Мощные кибератаки против российских компаний стоят миллионы долларов

2022-й показал это более чем отчетливо: практически весь прошлый год в медиа появлялись сообщения о том, как пророссийские и проукраинские хакеры с разным успехом атаковали те или иные ресурсы противоборствующих сторон. В особенностях и последствиях этой кибервойны разбирался Forbes.

В марте 2022 года количество кибератак, совершенных Украиной и Россией и от их имени, исследователи Check Point Software (CPR) называли «ошеломляющим». Около 400 000 международных хакеров вызвались помочь противостоять цифровым атакам России, заявлял президент CyberProof и один из бывших руководителей министерства разведки Израиля Юваль Воллман. «Впервые в истории любой желающий может присоединиться к кибервойне, — рассуждал в интервью CNBC Лотем Финкельштейн, руководитель направления киберразведки CPR. — Мы видим участие всего киберсообщества, в котором группировки и отдельные лица приняли сторону либо России, либо Украины».

Власти на самом высоком уровне не раз заявляли о том, что против России ведется масштабная кибервойна. Так, 20 мая 2022 года Владимир Путин сообщил, что предпринимаются попытки вывести из строя интернет-ресурсы объектов критической информационной инфраструктуры (КИИ) России, в том числе финансовые учреждения, СМИ, социально значимые порталы и сети, официальные сайты органов власти и корпоративные сети ведущих российских компаний. В свою очередь, 1 июня глава американского киберкомандования Пол Накасоне официально признал, что США проводили кибероперации в поддержку Украины «по всему спектру: наступательные, оборонительные и информационные». Не только США, но и многие другие западные страны открыто говорили, что оказывают поддержку Украине в киберпространстве.

Какие схемы используют участники кибервойны, сколько стоит устроить атаку, как изменился характер кибератак и кто принимает в них участие, выяснял Forbes.

24 февраля. До и после

«С начала 2022 года успешно отражено почти 50 000 очень серьезных кибератак. Мы никогда ранее не подвергались такому нашествию». Такие цифры по атакам на автоматизированные системы управления привел 19 января на совместном с главой Минцифры Максутом Шадаевым брифинге вице-премьер Дмитрий Чернышенко. В прошлом году российские компании столкнулись с беспрецедентным ростом кибератак, подтверждают эксперты. Изменился ландшафт киберугроз, выросла активность хактивистов и прогосударственных групп, пользуясь случаем, поднял голову киберкриминал, констатируют в Group-IB.

«Мы зафиксировали 21,5 млн веб-атак высокой степени критичности, причем почти 30% попыток взломов сайтов через веб-уязвимости были направлены на госсектор, — заявили Forbes в «РТК-Солар». — Если говорить про утечки, то за год общий объем выставленных на продажу или размещенных в открытом доступе данных россиян превысил рекордные 2,8 терабайта». По данным «Лаборатории Касперского», в 2022 году в России число DDoS-атак выросло на 60-70% по сравнению с 2021 годом. Причем в марте, по сравнению с февралем, количество таких атак увеличилось в восемь раз, отмечают в компании.

Опрошенные Forbes эксперты в сфере информбезопасности сходятся во мнении: жизнь ИБ-специалистов разделилась на до 24 февраля и после. «Повысилась интенсивность, частота и мощность кибератак. Прекратилась вендорская поддержка, преобладающее количество зарубежных вендоров средств защиты информации закрыли официальные каналы обновления сигнатур», — перечисляет Андрей Дугин, руководитель центра мониторинга и реагирования на кибератаки МТС SOC. С одной стороны, на какое-то время ИБ-специалисты оказались без привычного им инструментария (те, кто строил безопасность исключительно на зарубежных технологиях), с другой — стало понятно, что отечественный рынок кибербезопасности сегодня имеет все необходимые инструменты, методологии, подходы и средства защиты почти во всех категориях, объясняет директор экспертного центра безопасности Positive Technologies Алексей Новиков.

