Самые популярные кибератаки 2020 года и способы защиты от них

Анонимно и очень опасно

На ваш взгляд, технически возможно будет обезопасить информационное пространство от вредных и опасных посягательств и что для этого потребуется?

Олег Храмов: Во-первых, одной из основных проблем в противодействии компьютерным атакам является сложность определения источника атаки. Решение этой проблемы лежит в плоскости снижения анонимности глобального информационного пространства. Полагаем, что в результате человечество придет к обязательной идентификации устройств, подключаемых к мировой сети связи. Это, в свою очередь, позволит уполномоченным структурам суверенного государства более эффективно бороться с противоправными деяниями в информационной сфере.

Основным источником распространения вредоносного программного ­обеспечения стали интернет-ресурсы на территории США

Во-вторых, любая компьютерная атака осуществляется с использованием уязвимостей в программном или аппаратном обеспечении. Решению этой проблемы может способствовать введение ответственности производителей за безопасность своих программных и аппаратных средств. Сейчас, к сожалению, мы видим, как под предлогом борьбы с уязвимостями и «закладками» в ИТ-продуктах осуществляется откровенное «выдавливание» с рынка конкурентов. Яркий пример — действия американцев против китайской компании Huawei и российской компании «Лаборатория Касперского» с применением вошедших в моду экономических санкций. В-третьих, должным образом обеспечить информационную безопасность невозможно без полноценного участия в этом процессе всех заинтересованных сторон: коммерческих структур, научного сообщества, общественных организаций.

Важно максимально эффективно задействовать имеющиеся механизмы государственно-частного партнерства. На их основе должна быть выстроена системная работа обеспечения информационной безопасности в целом и объектов критической информационной инфраструктуры в частности

Печально известный принцип обвинения

Он подчеркнул, что «вместо кропотливой работы по поиску истинных источников компьютерных атак и их нейтрализации», США навязывают другим странам свою точку зрения «с позиции консенсуса», когда виновный назначается в результате решения группы государств без предъявления каких-либо доказательств, а лишь на основании якобы компетентного мнения стороны обвинения. Этот же принцип, как отметил Храмов, Запад задействовал «при попытке назначить виновных в инсценированных химических атаках в Сирии».

«Такой подход очень напоминает печально известный нашему обществу принцип «объективного вменения», имевший место в советской уголовно-процессуальной практике первой половины двадцатого века, — сказал замсекретаря СБ РФ. — При этом США позиционируют свое предложение о коллективной атрибуции источников кибератак как собственную инновацию в области международно-правового регулирования».

Кибератака

Национальный комитет Демократической партии США

18 мая 2016 года директор службы национальной разведки США Джеймс Клэппер заявил о попытках иностранных разведок шпионить за предвыборными штабами обоих кандидатов за кибератаки на их информационные системы.

Специалисты CrowdStrike утверждают, что Fancy Bear использовала вредоносное программное обеспечение (ПО) под названием X-Agent для удаленного выполнения команд, передачи файлов, шпионажа за нажатыми клавишами, и оно было запущено командой rundll32:

 rundll32.exe "C:\Windows\twain_64.dll"

Также, по мнению представителей CrowdStrike, была использована программа X-Tunnel для установления соединений через систему NAT и удаленного выполнения команд, и обе программы были доставлены внутри программы RemCOM — аналога с открытыми кодами коммерческой программы PsExec. Эксперты CrowdStrike пришли к выводу о том, что хакеры приняли меры по уничтожению следов своего пребывания, что выражалось в периодическом вычищении журналов событий и изменении атрибутов времени изменения файлов.

CrowdStrike не обнаружила признаков сотрудничества между двумя предполагаемыми группами хакеров. Анализ, также, выявил компьютеры, зараженные двумя типами вредоносного ПО. На этом основании был сделан вывод о том, что группы не контактируют между собой и могут одновременно участвовать в атаках на одну жертву.

