Главная » Происшествия » ФСБ на страже сетевой безопасности. Что атакуют хакеры

ФСБ на страже сетевой безопасности. Что атакуют хакеры

ФСБ на страже сетевой безопасности. Что атакуют   хакеры

ФСБ на страже сетевой безопасности. Что атакуют   хакеры

Госсистема обнаружения, предупреждения и ликвидации последствий кибератак на российские информационные ресурсы выявила свыше четырёх миллиардов компьютерных атак на информационную систему России в 2018 году. В 2017-м было зафиксировано 2,5 миллиарда подобных атак. Лайф разбирался, кто стоит за атаками и как спецслужбы борются с хакерами.

По словам заместителя директора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николая Машурова, кибератаки — "оборотная сторона тотальной информатизации".

Именно специалисты НКЦКИ, созданного в прошлом 2018 году приказом директора ФСБ России Александра Бортникова, и занимаются тем, что обнаруживают и ликвидируют компьютерные атаки на предприятия, обеспечивающие национальную безопасность России — как военную, так и энергетическую, промышленную, продовольственную и банковскую. К тому же НКЦКИ координирует госорганы и компании с собственными IT-системами из сфер энергетики, транспорта, связи, финансовых рынков, включая банки, из промышленности, в том числе оборонной.

Эти и другие сферы критической инфраструктуры перечислены в законе "О безопасности критической информационной инфраструктуры", — рассказывает Лайфу собеседник из спецслужб, курирующий деятельность НКЦКИ в одном из федеральных министерств.

Для предупреждения киберугроз НКЦКИ вправе запрашивать информацию у любых организаций, в том числе иностранных. А вся полученная информация будет обрабатываться сотрудниками центра совместно со специалистами Центра защиты информации и спецсвязи ФСБ РФ, который и курирует работу НКЦКИ, — рассказывает собеседник Лайфа из другой спецслужбы.

Как отмечают собеседники Лайфа в российских спецслужбах, последние несколько лет, а особенно в прошлом 2018 году, когда на территории РФ проводился чемпионат мира по футболу, иностранные спецслужбы пытались провести десятки тысяч кибератак на финансовую систему России сразу в нескольких десятках городов. Кибератаки сопровождались рассылкой сообщений и публикациями в блогах информации провокационного характера.

ФСБ на страже сетевой безопасности. Что атакуют   хакеры

По данным Лайфа, российские спецслужбы вполне готовы к защите информационной инфраструктуры России.

Ведь критическая информационная инфраструктура (КИИ) состоит из сотен информационных систем, связанных с госведомствами, банками и предприятиями. Это могут быть системы автоматического управления, например на электростанциях. Некоторые имеют выход в Интернет, — сообщил Лайфу источник в спецслужбах.

Есть целый перечень объектов инфраструктуры, которые Совет безопасности РФ считает важными для страны: это заводы, электростанции, банки. В нём более ста страниц, и он засекречен. По словам источника Лайфа, в засекреченном списке все те компьютерные системы, вмешательство в которые может повлечь серьёзные последствия в масштабах страны: нарушение процессов госуправления, ухудшение обороноспособности и национальной безопасности, крупный ущерб, утечку информации или человеческие жертвы.

По словам же директора по методологии и стандартизации компании Positive Technologies Дмитрия Кузнецова, работы у сотрудников спецслужб и привлечённых IT-специалистов сейчас достаточно.

Одних только федеральных ведомств в нашей стране больше семи десятков, а ведь есть ещё региональные — каждая область и республика имеют свои базы данных, сайты, локальные ресурсы. В каждой республике у местных полицейских, пожарных, судов тоже есть свои ресурсы, работающие в поддомене gov.ru, их тоже следует защитить. Всего сайтов, работающих в зоне gov.ru и поддоменах, больше сотни. При этом собственно сами сайты — не самое важное, куда опасней, если хакер получит доступ к системам автоматического управления, например, железной дорогой, — рассказывает Дмитрий Кузнецов.

Если хакер доберётся до серверов системы управления движением поездов или до контроллеров электрической подстанции, то даже не умышленные, а просто неосторожные его действия могут привести к аварии и даже гибели людей, — говорит эксперт.

Москвичи ещё помнят, как авария на одной лишь подстанции "Чагино" привела к масштабному блэкауту в Центральном регионе России и едва не закончилась катастрофой на Московском НПЗ. А теперь представьте, что может целенаправленно натворить "боевой хакер" из спецподразделений, которые сейчас создаются в армиях крупнейших государств, получи он доступ к современной цифровой подстанции, — отмечает Дмитрий Кузнецов.

В международной компании, специализирующейся на предотвращении кибератак и разработке продуктов для информационной безопасности Group-IB, Лайфу заявили, что полностью поддерживают деятельность Национального координационного центра по компьютерным инцидентам (НКЦКИ).

ФСБ на страже сетевой безопасности. Что атакуют   хакеры

Централизация и корреляция данных — это хороший способ обнаруживать и предотвращать киберпреступления на этапе их подготовки, — заявили Лайфу в Group-IB.

