ПОЛНОМАСШТАБНАЯ КИБЕРВОЙНА УЖЕ ИДЕТ: ГОТОВЫ ЛИ МЫ К НЕЙ?
О том, что цифровое пространство не только может, но уже стало современным полем боя говорят все чаще. И это не метафора или гипербола, а доподлинная реальность. Молчат репродукторы центрального оповещения, не воют сирены воздушной тревоги, никто не объявляет мобилизацию, но война рядом, идет незаметно глазу простого гражданина до тех пор, пока не случается нечто, вроде атаки федеральной системы телекоммуникаций или энергетической структуру региона. И это, увы, тоже не фантастика. Против России такая война целенаправленно ведется как минимум с прошлого года.
Аналитики ФСБ называют беспрецедентной по размаху и изощренности серию скоординированных атак, обрушившихся на серверы российских федеральных агентств. Об этом говорится в открытом, но мало известном отчете, подготовленном специалистами центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» совместно с НКЦКИ (Национальным координационным центром по компьютерным инцидентам, созданным ФСБ России) https://rt-solar.ru/upload/iblock/b55/Ataki-na-FOIV_otchet-N...
Согласно ему, только за 2020й год зафиксировал более 200 хакерских атак со стороны профессиональных кибергруппировок, включая массовые попытки воздействия на целые отрасли и сектора экономики. Примерно в 30 случаях за атаками стояли злоумышленники уровень подготовки, квалификации и технических возможностей которых подразумевает участие иностранных государств. В числе наиболее частых целей – объекты критической информационной инфраструктуры России. Остальное, - атаки организованных криминальных группировок, которые, впрочем, также представляют угрозу экономического ущерба, достигающего сотен миллионов рублей.
Целью злоумышленников были: полная компрометация ИТ-инфраструктуры; кража конфиденциальной информации (почтовых переписок, файлов общего и ограниченного доступа, инфраструктурных и логических схем и т.д.).
Для проникновения в инфраструктуры ФОИВ злоумышленники использовали три основных вектора атак:
1. фишинг;
2. эксплуатацию уязвимостей веб-приложений, опубликованных в сети интернет;
3. взлом инфраструктуры подрядных организаций (Trusted Relationship).
В качестве тем для фишинговых рассылок злоумышленники всегда использовали актуальные новости – как внутренние, связанные с непосредственной деятельностью конкретного ФОИВ, так и общемировые – например, касающиеся эпидемии Covid-19. Единственное, что объединяло эти письма, было наличие вложенного офисного документа со специальным макросом: при открытии такого файла происходил запуск вредоносного ПО и заражение хоста.
Эксплуатация уязвимостей веб-приложений, как правило, заканчивалась загрузкой вебшеллов (вредоносных скриптов, позволяющих управлять сайтами и серверами), через которые в дальнейшем и происходило развитие атак.
Параллельно с реализацией фишинга и эксплуатацией уязвимостей веб-приложений злоумышленники искали пути осуществления атак через подрядные организации. Для этого они собирали открытые данные о компаниях, которые работают с тем или иным федеральными органами исполнительной власти (ФОИВ). Следующим шагом был взлом инфраструктур поставщиков услуг, через которых злоумышленники получали возможность вполне легитимно заходить в нужные инфраструктуры ФОИВ. После проникновения в локальную сеть злоумышленники традиционно выполняли мероприятия, направленные на полную компрометацию инфраструктуры.
Выводы доклада впечатляют:
• уровень угрозы – наивысший (федеральное значение);
• уровень киберпреступников – наивысший (кибернаемники, преследующие интересы иностранного государства);
• злонамеренность целей кибератак – наивысшая (полная компрометация инфраструктуры и кража конфиденциальных государственных данных);
• используемый инструментарий – самый продвинутый (причем часть разработанного ВПО ранее нигде не встречалась);
• уровень скрытности - самый продвинутый (за счет использования недетектируемого ВПО, легитимных утилит и понимания внутренней логики работы применяемых в органах власти средств защиты информации);
• стратегия нападения - самая продвинутая (сочетание сразу нескольких векторов атак для создания дублирующих каналов управления.
• уровень тщательности подготовки – наивысший (индивидуальная проработка фишинга с учетом деятельности ФОИВ и отдельных его структур, разработка специализированного ВПО, исследование деятельности и инфраструктур подрядчиков и др.);
• уровень изощренности – наивысший (применения при атаке на российские инфраструктуры российских же внешних ресурсов (облака «Яндекс» и Mail.ru Group);
• уровень неуязвимости нападающих – наивысший (невозможно выявление данных кибератак стандартными средствами детектирования SOC, - необходим тщательный «ручной» мониторинг и расследования силами лучших экспертов).
Если это не война, то как происходящее назвать по другому?
В апреле этого года в Таллине прошли киберучения, организованные НАТО, в которых приняли участие представители 30 стран. На них отрабатывались самые разные задачи, в том числе безопасность электростанций. Причем в качестве условной цели кибератаки была выбрана Украина. Вряд ли это случайно: Украина обладает наиболее близкой к России структурой энергетики.
В России этой тематике также уделяют самое серьезное внимание. В июне под эгидой Минэнерго России на Национальном киберполигоне "Ростелекома" прошли киберучения, в которых приняли участие ключевые игроки электроэнергетической отрасли, представители силовых ведомств, регуляторов и госорганов. Цель киберучений – повысить практическую готовность организаций сферы ТЭК к отражению комплексных распределенных компьютерных атак на целую отрасль, включая уровень взаимодействия и скорость реагирования.
Согласно сценарию учений, хакерская группировка производила серию скоординированных компьютерных атак на инфраструктуру энергоснабжения вымышленного региона. Электросети региона были разделены на семь районов, за защиту каждого из которых отвечала отдельная команда. Все сценарии атак были разработаны экспертами "Ростелеком-Солар" специально для данных учений и основывались на реальных кейсах атак на компании электроэнергетической отрасли России.
Результаты учений, правда, были засекречены, но как мы знаем из инсайдерских источников, был выявлен целый ряд потенциальных уязвимостей.
В общем, ситуацию можно назвать как минимум тревожной и тревожит тут не столько сам факт нападения (что в этом нового для России?), сколько готовность его эффективно отразить. Полномасштабная цифровизация систем управления РФ, имеющая цель превратить их в единый комплекс, началась сравнительно недавно и пока идет с переменным успехом. Мешают здесь ряд традиционных факторов: высокая инерционность управленческих систем, косность мышления многих представителей высшего и среднего командного звена, лоббизм, а главное дилетантизм управленцев, часто оказывающихся весьма далекими от тем, которыми их поставили управлять. Как следствие случается не только торможение процессов развития IT отрасли в России, но и поиск «не дорогих и удобных» решений, которые оборачиваются уязвимостью электронных контуров защиты информационной структуры нашей страны.