Впрочем, не все коллеги с ним согласны. «Большим ударом стал уход многих вендоров, которых в ближайшие два-три года невозможно заменить», — объясняет другой собеседник Forbes в отрасли, добавляя, что российские решения «по многим параметрам хуже» ушедших с нашего рынка, поэтому в обозримом будущем надежды возлагаются на параллельный импорт. Но это удар для заказчиков, продолжает он.

Для отечественных вендоров и MSSP (Managed Security Service Provider) 2022 год стал золотой жилой: даже самый малоизвестный и никому до этого не нужный игрок сумел отщипнуть кусок пирога, если его решение хоть что-то из себя представляло, заключает эксперт. Был конкурентный мировой рынок, на котором значительную долю занимали американские, европейские и азиатские компании, рассуждает управляющий партнер юридической фирмы DRC Саркис Дарбинян: «Но из-за санкций и «рашн кэнселинга» (отмены) он благополучно свернулся, оставив кучу свободного места российским компаниям, которые, уверен, переживают сейчас лучшие свои времена».

Указ №250 («О дополнительных мерах по обеспечению ИБ РФ») зафиксировал итоги кибервойны и изложил новые обязательные меры по защите от кибератак. Документ распространяется на предприятия с госучастием (от ведомств до госфондов), стратегические предприятия, системообразующие организации и субъекты критической инфраструктуры. В частности, указ запрещает им использовать средства защиты из «недружественных» стран с 2025 года, а также обязывает назначить ответственных руководителей по информационной безопасности и создать спецотдел, отвечающий за это направление.

Паническая сила

После 24 февраля сформировался тренд на постоянное опубличивание информации: каждый взлом инфраструктуры или слив данных становится достоянием общественности, замечает директор центра противодействия кибератакам Solar JSOC «РТК-Солар» Владимир Дрюков. «Чтобы получить эти данные, уже не надо идти в даркнет и пользоваться сложными схемами через теневые форумы, ведь утекшие базы и подробности атак открыто публикуются атакующими в Telegram, — говорит он. — И неважно, что большая часть этой информации является фейковой — все подобные сообщения создают нервное напряжение в обществе, поднимая панику как среди бизнеса, так и среди обычных граждан».

Прошлый год поставил рекорд по количеству утечек баз данных российских компаний — только за три летних месяца в сеть попало 140 баз, указывают в Group-IB. Однако, по словам экспертов, на фоне текущего геополитического кризиса у киберпреступников изменился мотив: не заработать, а нанести репутационный или экономический ущерб российскому бизнесу и его клиентам. Поэтому подавляющее большинство утечек баз данных российских компаний, которые появлялись в 2022 году на андеграундных форумах и тематических Telegram-каналах, были выложены бесплатно в публичный доступ.

Кроме того, зафиксирован резкий всплеск DDoS-атак, направленных на ухудшение работы ключевых инфраструктурных сервисов. «Это были сложные атаки, они комбинировали информационный разгон и DDoS, — объясняет руководитель отдела продвижения продуктов «Кода безопасности» Павел Коростелев. — Например, сначала вбрасывалась информация о том, что государство запретит снимать наличные деньги с карточек, а после этого хакеры пытались положить систему банка, чтобы усилить панику. Эта координация между информационной и кибератаками — довольно серьезный показатель уровня атакующих».

Необъявленная война

Противостояние в сфере кибербезопасности России и условного Запада началось, конечно, не в прошлом году — о нем говорили и прежде. Но на сегодняшний день какие-либо контакты по международной информационной безопасности заморожены — отказ от международного сотрудничества в части предотвращения и борьбы с киберпреступлениями, подтверждает собеседник Forbes на рынке информационной безопасности. «Российские компании перестали сотрудничать с международными организациями по независящим от них причинам, и если и раньше были проблемы с тем, чтобы привлечь к ответственности преступников, то теперь это стало невозможно», — говорит он.

В целом наблюдались попытки изолировать интернет друг от друга, объясняет источник Forbes в крупной компании, занимающейся ИБ. По его словам, многие российские сервисы и компании теперь не пускают к себе из-за границы, и наоборот: у нас теперь недоступны многие западные сервисы. «Причем это влияет как на деятельность компаний, которые зачастую не могут без специальных средств установить обновление, так и на деятельность обычных пользователей, которые не могут зайти на любимые сервисы».

Руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров обращает внимание на отсутствие правового закрепления кибервойны в мире. «Она ведется скрытно, но никто ее не объявляет и не прекращает. Сложно атрибутировать того, кто вас атакует, — рассуждает он. — Особенно это актуально для групп проправительственных хакеров».

Хактивный процесс

В прошлом году существенно выросло количество финансово немотивированных атак. В 2015-2021 годах устойчиво росло число инцидентов с использованием вирусов-вымогателей, указывает Павел Коростелев. Однако после 24 февраля специалисты увидели резкий всплеск хактивизма — когда произвольные хакеры, выражая свою политическую позицию, пытались взломать сайты госорганизаций, СМИ, чтобы «продвинуть свой месседж».

Эксперты единодушны: это примета времени, их поражает массовость этого явления среди простых людей. Например, компьютеры хактивистов используют в качестве дополнительного ресурса для атаки на тот или иной объект. «Раньше такого не было, — говорит технический руководитель направления анализа защищенности блока кибербезопасности МТС Алексей Кузнецов. — В Telegram появилось множество координационных чатов для хактивистов, что трудно было представить прежде». Министр цифровой трансформации Украины Михаил Федоров лично объявлял о рекрутинге в IT-армию Украины, напоминает Саркис Дарбинян. «На конец апреля 2022 года у нас около 300 000 специалистов. Участие добровольное, и мы организуем его через Telegram, куда выкладываем ежедневные задания», — заявлял тогда Федоров. На сегодня численность IT-армии, которая «заведует» массированными DDoS-атаками, Игорь Бедеров оценивает более чем в 600 000 пользователей. В Telegram на запрос Forbes не ответили.

То, что одна из сторон официально объявила о создании IT-армии, пригласила в нее всех желающих и постоянно выдает цели для атак, — явление новое, говорит главный эксперт «Лаборатории Касперского» Сергей Голованов. Все остальное — DDoS-атаки, рассылки вредоносных программ и т. д. — было и во время других международных конфликтов: Пакистан — Индия, Индия — Китай, Китай — Япония, замечает он.

В сегодняшней кибервойне активное участие принимают два уровня злоумышленников, объясняет Дрюков из «РТК-Солар». Первый — киберхулиганы-энтузиасты, представленные организованным сообществом IT-армии Украины. Это «сочувствующие» хакеры, обладающие невысокой квалификацией. Их цель — нарушение целостности сайта (дефейс), взлом слабозащищенных ресурсов для слива информации и прочие действия, направленные на максимальное освещение итогов своей деятельности.

Второй — это кибернаемники. По словам эксперта, их цель — массовая дестабилизация информационного пространства и демонстрация уязвимости российской IT-инфраструктуры. «Они используют разные методы: отключение инфраструктуры, массовые сливы персональных данных ключевых коммерческих компаний, нацеленные дефейсы на ключевых цифровых ресурсах (СМИ, госпорталы, телевещание), — перечисляет Владимир Дрюков. — Их работы скоординированы, реализуются крайне быстро и с глубоким погружением в информационные и бизнес-процессы жертв. Последнее указывает на активную работу инсайдеров или наличие у хакеров подробных данных и контекста инфраструктуры в результате более ранних взломов».

По словам Алексея Новикова, сложно установить организаторов и исполнителей кибератак, потому что используемый группировками инструментарий нередко перепродается или распространяется по сервисной модели: «Сами группировки с успехом мимикрируют друг под друга, а иногда объединяются и поглощаются друг другом по аналогии с бизнесом». В целом можно выделить несколько основных категорий: политически мотивированные активисты, киберформирования на контракте, сотрудники спецслужб и ВС, частично киберпреступники, добавляет Павел Коростелев.

При этом спецслужбы предпочитают не брать в состав, а вербовать, желательно на зависимости, говорит Дмитрий Артимович, которого The New York Times в 2016 году назвала «русским хакером» (организовал в 2010 году DDoS-атаку на платежный шлюз «Аэрофлота» Assist): «Например, самим же спровоцировать на что-то незаконное, это же и вменить с выбором: сядешь или сотрудничаешь».

