Прогноз неблагоприятный
Шпунт корреспондент ComNews.ru
За последние несколько недель произошло три эпизода, связанных с атаками на российских интернет-провайдеров, причем два из них были масштабными. Это может вывести волну киберпростивостояния на новый уровень, а в числе пострадавших рискуют оказаться и те, кто ответственно подходит к киберзащите.
Первый эпизод в этой череде событий произошел в ночь на 2 мая в подмосковном Красногорске. Клиенты крупнейшего в городе провайдера со смешным названием "АйПильсин" оказались без доступа к интернету. Выбор Красногорска вряд ли был случаен. Это не только один из крупнейших городов Московской области, но и ее фактическая столица. Плюс ко всему, в Красногорске находятся значимые оборонные предприятия, и атака на крупного по масштабам города провайдера могла их задеть, по крайней мере теоретически.
Как оказалось, была выведена из строя вся инфраструктура "АйПильсина", причем перестали работать не только серверы, но даже городские телефоны в офисе. Сотрудникам компании для связи с абонентами пришлось использовать обычные бумажные объявления. На устранение последствий инцидента ушла почти неделя. По неофициальным данным, в инфраструктуру "АйПильсина" проникла вредоносная программа - шифровальщик или ее разновидность вайпер, - направленная на уничтожение данных, а не на вымогательство.
https://www.comnews.ru/content/220830/2022-06-22/2022-w25/vaypery-ataku…
Хотя дальнейшее развитие событий показало, что имела место, скорее, проба пера. В конце мая 2023 года была взломана инфраструктура провайдера "Миранда-медиа", который работает в Крыму и на новых территориях. "Злоумышленники проникли внутрь сети, полностью перехватили управление и сбросили настройки на всем оборудовании, включая коммутаторы в домах", - сообщил сотрудник одного из крымских провайдеров на условиях анонимности. Магистральный канал оператора прекратил работу на 15 часов, однако работоспособность некоторых сервисов, в том числе ключевых - вроде биллинговой системы, не удалось восстановить в течение месяца.
https://www.comnews.ru/content/227072/2023-06-28/2023-w26/miranda-media…
И наконец поздним вечером 28 июня прекратила работу сеть заметного российского спутникового провайдера "Дозор-Телепорт", треть которого контролирует "Росатом". Для атаки злоумышленники использовали инфраструктуру одного из облачных сервисов, где была размещена часть ресурсов провайдера. При этом атакующие не только зашифровали данные, но часть их похитили и разместили в специально созданном для этого Telegram-канале.
https://www.comnews.ru/content/227163/2023-07-03/2023-w27/khakery-obrus…
Надо сказать, что атаки на интернет-провайдеров и в целом телекоммуникационные компании не являются сугубо российской спецификой. В течение первой половины 2023 года эксперты зафиксировали около 30 атак одних только шифровальщиков по всему миру. Специалист лаборатории компьютерной криминалистики компании F.A.С.С.T. Игорь Михайлов, комментируя ComNews атаку на "Дозор-Телепорт", обратил внимание на то обстоятельство, что на таких атаках специализируется 12 APT-группировок.
Особую опасность для телеком-компаний представляют прогосударственные структуры. Их не интересует заработок в виде выкупа от жертвы - именно по этой причине они часто просто уничтожают данные, а не шифруют в расчете на то, что жертва шантажа заплатит. Кроме того, такие группировки часто выкладывают в публичный доступ данные атакованных компаний. Именно так поступили с "Дозор-Телепортом".
Основной сценарий проникновения в инфраструктуру компании - прямой взлом, как правило, с помощью эксплуатации незакрытой уязвимости.