DCCC

Впоследствии стало известно о возможной кибератаке типа тайпосквотинг против DCCC (англ.)русск.. По утверждению Reuters, двое источников агентства сообщили, что атака началась приблизительно в июне 2016 года.

Для нарушения подлинности адреса веб-сервера DCCC был создан адрес actblues.com, отличающийся от настоящего — actblue.com — только одной буквой. Этот адрес был связан с IP-адресом 191.101.31.112 (Host1Plus, подразделение Digital Energy Technologies Ltd., физически местонахождение — Нидерланды), и зарегистрирован в регистраторе I.T.Itch с повышенной защитой приватности. Также:

• доменное имя actblues.com было зарегистрировано на пользователя с адресом электронной почты fisterboks@email.com, на который ,также, было зарегистрировано три других доменных имени, которые германская контрразведка связывает с Fancy Bear;
• также, пользователь fisterboks@email.com использовал те же доменные имена, что и пользователь frank_merdeux@europe.com, зарегистрировавший доменное имя misdepatrment.com, и которое в свою очередь было использовано для тайпсквоттинговой атаки на подрядчика Нацкомитета Демократической партии.

Российская сторона отрицает свою причастность к этой и другим атакам, считая свою связь с хакерами недоказанной.

Виды

По целям и задачам военные действия в киберпространстве делятся на две категории: шпионаж и атаки.

Атаки

Специалисты выделяют следующие виды атак в интернете:

• Вандализм — использование хакерами[прояснить] интернета для порчи интернет-страниц, замены содержания оскорбительными или пропагандистскими картинками.
• Пропаганда — рассылка обращений пропагандистского характера или вставка пропаганды в содержание других интернет-страниц.
• Сбор информации — взлом частных страниц или серверов для сбора секретной информации и/или её замены на фальшивую, полезную другому государству.
• Отказ сервиса — атаки с разных компьютеров для нарушения функционирования сайтов или компьютерных систем.
• Вмешательства в работу оборудования — атаки на компьютеры, которые занимаются контролем над работой гражданского или военного оборудования, что приводит к его отключению или поломке.
• Атаки на пункты инфраструктуры — атаки на компьютеры, обеспечивающие жизнедеятельность городов, их инфраструктуры, таких как телефонные системы, водоснабжения, электроэнергии, пожарной охраны, транспорта и т. д.

Атаки на Россию и страны ОДКБ

НЦКЦИ совместно с зарубежными партнерами сумели предотвратить кибератаки на более чем 7 тыс. объектов в России и странах Организации Договора о коллективной безопасности (ОДКБ).

«Благодаря таким превентивным мерам только в этом году удалось предотвратить внедрение вредоносного программного обеспечения более чем на семи тысячах объектах критической инфраструктуры на территории России и стран ОДКБ. Такое эффективное региональное сотрудничество очень востребовано», — сказал Мурашов.

По словам Мурашова, НКЦКИ активно обменивается информацией о компьютерных инцидентах с партнерами из 122 стран. «Все больше объектов критической информационной инфраструктуры подключается к нашей системе реагирования, активно развиваются ее ведомственные и отраслевые сегменты», — сказал он. Зарубежные партнеры также делятся данными о вредоносной активности, с которой они сталкиваются «на местах».

«Мы разрабатываем рекомендации по противодействию этим угрозам и оперативно доводим их до заинтересованных сторон», — пояснил Мурашов.

Эта превентивная работа позволяет оперативно пресекать работу компьютерных вирусов в России и за рубежом. «Объем взаимодействия постоянно увеличивается. Только в этом году мы отработали более 3,5 тыс. обращений от наших зарубежных коллег», — отметил замглавы центра кибербезопасности. По его словам, почти столько же обращений направила Россия в группы реагирования других стран.

