Rambler's Top100
 
Статьи
Николай НОСОВ  05 марта 2022

Кибервойна: острая фаза

Военная спецоперация на Украине сопровождается ожесточенным противостоянием в киберпространстве. Бизнесу нужно незамедлительно усилить меры обеспечения информационной безопасности.

Боевые действия всегда сопровождались психологическим воздействием на противника. Заронить сомнения, посеять панику, навязать свою картину мира. Не стала исключением и военная спецоперация на Украине. Современная особенность – возросшая роль киберпространства. Теперь не нужно на самолете пересекать линию фронта, чтобы разбрасывать листовки, достаточно статей на сайтах и сообщений в соцсетях.

Атаки на органы власти и СМИ

Неудивительно, что число кибератак резко выросло сразу после признания Россией ДНР и ЛНР. Отмечались атаки на сайт Kremlin.ru, подвисали сайты госуслуг. Хакерская группировка Anonymous взломала сайты РБК, ТАСС, газет «Известия» и «Коммерсантъ» и разместила на них обращения якобы от лица их журналистов. Дефейс-атаки, т.е. взлом популярных сайтов и распространение через них фейковых новостей, дополнили DDoS-атаки, нацеленные на отказ в доступе к ресурсу. 
«Самая тяжелая у нас была ночь с субботы на воскресенье (с 26 на 27 февраля – прим. ТАСС), там, конечно, [были] массовые атаки, [были атакованы] все органы госвласти, это ”Госуслуги”, находящиеся под нашей защитой. Такого уровня атак не было никогда», – приводит ТАСС слова вице-президента «Ростелекома» по информационной безопасности Игоря Ляпунова.

Идут атаки и в другую сторону. По данным Security Lab компании Positive Technologies, российская хакерская группа RaHDit провела масштабную кибератаку, в результате которой были взломаны 755 сайтов органов власти Украины в домене gov.ua. Telegram-канал «Кремлевская прачка» опубликовал скрины взломанных сайтов. А группа Killnet успешно атаковала сайт группы Anonymous. 

Обмен санкциями в онлайне

Ограничения на распространение информации вышли на государственный уровень. 3 марта ЕС принял решение о запрете трансляции и распространения в Европе контента новостного агентства Sputnik, что уже выполнили TikTok и YouTube. На следующий день о блокировке по всей Европе приложений, связанных с телеканалом RT и агентством Sputnik, заявила Google. Instagram и Facebook заблокировали аккаунты телеканала RT в 27 европейских странах.

Польша запретила на территории страны вещание российских телеканалов Russia Today, RT Documentary, «РТР-Планета», «Союз TV» и «Россия 24». Запрет распространяется на кабельные сети, спутниковое вещание и интернет-платформы. Германия также прекратила вещание Russia Today, на что наш МИД ответил остановкой работы Deutsche Welle в России.

4 марта Роскомнадзор заявил о решении блокировать не выполняющие его требования соцсети. Хотя на момент написания статьи в Facebook, Twitter и Instagram со стационарных устройств войти еще удавалось, но через мобильную сеть не был доступен Twitter и не грузились картинки в Instagram и Facebook.

Инфраструктура под угрозой

Кибератакам подвергается и инфраструктура. Хакерская группировка NB65, связанная с Anonymous, сообщила о взломе ЦУПа «Роскосмоса», в результате которого якобы была потеряна связь со спутниками. Глава «Роскосмоса» Дмитрий Рогозин пояснил, что попытки пробиться в ЦУПы фиксировались, но были в автоматическом режиме отбиты системой безопасности. 

Логистическая компания «Славтранс-Сервис» сообщила в Минсельхоз России о прошедшей кибератаке: «Был получен несанкционированный доступ к головному контроллеру Danfoss (производство Дания) под пользователем Supervisor. В 00:27 был создан пользователь Anonymous с полными правами. После чего ключевые параметры температуры были изменены с -24°C на +30°C с целью порчи 40 тыс. т замороженной мясной и рыбной продукции. Оборудование имело доступ в сеть интернет для удаленного мониторинга за работой установок». Служба безопасности предотвратила негативные последствия и отключила систему от интернета.

