Предвыборная активность хакеров
С приближением президентских выборов в России в 2018 г. киберпреступники могут усилить активность в области атак на инфраструктуру, относящуюся к грядущему событию. Эта проблема особенно актуальна в свете недавних разбирательств о вмешательстве хакеров во время выборов в США и Европе. По мнению одних экспертов, хакеры могут сосредоточиться на взломе веб-серверов кандидатов в президенты, осуществлять DDoS-атаки и дезинформировать избирателей. Однако с этим утверждением согласны не все специалисты в области информационной безопасности. По мнению некоторых специалистов, атаки на ИТ-инфраструктуру актуальны только для тех стран, которые уже работают над внедрением электронного голосования.
Эксперты Eset в своем отчете о трендах информационной безопасности, которые определят развитие мирового киберландшафта в 2018 г., назвали вмешательство хакеров в избирательный процесс, угрожающее легитимности выборов, одной из сравнительно новых проблем кибербезопасности.
При этом в отчете специалисты Eset упомянули, что риски актуальны для тех стран, которые уже работают над внедрением электронного голосования, - Аргентины, Бразилии, Германии и США. Во всех этих странах электронное голосование дополняет, а не заменяет традиционную "бумажную" систему. "В России на данном этапе говорить о внедрении аналогичных технологий, как минимум, преждевременно", - сообщили в пресс-службе Eset.
Главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев также не ожидает никакой особой хакерской активности в отношении российских выборов.
Однако другие специалисты в области информационной безопасности видят определенные риски для ИТ-инфраструктуры, которая будет использоваться на президентских выборах в РФ в 2018 г.
Илья Сачков, генеральный директор и основатель компании Group-IB, специализирующейся на расследовании киберпреступлений и разработке продуктов для информационной безопасности, предупредил, что перед выборами существует большая вероятность как технологических, так и информационных атак.
Специалист Group-IB предположил, что, как и в недавнем американском сценарии, одним из ключевых инструментов политического противостояния будет компромат и дезинформация, распространяемые при помощи современных каналов коммуникаций.
"Естественно, часть этих "вбросов" будет выдуманной, часть - получена в результате различного рода компьютерных преступлений. Это, в частности, использование вредоносного ПО, направленного на получение доступа к личным учетным записям, например почтовым, а также персональным устройствам кандидатов, их окружения и команд предвыборных штабов", - привел пример он.
Как заметил Илья Сачков, "классическим" преступлением, характерным для предвыборных кампаний, являются DDoS-атаки, направленные на предвыборные сайты и страницы кандидатов. С ним согласен директор департамента по исследованиям угроз Avast Михал Салат. Он также сделал предположение, что хакеры будут проводить DDoS-атаки.
Специалист Group-IB считает, что наиболее популярным будет использование информационных атак. В Интернете набирают популярность поддельные ресурсы агитаторов в соцсетях, а также фальшивые агитационные страницы. Он объяснил это тем, что для тех или иных политических сил гораздо проще манипулировать общественным мнением, вбрасывая нужную информацию.
По мнению Михал Салата, кандидатам в президенты следует опасаться взломов их веб-серверов. Кроме того, киберпреступники могут подменить контент, распространяемый во время агитации, либо украсть критически важную для кандидатов информацию.
Как отметили в аналитическом центре InfoWatch, в поле зрения злоумышленников могут находиться программно-аппаратные средства, персональные данные, закрытые сведения из избирательных штабов, содержание электронной переписки участников выборов и другая чувствительная информация.
ИБ-евангелист компании Balabit Чаба Краснаи уверен, что подделать результаты выборов сложнее (взломать ИТ-систему избирательной комиссии), чем воздействовать на сознание людей. Опираясь на кейсы предыдущих лет, он сделал вывод, что злоумышленники использовали DDoS-атаки, подделывали результаты на сайте ЦИК, взламывали специальное программное обеспечение.
Руководитель экспертного центра безопасности (PT ESC) Positive Technologies Алексей Новиков обратил внимание на усложнение атак с технологической точки зрения: злоумышленники стали активно использовать методы, затрудняющие анализ и расследование инцидентов. "Используются так называемые средства антианализа, антиатрибуции, антифоренсики, увеличилось число бесфайловых атак, вредоносное ПО все чаще стало подписываться цифровыми подписями и пр.", - заметил специалист Positive Technologies.
В Group-IB считают, что технологически защиту нужно строить в трех направлениях: защита от DDoS-атак, выявление попыток проникновения в информационные системы и оперативный мониторинг Интернета на предмет появления противоправного контента, дезинформации и попыток использования инструментов дестабилизации общества.
Специалисты Group-IB напомнили, что задолго до запуска в активную фазу работы выборных ИТ-систем нужно подготовить и проверить ее защищенность: для этого используются мероприятия типа red teaming - имитация целевых атак на системы с использованием наиболее актуальных хакерских инструментов. В Group-IB посоветовали выявленные пробелы латать и тестировать снова.
"Опять же заранее, в процессе выборов и после них использовать Threat Intelligence - системы слежения за инфраструктурой и взаимодействием киберпреступников. Такие системы позволяют узнавать об утечках, взломах и хакерской активности до того, как угроза превратится в инцидент, чреватый неуправляемыми последствиями", - отметили в Group-IB.
Аналитик группы компаний "ИнфоВотч" (InfoWatch) Сергей Хайрук сообщил, что для предупреждения преднамеренных и случайных утечек требуются современные DLP-системы (Data Leak Prevention) с возможностью контроля широкого спектра каналов и подключением инструментов анализа поведения пользователей информационных систем.
Михал Салат из Avast посоветовал для обеспечения защиты ИТ-инфраструктуры избирательной системы тестировать ее с помощью сторонних экспертов, чтобы проверить, насколько уязвима инфраструктура и может ли быть атакована или доступна извне. Также для обеспечения безопасности важно убедиться, что на компьютерах, подключенных к Сети, установлен антивирус и брандмауэры, проверить уровень и права доступа сотрудников ко всем системам.
По словам специалиста Balabit, в целях безопасности элементы инфраструктуры должны быть отключены от Интернета. Кроме того, должен осуществляться строгий контроль доступа и непрерывный мониторинг и аналитика действий привилегированных пользователей, чтобы вовремя выявлять подозрительную активность.