Мурашов напомнил, что в России уголовно наказуемо не только использование и распространение вредоносного программного обеспечения, но и его разработка. По его словам, на протяжении последних лет общее количество преступлений в этой сфере остается стабильным. В частности, по ст. 272 УК РФ («Неправомерный доступ к компьютерной информации») в 2013 году было выявлено 1799 преступлений, в 2015 — 1396, в 2017 — 1079, а в 2018 — уже 1240. По статье о создании, использовании и распространении вредоносных компьютерных программ (273 УК РФ) в 2013 году зарегистрировано 764 преступления, в 2015 — 974, в 2017 — 802, в 2018 году — 592.

НКЦКИ был создан в сентябре 2018 года приказом директора ФСБ после указа президента РФ о создании Государственной системы обнаружения, предупреждения и ликвидаций последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА).

Политизированная сфера

Как заявил замсекретаря Совбеза РФ, беспрецедентный рост угроз в информационной сфере диктует необходимость выстраивания постоянного межгосударственного диалога, в том числе между Россией и США, по всему спектру проблем в области информационной безопасности. Однако эта проблема была выведена за рамки профессионального диалога из-за политизации в США «надуманного вопроса о российском воздействии на выборные процессы», что подогревается «заинтересованными экономическими кругами и ориентированными на их запросы» СМИ и неправительственными организациями, сказал собеседник издания.

Храмов отметил, что после нового витка «манипуляций и голословных обвинений» в период промежуточных выборов в США в 2018 году американский президент Дональд Трамп «дал указание начать скрытую кибератаку на российское Агентство интернет-исследований, которое было без предъявления доказательств названо американскими спецслужбами распространителем информации, квалифицируемой как вмешательство»

Замсекретаря СБ РФ при этом обратил внимание на публикацию портала Yahoo News, согласно которой в 2018 году президент США наделил ЦРУ расширенными полномочиями при осуществлении наступательных операций в киберпространстве, включая проведение операций по выводу из строя инфраструктуры противника. «Такие условия диктуют необходимость принятия защитных мер в соответствии с положениями Доктрины информационной безопасности Российской Федерации и российского законодательства», — сказал Храмов

Больше самостоятельности

Хотя критически важные российские инфраструктурные объекты отключены от Всемирной сети, это не является панацеей от зловредных действий американских хакеров, отмечает Леонид Савин. Тем более что атаки могут коснуться самых разных объектов российской экономики.

«Существуют серьёзные риски, так как у нас используется довольно много оборудования, произведённого на Западе», — заявил Савин, подчеркнув, что в западном программном обеспечении могут быть специально оставлены уязвимости, которые затем будут использованы иностранными спецслужбами.

Игорь Ашманов отметил, что зависимость российских компаний от иностранных поставщиков в информационной сфере вредит безопасности страны.

• Сетевые провода в серверной
• globallookpress.com

«У нас большая часть критической инфраструктуры и крупных промышленных производств работают на западном программном обеспечении, которое постоянно скачивает апдейты и управляется из облака, а обновление находится где-то за рубежом, и это главная проблема, — заявил RT Ашманов. — Кибертеррорист не нужен для того, что можно просто отключить рубильником. Нам надо обеспечивать импортозамещение, особенно в индустриальной, энергетической и транспортной области».

Ранее в российском Министерстве связи, как сообщает ТАСС, заявили, что «использование в энергетике отечественных интеллектуальных систем учёта, телекоммуникационного оборудования, компонентной базы и защищённых протоколов» может быть «страховкой» от атак хакеров.

«В руководстве России прекрасно понимают опасность взлома стратегических объектов, в число которых входят энергосистемы, — отмечает Александр Бражников. — Насколько могу судить, на отечественных энергостанциях существует дублирующая система, которая позволяет управлять процессами в ручном режиме. Она необходима именно в том случае, если отключатся автоматизированные системы. При этом на объектах энергетической инфраструктуры Запада больше полагаются на цифровые технологии. Машины практически полностью вытеснили человека. С одной стороны, это повышает производительность труда, уменьшает эксплуатационные затраты. Но с другой стороны, сложно сказать, справится ли персонал в США и ЕС с экстренной ситуацией. В этом отношении Россию можно назвать более защищённой страной».

