайдеры, здравоохранение, образование, логистика, общественные организации. Об этом сообщается в новом обнародованном исследовании киберугроз, подготовленном специалистами группы компаний "Солар". В основе отчета – данные о расследованных инцидентах за первое полугодие 2024-го в сравнении с аналогичным периодом предыдущего года.
Авторы исследования подробно описали пять категорий атакующих, указав на главные отличия между злоумышленниками, касающиеся прежде всего уровня их подготовки, масштаба и сложности угроз. Первая категория – автоматические сканеры. Они ищут IT-инфраструктуру с низким уровнем защиты для быстрого и легкого взлома с целью перепродажи украденных массивов данных или проведения массовых атак.
Вторая категория – киберхулиганы и хактивисты. Они сфокусированы на поиске стандартных уязвимостей с целью прокачки своих навыков, хулиганства, проведения протестных акций. Такие злоумышленники мотивированы идеологически и редко самостоятельно занимаются монетизацией взлома. Хотя организованные ими утечки порой играют на руку уже другим аферистам, знающим, какую выгоду можно извлечь из утекших в сеть сведений.
Третья категория – кибермошенники, которые нацелены именно на получение прямой финансовой выгоды путем кражи денег, вымогательства, применения различных схем обмана включая социальную инженерию или же путем эксплуатации чужих мощностей для скрытого майнинга криптовалют. Часто объединяются в организованные группировки.
Четвертая категория – кибернаемники. Это профессиональные хакеры, обычно выполняющие заказ на взлом, причем заказ либо очень сложный, либо адресный и требующий особого подхода. Они объединяются в иерархические группы, самостоятельно разрабатывают инструменты и методики взлома. Рассуждая о конкретных заказчиках для наемников, атакующих российскую инфраструктуру, авторы исследования указали, что, судя по появляющейся информации, некоторые атаки определенных группировок были организованы "по заказу или совместно с украинскими спецслужбами".
Наконец, пятая категория, выделенная аналитиками, – проправительственные группировки, которые служат интересам госструктур. Они ориентированы на перехват полного контроля над инфраструктурой и "отличаются максимально длительным скрытым присутствием внутри периметра", добавили авторы исследования. Чем сложнее угроза, тем продуманнее и изощреннее должна быть киберзащита: с незатейливыми IT-сканерами бороться проще, чем с профессиональными наемниками и проправительственными кибершпионами.
Главная особенность этого года – близкая почти к нулю активность киберхулиганов, тогда как в первом полугодии 2023-го на них приходились более трети расследованных атак. Одновременно с этим доля зафиксированных и расследованных атак, организованных кибернаемниками, наоборот, резко подскочила – с 10% в первом полугодии 2023-го до 44% в первом полугодии 2024-го. Для сравнения: доля атак, совершаемых кибермошенниками, можно сказать, осталась неизменной. В первом полугодии 2023-го она составляла 25%, сейчас – 28%.
При этом любопытный момент: за тот же период доля атак, осуществленных проправительственными группировками, упала с 25 до 16%. Казалось бы, парадокс, однако эксперты уточнили: это вовсе не означает, что таких атак стало на самом деле меньше. Кроме того, важно понимать, что в случае и с кибермошенниками, и с кибернаемниками, и с проправительственными группировками разделение на категории хоть и выглядит логично, но оно все же довольно условно.
"Нередко в своей практике мы видим, что группировки, ранее демонстрировавшие поведение, присущее одной категории, начинают вести себя совершенно по-другому", – сообщают авторы исследования. Эксперты "Солар" привели пример: по их данным, некоторые проукраинские объединения, которые раньше можно было скорее отнести или к кибермошенникам, или к кибернаемникам, в последние два года либо стали чаще совершать хактивистские атаки (не столько с целью монетизации, сколько желая продемонстрировать свою позицию), либо же публично объявили о проведении атак в интересах именно силовых ведомств.
"Один из главных выводов нашего отчета в том, что группировки не снижают темпа атак, развивают вредоносный инструментарий и эволюционируют в уровне профессионализма", – сообщается в исследовании.
А значит, тем компаниям или даже целым отраслям, которые могут стать целью для взлома, важно не просто полагаться на автоматизированные, стандартные решения в сфере информационной безопасности, а совершенствовать свои навыки противодействия сложным киберугрозам, в том числе инвестируя в соответствующие подразделения, в привлечение высококлассных специалистов, в обновление программных решений.
Отметим: с учетом же того, что на киберфронте бои, как можно судить по экспертным оценкам, все ожесточеннее, особая линия цифровой обороны может потребоваться и в рамках всей экономики. Тем более что реальный масштаб того ущерба, который могут наносить такие киберзлоумышленники своими атаками, эксперты порой даже не берутся точно оценить.
"Так как не всегда атаки приводят к прямым финансовым потерям и не обо всех атаках становится известно, – пояснил "НГ" руководитель группы расследования инцидентов центра Solar 4RAYS компании "Солар" Иван Сюхин. – По официальным оценкам, которые были даны в открытых источниках, ущерб от киберинцидентов может превышать 156 млрд руб. То есть он значительный, но, возможно, эта оценка неполная".
"При этом мы видим, что атак становится больше. В первом полугодии 2024 года количество атак, которые мы расследовали, выросло на 60% по сравнению с таким же периодом 2023-го, – добавил Сюхин. – Многие из этих инцидентов нанесли атакованным организациям существенный урон". Добавим к этому, что при неблагоприятном стечении обстоятельств ущерб может вовсе не ограничиваться исключительно денежными потерями.
"Активность хакеров, атакующих бизнес и государство, продолжает расти", – подтвердил руководитель направления защиты информации облачного провайдера Nubes Дмитрий Шкуропат. Причин несколько. Например, одна из них – все большее распространение цифровых сервисов, в том числе государственных, которые, безусловно, нужны и внедряются для улучшения качества жизни граждан. Однако вполне логично, что если все больше различных, важных для общества услуг предоставляется тем или иным централизованным цифровым ресурсом, если все больше критически важной информации аккумулируется в той или иной системе, тогда и выше вероятность, что злоумышленники захотят дестабилизировать работу именно этих сервисов, порталов и систем.
Помимо этого эксперт указал в том числе на не всегда грамотное поведение и самих компаний или отдельных физических лиц, использующих различные мессенджеры, не перепроверяя поступающие к ним запросы, стремящихся сомнительными способами обойти запреты, чтобы получить доступ к зарубежным социальным сетям и информационным ресурсам.
Все это тоже может создавать бреши в информационной защите пусть и на уровне отдельных пользователей. Но ведь порой взлом и отдельных пользователей, допустим, сотрудников той или иной организации может применяться злоумышленниками для дальнейшего проникновения уже внутрь этой организации.
Так что, как отметил Шкуропат, бизнесу и госучреждениям необходимо продолжать проводить обучение сотрудников основам информационной безопасности и повышать их осведомленность об угрозах со стороны хакеров.
Напомним, идея о том, что, возможно, в стране нужно создавать отдельный надзорный орган именно по кибербезопасности под эгидой Минцифры, зреет давно. И с такой идеей выступали в том числе крупнейшие банкиры страны. В Минцифры в ответ на эти предложения ранее сообщали, что как таковой необходимости в создании федерального органа по кибербезопасности все же нет.
"У нас есть очень хорошая структура, называется ФСБ. В ведении ФСБ находится регулирование вопросов, связанных с информационной безопасностью, – пояснял министр цифрового развития Максут Шадаев на полях Петербургского экономического форума. – Коллеги отлично справляются. Мы не поддерживаем создание никаких дополнительных структур".
|