А электрозаправки компании «Россети» на автомагистрали М-11 («Нева») злоумышленникам даже не пришлось взламывать – «закладки» для удаленного доступа через интернет уже имелись в используемом контроллере украинского производителя Autoenterprise. «Россети» заявили, что электрозаправки работали в тестовом режиме и после перепрошивки контроллера уязвимость будет устранена.

Население под прицелом

Запугивание, распространение среди гражданского населения ложной и вводящей в заблуждение информации – одна из старейших тактик войны. Психологическое воздействие очень действенно, что хорошо видно по обсуждениям в соцсетях.

«Пандемия и ковидные ограничения вывели людей на тот уровень раздражения и растерянности, когда они начинают делать глупости. В этих условиях особенно эффективны фейки, распространяемые в ходе перешедшей в горячую фазу информационной войны. Цель – посеять панику и сломать людей психологически. Удары идут со всех сторон, например, хакеры заявляют, что снимут деньги со счетов российских граждан и переведут на Украину, появляются слухи об «огромных потерях», о «чудовищных зверствах». Все это сопровождается блокировкой информационных каналов с помощью DDoS-атак или прямых запретов поддерживающих противоположную сторону СМИ», – дал комментарий нашему изданию председатель правления АРСИБ Виктор Минин.

Что делать бизнесу?

Российскому бизнесу надо незамедлительно приспосабливаться к новой реальности. Риски кибератак значительно выросли, службам безопасности компаний необходимо пересмотреть модели угроз и принять меры. 

«На протяжении всей недели происходит эскалация – растет сложность и число атак. Появилось огромное количество новых заказчиков, большинство из которых, к сожалению, оказались совершенно не готовы к атакам. Мы работаем сейчас на пределе людских ресурсов, поскольку подключение во время атаки можно сравнить с процессом реанимации – нервно, трудоемко и требует много ручной работы. В связи с этим мы рекомендуем компаниям задуматься о терапевтическом лечении проблемы DDoS-атак до того, как они обрушатся на бизнес», – пояснил основатель и генеральный директор Qrator Labs Александр Лямин.

24 февраля Национальный координационный центр по компьютерным инцидентам назвал уровень угроз кибератак на российские информационные ресурсы критическим. Компания InfoWatch объявила о бесплатной программе поддержки бизнеса во время повышенного риска кибератак и провела внеплановую онлайн-встречу с экспертами, на которой изложила первоочередные меры по уменьшению угроз. Технический директор InfoWatch ARMA Игорь Душа заявил, что сейчас важно защищать, а не наблюдать, и призвал срочно проанализировать состояние информационных систем и принять меры к сокращению поверхности атаки, в частности, провести инвентаризацию и отключить неиспользуемые сервисы, службы и порты, ввести «белые списки» для межсетевых экранов и блокировать входящий зарубежный трафик. 

«Мы видим беспрецедентные массовые DDoS-атаки на крупнейшие организации Российской Федерации и государственные органы. Утекает информация из баз данных отечественных организаций», – сообщил на прошедшей 2–3 марта конференции «Информационная безопасность АСУ ТП КВО» заместитель начальника управления организации обеспечения безопасности КИИ ФСТЭК России Алексей Кубарев. Он сформулировал неотложные меры для предотвращения негативных последствий атак:
  • исключить автоматическое обновление ПО через интернет. В первую очередь это касается систем, разработанных в недружественных странах;
  • проанализировать состояние граничных маршрутизаторов, веб-серверов и других точек взаимодействия с интернетом и устранить выявленные уязвимости;
  • включить все имеющиеся средства защиты информации (DPI, анти-DDoS, WAF) и перевести их в режим максимального контроля;
  • исключить появление на своих сайтах сервисов недружественных государств (API, виджетов, Google Analytics, Google Maps).
  • ограничить количество подключений к информационной системе с одного IP-адреса для минимизации последствий DDoS-атак;
  • приостановить удаленное управление информационной инфраструктурой (не только критической) через сети общего пользования.
Кроме этого, необходимо ежедневно актуализировать состояние баз данных систем предотвращения вторжений и антивирусной защиты, по возможности в режиме реального времени проводить анализ критичных событий информационной безопасности.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!