Новый вирус

Новые вредоносные программы для масштабных кибератак стали использовать уязвимость цифровых телевизоров, сетевых видеокамер и других устройств интернета вещей, заявили в центре.

После попадания в открытый доступ исходного кода бот-сети Mirai породило разработку целого семейства вредоносных средств. «Версия, появившаяся в этом году, эксплуатирует уязвимости еще одного класса устройств интернета вещей: цифровых телевизоров, сетевых видеокамер и других», — отметил замглавы НКЦКИ.

На брифинге были приведены примеры устройства бот-сети Mirai с помощью телевизоров LG серии Supersign, беспроводной презентационной системы WePresent, сетевой видеокамеры D-Link, маршрутизаторов D-Link, ZyXEL, беспроводных точек доступа Netgear, ADSL точек доступа Netgear, беспроводных контролеров Netgear.

НКЦКИ был создан в сентябре 2018 года приказом директора ФСБ после указа президента РФ о создании Государственной системы обнаружения, предупреждения и ликвидаций последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА).

Деструктивные действия в информационном пространстве

США и их союзники наращивают усилия для деструктивных действий в информационном пространстве других стран. 

«Стремящиеся обеспечить мировое доминирование США и их союзники, с одной стороны, наращивают усилия для осуществления разведывательных и деструктивных действий в информационном пространстве других стран, а с другой объявляют Россию, Китай, Северную Корею и Иран основными источниками киберугроз», — сказал он.

По мнению Храмова, Вашингтон таким образом целенаправленно формирует медийную картину, «которая призвана оправдать в глазах мировой общественности любые последующие действия, в том числе силового характера, в отношении геополитических конкурентов».

Замсекретаря СБ РФ отметил, что результатом «искусственного нагнетания противостояния в информационной сфере» становится напряженность в международных отношениях, торможение развития мировой экономики из-за санкций и подрыв доверия к процессам цифровизации в целом. «В таких условиях не приходится удивляться линии государств на достижение цифровой самодостаточности. Она прямо вытекает из потребности обеспечить государственный суверенитет в цифровую эпоху», — заключил Храмов.

2) Старые логины

Отслеживайте и анализируйте количество входов в вашу сеть. Если вы заметили, что в нерабочее время выполняется много входов в систему или используются какие-то необычные шаблоны входа, насторожитесь. Это особенно актуально, если вход в систему осуществляется сотрудниками руководящего звена с высоким уровнем доступа в вашей сети. Киберпреступники могут находиться в других странах на другом конце света, чем может объясняться необычное время входа в систему. Также они стараются действовать, когда в офисе мало или вообще нет людей, которые могли бы заметить и остановить подозрительную активность.

Литература

на русском языке

• Овчинский В. С., Ларина Е. С. Кибервойны XXI века.О чём умолчал Эдвард Сноуден. — М.: Книжный мир, 2014. — 352 с. — ISBN 978-5-8041-0723-0.

на других языках

• Bodmer, Kilger, Carpenter, & Jones. Reverse Deception: Organized Cyber Threat Counter-Exploitation. — New York: McGraw-Hill Osborne Media, 2012. — ISBN 0-07-177249-9, ISBN 978-0-07-177249-5.
• Warf, Barney. A new frontier for political geography // Political Geography. — 2014.
• Martin W., Kaemmer E. Cyberspace Situational Understanding for Tactical Army Commanders (англ.) // Military Review : журнал. — 2016. — July-August. — С. 18—24.

Что такое целевая продолжительная атака повышенной сложности (APT)

АРТ-атака (Advanced Persistent Threat) – это целевая продолжительная атака повышенной сложности, задача которой является обнаружение на устройстве пользователя секретной, конфиденциальной или любой ценной информации и использование ее в интересах киберпреступников. Хакер проникает в вашу компьютерную сеть и проводит в ней много времени, отслеживая перемещение данных, действия основных пользователей и важную информацию. Злоумышленники делают все, чтобы остаться незамеченными, и могут использовать для этого сложные инструменты.