Характер и направление наступлений

Уровень кибератак на российские организации в целом средний, это простые атаки: DDoS, фишинг, встраивание закладок в опенсорсные библиотеки разработки, эксплуатация известных уязвимостей, которая не требует глубоких знаний и реализуется довольно доступными инструментами, перечисляет технический руководитель направления анализа защищенности блока кибербезопасности МТС Алексей Кузнецов. «Для российских компаний это даже несет местами какую-то образовательную активность — они понимают, как именно их могут взломать и за какое время. Глобально Россия стала большой площадкой для пентеста», — заключает он. Отечественные решения сегодня разрабатываются фактически в боевых условиях: с учетом постоянных атак они проходят непрерывное тестирование на реальных кейсах, подтверждает директор экспертного центра безопасности Positive Technologies Алексей Новиков.

По словам Владимира Дрюкова, в центре внимания злоумышленников — государственные информационные системы: они содержат много конфиденциальных данных и напрямую влияют на жизнь страны, но их уровень киберзащиты далек от совершенства: «К тому же каждый подобный взлом подрывает репутацию государства. Также активно пытаются взламывать IT-компании, чтобы потом добраться до их клиентов. Сегодня взломы через подрядчика — это один из самых активно развивающихся векторов атак». Компании, которые являются более привлекательными целями (крупные государственные ресурсы, объекты КИИ, банки), часто неплохо защищены, поэтому если их и взламывали, то обычно через подрядчиков (supply chain attack), подтверждает источник в ИБ-индустрии: «Взламывают плохо защищенного подрядчика и используют его канал [для проникновения] в инфраструктуру конечной жертвы».

За год стало больше ситуативных атак, продолжает Дрюков: в период отпусков активнее взламывали онлайн-кассы с билетами, в период вступительных экзаменов — сайты вузов, а на фоне новостей о поставках электроники для армии — онлайн-магазины с дронами, в День Победы — ресурсы, посвященные празднику. «Неприкасаемых нет, — констатируют в Group-IB. — Кибератаки касаются абсолютно всех». Отраслевые интересы группировок, атаковавших российские организации в 2022 году, распределились между госпредприятиями (30% случаев), IT-компаниями (16%), финансовым, энергетическим и промышленным сектором (по 10% случаев на каждый), говорит Новиков.

«Жертвами становятся любые компании, до которых у хактивистов дотянутся руки. Хотя противоборствующая сторона и заявляет, что борется с государством, фактически до каких данных добираются, те и сливают», — говорит собеседник Forbes в компании, занимающейся информационной безопасностью. Любой доступный сервер, если он относится к России, уже интересен киберпреступникам. Что с этими данными делать дальше — они решают уже после взлома.

Другая тенденция — увеличение длительности атак: теперь они измеряются не минутами, а неделями, указывает главный эксперт «Лаборатории Касперского» Сергей Голованов. Самая мощная DDoS-атака 2022 года достигла 760 Гбит/с, что почти в два раза превышает самую мощную атаку предыдущего года, а самый продолжительный DDoS длился 2000 часов, то есть почти три месяца, добавляют в «РТК-Солар».

Почем атака

Эксперты не берутся оценивать общий размер направленных на киберпротивостояние средств, но ясно, что это «миллионы и миллионы долларов». «Самый простой DDoS небольшого интернет-ресурса может стоить около $100, а цена заказной кибероперации на объект КИИ достигает $2 млн, — оценивает Владимир Дрюков. — Важно, что сейчас есть немало сочувствующих, которые помогают киберзлоумышленникам бесплатно, например, предоставляя уже взломанные устройства для организации ботнетов или готовое вредоносное ПО».

По словам Алексея Кузнецова, state actors тратят годы разработки и, если оценивать их средства и инструменты как продукты, счет может идти на миллионы долларов за атаку: «Особенно с учетом того, что в результате атаки разработанный продукт может начать детектироваться, нужно будет разрабатывать новый».