По статистике российских компаний, ведущих тесты на проникновение, незакрытые уязвимости есть как минимум у 70% российских компаний. Среди телеком-операторов ситуация, скорее всего, хуже: они изначально использовали ПО под Unix-подобными операционными системами, для которых программные зловреды были огромной редкостью. Однако количество вредоносного ПО под такими системами в последние два года растет очень быстрыми темпами.
https://www.comnews.ru/content/227410/2023-07-13/2023-w28/positive-tech…
Плюс ко всему, взломав сеть, злоумышленники, как показывает пример "Миранда-медиа", могут сбросить настройки сетевого оборудования или просто уничтожить данные на серверах с помощью форматирования дисковых устройств.
Другой сценарий связан с атакой на цепочку поставок. Примером тут является эпизод с "Дозор-Телепортом", который атаковали через облачный сервис, где была размещена часть его ресурсов. Обычно слабым звеном являются разного рода поставщики и подрядчики, сотрудники которых имеют прямой доступ к инфраструктуре компании, которую собираются атаковать. Количество таких атак кратно растет, что стало серьезной проблемой, причем не только для телеком-компаний.
Наиболее простым с технической точки зрения способом внедрения зловреда, в том числе и шифровальщика, является атака через сотрудников. Злоумышленники чаще всего применяют фишинговые сценарии. Как показывает практика, каждый седьмой сотрудник, даже в компаниях с хорошо поставленной ИБ, поддается на приемы, применяемые авторами рассылок. Тем более что злоумышленники очень умело используют разного рода инфоповоды. А если фишинг целевой, когда атакующие знают, что происходит в компании, то вероятность удачи при атаке еще выше. Для внедрения зловреда обычно достаточно того, чтобы сотрудник открыл зараженное письмо.
Часто злоумышленники действуют напрямую через сотрудников, в том числе и бывших. Не секрет, что логины и пароли уволенных очень часто забывают вовремя удалять, чем и пользуются киберпреступники. Да и действующих сотрудников также можно заставить сделать то, что нужно злоумышленникам, с помощью, например, подкупа, шантажа или разного рода манипуляций. Зачастую встречаются компании, менеджеры или совладельцы которых имеют гражданство других стран либо бизнес, активы или часть семьи на Западе. В ситуации геополитического противостояния такие люди могут оказаться прямым поставщиком информации для проправительственных киберпреступных групп - кто под давлением, а кто из-за риска потери гражданства или активов. Активно эксплуатируются и разного рода зависимости (наркотическая, игровая) как сотрудников, так и членов их семей.
При этом атаки на сотрудников невозможно купировать с помощью одних только технических мер. Да, что-то могут отсечь антиспам-фильтры на почтовых шлюзах, что-то - контентные фильтры на шлюзах безопасности, но стопроцентной гарантии они не дадут, особенно если используется целевой фишинг или злоумышленники действуют через легитимные учетные записи сотрудников.
Под угрозой находятся не только интернет-провайдеры, но и компании, которые оказывают смежные услуги, - например, поставщики облачных сервисов или операторы, обеспечивающие радио- и телевещание. Такая атака технически проста, относительно дешева и в той или иной форме повлияет на всех абонентов пострадавшей компании.
Обычно говорят, что если имел место единичный эпизод, то это всего лишь эпизод. Если ситуация повторилась, то это совпадение. Но если это произошло трижды, то речь уже идет о тенденции. В нашем случае таких эпизодов как раз три, причем речь идет о случаях, о которых стало известно.
Прогноз, к сожалению, можно дать только неблагоприятный. Количество таких атак будет расти - вопрос лишь в том, какими темпами. Злоумышленники увидели, что подобные атаки поражают большое количество целей и вызывают серьезный общественный резонанс, но при этом просты в исполнении и не требуют привлечения больших масс участников, как DDoS.
Под ударом будет прежде всего телекоммуникационная инфраструктура на новых территориях, вдоль границ Украины, а также в Москве и ее ближайших пригородах. Возможно, под ударом окажутся и компании в городах, где много оборонных предприятий. Не исключены попытки атак и на провайдеров федерального масштаба.