Эти атаки не являются случайными. Хакеры тщательное выбирают своих жертв. Ими обычно являются крупные компании или даже правительственные организации, которые имеют дело с сверхсекретными данными, например, военными и финансовыми вопросами или патентами.

Важно отметить, что хакеры могут инициировать атаки, используя методы тагетирования, которые не являются ни новыми, ни постоянно применяемыми. Некоторые злоумышленники жертвуют продолжительностью атаки ради ее скрытости в надежде на то, что тактика «необнаружения» поможет скрыть их действия в системе, что уменьшит необходимость в проведении продолжительных атак

Другие киберпреступники на начальном этапе атаки используют инструменты администрирования вместо новых специализированных инструментов. Совершенствование методов проведения атак подчеркивает важность использования проверенного и надежного программного обеспечения для обеспечения безопасности.

Высокоточные кибератаки

Эксперт подчеркнул, что «вредоносное программное обеспечение для компьютерных атак постоянно совершенствуется, но и методы противодействия тоже быстро развиваются». Пока, заметил он, «установился условный паритет между злоумышленниками и службами информационной безопасности».

«Однако наибольший общественный резонанс вызывают отдельные изощренные и целенаправленные атаки. Специалисты называют их АРТ-атаками (Advanced Persistent Threat — сложная постоянная угроза или целевая кибератака — прим. ТАСС). Их немного, — отметил Мурашов. — Тем не менее их последствия могут быть серьезными и затрагивать интересы миллионов людей. Противостоять таким атакам гораздо сложнее».

Сотрудничайте с компанией по кибербезопасности

Ваша организация имеет дело с важными данными? Вам нужна компания по кибербезопасности с опытом противодействия APT-атакам. Такая компания проанализирует ваши потребности, развернет защитное решение и будет активно отслеживать ваш цифровой отпечаток для обеспечения максимальной безопасности.

APT-атаки могут быть чрезвычайно разрушительными. Если вы считаете, что ваша компания находится в зоне риска, лучший способ уменьшить его — воспользоваться услугами проверенной компании по кибербезопасности. Ищите такую, которая предоставляет отчеты по анализу APT-угроз, а также поддержку, необходимую для их выявления и предотвращения.

Чистосердечные признания

Нашумевшая публикация The New York Times вышла 15 июня и вызвала реакцию в верхних эшелонах власти как России, так и Соединённых Штатов. Американский президент Дональд Трамп назвал публикацию ложной и обвинил журналистов в госизмене.

В свою очередь, пресс-секретарь президента России Дмитрий Песков отметил, что если какие-то американские ведомства всё же занимаются подобной деятельностью без ведома президента, то это свидетельствует «о гипотетической возможности… всех признаках кибервойны, кибервоенных действий в отношении России». По словам Пескова, «стратегические, жизненно важные области экономики (России. — RT) неоднократно подвергались и подвергаются кибератакам из-за рубежа», а США, несмотря на предложения президента Владимира Путина, не спешат откликаться на предложения по совместному противодействию киберпреступности.

Также по теме

«Фактически госизмена»: Трамп опроверг сообщения о кибератаках на российскую энергосистему

Президент США Дональд Трамп опроверг опубликованную в газете The New York Times информацию о якобы участившихся кибератаках…

Позже глава российской Службы внешней разведки Сергей Нарышкин сообщил, что российские спецслужбы осведомлены о планах стран Запада атаковать российскую инфраструктуру в киберпространстве.

В Министерстве энергетики РФ заявили журналистам, что «большинство критически важных субъектов энергетики подключены к государственной системе защиты» от кибератак.

Как ранее отмечали российские СМИ со ссылкой на заместителя директора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николая Мурашова, в 2018 году было зафиксировано более 4 млрд атак на российскую критически важную информационную инфраструктуру. Среди стран — источников угроз информационной безопасности России, по данным НКЦКИ, главную роль играют США.