Рассчитать точную стоимость APT-атаки (Advanced Persistent Threat, целевая продолжительная атака повышенной сложности) невозможно, в частности, из-за сложной оценки стоимости уникального ПО из арсенала группировки, говорит Алексей Новиков. «Например, фишинговые рассылки — эффективный способ проникновения во внутреннюю сеть компании, сегодня к нему прибегают 90% APT-группировок. Общая стоимость инструментов для создания вредоносных вложений без учета стоимости эксплойтов для уязвимостей нулевого дня (т. е. уязвимость, обнаруженная злоумышленниками до того, как о ней узнали производители программы) составляет около $2000, — продолжает он. — Каждая вторая действующая APT-группировка после проникновения во внутреннюю сеть использует легитимные инструменты для администрирования и коммерческие инструменты для тестов на проникновение, цена на которые варьируется от $8000 до $40 000. Набор инструментов для проведения атаки, направленной на кражу денег из банка, по нашим примерным подсчетам, может стоить от $55 000. Кибершпионская кампания обходится на порядок дороже — ее минимальный бюджет составляет $500 000».

За кем перевес и что дальше

Кибервойна не ведется в одну сторону. Об однозначной поддержке России сообщал целый ряд группировок, например Conti, Stormous, CoomingProject и др. В апреле 2022 года, напоминает управляющий партнер юридической фирмы DRC Саркис Дарбинян, члены альянса Five Eyes (сообщество разведок Австралии, Канады, Новой Зеландии, США и Великобритании) предупредили о киберугрозах, перечислив группы хакеров, способных проводить операции против украинских организаций, органов власти и объектов критической инфраструктуры. Среди выявленных Five Eyes киберпреступных группировок, якобы сотрудничающих с российским правительством, — CoomingProject, Killnet, Mummy Spider, Salty Spider, Scully Spider, Smokey Spider, Wizard Spider и команда Xaknet.

Впрочем, Россия сейчас уже находится в неравных условиях с противником, считает Дарбинян. На стороне Украины сейчас почти весь мир, говорит он, со всеми своими технологиями, возможностями и экспертами, тогда как Россия все больше отдаляется от инноваций, высококвалифицированных экспертов и международного сотрудничества. «В таких условиях вести кибервойны будет все сложнее и сложнее, — рассуждает он. — Уже через несколько лет будет ощущаться серьезное технологическое отставание. Инновации не будут поступать по официальным каналам дистрибуции, а телекоммуникационное оборудование перестанет обновляться и чиниться. Какое-то время параллельный импорт и принудительное лицензирование, конечно, смогут насытить рынок, но в долгосрочной перспективе говорить о каком-то мировом лидерстве в таких условиях не приходится».

Дмитрий Артимович убежден: перевес в противостоянии за Западом. «Большая часть «железа» производится Западом, хотя и в Китае. Операционные системы американские. Естественно, производители сотрудничают с американскими спецслужбами, — заявил он Forbes. — У нас во всех госорганах 99% процессоров Intel и AMD. Думаете, в них нет бекдоров для американцев? Так же и операционные системы, и остальной софт (Android, iOS, Windows, MacOS). Американские спецслужбы собирают уязвимости, в том числе нулевого дня. Сомневаюсь, что у наших все в таких же масштабах. Нельзя говорить, что мы полностью защищены, пока наши госорганы не будут работать на наших компьютерах с нашими процессорами и операционными системами».

Что дальше? Вероятно, в 2023 году злоумышленники начнут использовать новые более сложные техники, тактики и уязвимости нулевого дня, полагает Сергей Голованов из «Лаборатории Касперского», добавляя, что будет существенно увеличиваться количество атак вредоносного ПО и продолжатся мощные и сложные атаки на бизнес и сайты. «С одной стороны, все необходимые сервисы у нас работают, с другой — число утечек информации в 2022 году побило все рекорды, и это доказывает, что нам есть куда расти в плане защиты и безопасной эксплуатации IT-инфраструктуры», — резюмирует Павел Коростелев.