О действиях в интернет-пространстве против России американские СМИ сообщают не первый раз. Так, в феврале текущего года The Washington Post заявила со ссылкой на свои источники об успешной кибератаке Агентства национальной безопасности США (АНБ) и Киберкомандования США против базирующегося в Санкт-Петербурге Агентства интернет-расследований, которое Штаты подозревают якобы во вмешательстве в президентские выборы 2016 года. Американские силовики официально не взяли на себя ответственность за кибератаку, но и не отрицали её.

«Мне кажется, что всем службам безопасности свойственно не распространяться о своей работе, так что широкая общественность не очень осведомлена. Поэтому мы особо и не представляем, насколько далеко это может зайти», — прокомментировал в интервью RT сообщения о возможных кибератаках США против России американский эксперт в области интернет-технологий Роджер Кэй.

• Джон Болтон
• Reuters

11 июня о намерении расширить «наступательные операции» в киберпространстве заявил советник президента США по вопросам национальной безопасности Джон Болтон.

Как отмечают эксперты, Вашингтон обладает внушительным опытом проведения подобных операций. В частности, в 2017 году The New York Times отмечала, что с 2014 года США проводили кибератаки против КНДР. В частности, были совершены диверсии на оборонных объектах Северной Кореи.

В свою очередь, бывший сотрудник АНБ Эдвард Сноуден ранее сообщал, что США проводили массовые взломы компьютерных сетей в Гонконге и материковом Китае.

Также, по данным The New York Times, США ранее применяли кибероружие против Ирана. В частности, Вашингтону приписывают использование вируса Stuxnet для атаки на ядерные центрифуги Ирана в 2009—2010 годах.

Обвинения во вмешательстве

Спецслужбы США инкриминируют России вмешательство в американский избирательный процесс в 2016 году. Расследованием этих якобы имевших место попыток влияния почти два года занимался спецпрокурор США Роберт Мюллер. В частности, он расследовал предполагаемый сговор между властями РФ и республиканцем Трампом. В итоге Мюллер признал, что никакого сговора не было. Трамп неоднократно отвергал подозрения в каких-либо неправомерных контактах с официальными лицами России в период избирательной кампании. Москва также много раз отвергала выводы о попытках повлиять на ход выборов в США.

Кибератаки, основанные на паролях

Своим успехом основанные на паролях атаки обязаны людям, использующим одинаковый пароль для всех сайтов и сервисов, поскольку брешь в безопасности одного сайта открывает двери для взлома других ресурсов. Как следствие, пользователи, применяющие одинаковые пароли в личных и рабочих аккаунтах, подвергают риску свои компании.

Многие организации требуют от сотрудников использовать большее количество сложных паролей, а также чаще менять их, однако это не останавливает работников от применения одинаковых паролей.

Вариантом защиты от такого вида угроз является использование методов аутентификации, не подразумевающих введения пароля.

Взаимодействие России и США

Россия и США взаимодействуют для оперативного решения отдельных вопросов в области информационной безопасности, в том числе политического характера. 

«Отдельное взаимодействие между нашими странами по этой теме ведется. Еще в 2013 году были сформированы механизмы взаимодействия по вопросам безопасности использования информационно-коммуникационных технологий. Созданные каналы связи позволяют оперативно решать конкретные вопросы в области информационной безопасности как политического, так и технического характера», — сказал Храмов.

По его словам, Россия готова к конструктивному сотрудничеству по этому направлению как в двустороннем, так и в многостороннем форматах, включая ООН и региональные площадки, в частности, ОБСЕ. «Все необходимые механизмы для этого существуют», — сказал замсекретаря СБ РФ.

Он в целом подчеркнул, что беспрецедентный рост угроз в информационной сфере диктует необходимость выстраивания постоянного межгосударственного диалога, в том числе между Россией и США, по всему спектру проблем в области информационной безопасности.