Собеседник из Group-IB напомнил корреспонденту Лайфа о последних нашумевших атаках на объекты критической инфраструктуры в других странах.

Несколько недель назад в Венесуэле блэкаут привёл к коллапсу: без света осталось 80% территории страны. Министр информации Венесуэлы Хорхе Родригес заявил, что причиной масштабного сбоя стала кибератака с территории США на автоматическую систему контроля ГЭС "Гури".

Что стало причиной блэкаута, должны выяснить технические специалисты. Однако криминалисты Group-IB уже сейчас, если потребуется, готовы подключиться к расследованию. Одно ясно уже сейчас: энергетический сектор находится в группе риска, — рассказывают в Group-IB.

Как отметили эксперты Group-IB в беседе с Лайфом, именно объекты критической инфраструктуры — атомные электростанции, плотины, аэропорты, магистральные сети, водоканалы, хладокомбинаты, транспортные объекты — становятся мишенью хакеров. Им нужен только приказ, чтобы вывести их из строя.

Энергетический сектор — первый в группе риска. — Не случайно ещё в октябре прошлого года в отчёте Hi-Tech Crime Trends 2018 наши эксперты предупреждали, что энергетические объекты останутся главной мишенью групп, нацеленных на саботаж и диверсии, — говорят специалисты Group-IB.

Так, например, одной из наиболее серьёзных угроз для объектов критической инфраструктуры остаётся инструмент Industroyer, с помощью которого в декабре 2016-го были выведены из строя объекты энергетической сети Украины. В 2017 году этот инструмент был подробно описан компанией ESET, а его создание связали с группой BlackEnergy. Особенностью Industroyer является возможность удалённого управления remote terminal units (RTU), которые отвечают за физическое размыкание/замыкание сети. Фактически речь идёт о кибероружии, которое позволит киберармиям оставлять без света и воды целые города, — отмечает эксперт Group-IB.

Специалисты вспоминают, что первая кибератака на критическую инфраструктуру была предпринята спецслужбами США ещё в 1982 году, до появления Интернета. — Тогда группа хакеров смогла установить троян в SCADA-системе, которая контролировала работу сибирского нефтепровода, проходившего по территории СССР, что привело к мощному взрыву. Атака была организована ЦРУ, хотя об этом не было известно до 2004 года, когда бывший секретарь Министерства обороны США и советник президента США Рональда Рейгана Томас Рид опубликовал свою книгу At the Abyss: An Insider’s History of the Cold War, — рассказали Лайфу в российской спецслужбе.

ФСБ на страже сетевой безопасности. Что атакуют   хакеры

А уже в 1999 году хакеры нарушили работу систем безопасности российской компании "Газпром".

С помощью инсайдера они использовали троян, чтобы иметь возможность управлять SCADA-системой, контролирующей подачу газа. К счастью, это не привело к серьёзным последствиям, а нормальная работа системы была восстановлена в кратчайшие сроки, — отметил в разговоре с Лайфом эксперт по кибербезопасности.

Между тем в компании Group-IB отмечают, что собственные киберармии и кибероружие создают многие страны: США, Китай, Северная Корея, Пакистан, Россия, Украина, Израиль, Великобритания, Франция, Индия. — В топ-3 стран самых активных проправительственных хакерских групп входят Китай, Северная Корея и Иран. В отчёте Group-IB Hi-Tech Crime Trends 2018 мы назвали порядка 40 активных групп, но их гораздо больше, — заявили Лайфу в Group-IB.

Но, как отмечают эксперты, создать кибероружие под силу сейчас не только государственным структурам, но и даже небольшим хакерским группам.

В руки киберпреступников в результате утечек попадают хакерские инструменты, разработанные по заказу спецслужб. Например, те, кто запустил шифровальщик WannaCry, использовали его в связке с кибероружием — EternalBlue, эксплойтом Агентства национальной безопасности (АНБ) США, который [предоставили] в открытый доступ хакеры из группы Shadow Brokers. С помощью ещё одного из засвеченных Shadow Brokers инструментов АНБ — бэкдора DoublePulsar, предназначенного для внедрения и запуска вредоносных программ, злоумышленникам удалось заразить более 47 000 компьютеров OC Windows в США, Великобритании, на Тайване, — отмечает эксперт по кибербезопасности.

ФСБ на страже сетевой безопасности. Что атакуют   хакеры

В отчёте Group-IB, посвящённом атакам на критическую инфраструктуру, делается неутешительный вывод: уникальный ландшафт APT-угроз (англ. Advanced Persistent Threat — "развитая устойчивая угроза", целевая кибератака), характерный для каждого региона, постоянно меняется, хакеры стараются пользоваться широко распространёнными инструментами, в том числе для тестов на проникновение, что затрудняет работу исследователей.

Между тем Генпрокуратура России составила портрет типичного российского хакера. Это мужчина 30–35 лет, у которого не обязательно есть специальное техническое образование, — таков типичный хакер в России.

Сложившийся образ хакера из фильмов неверен. Наша статистика свидетельствует, что человек, совершающий подобное преступление, хорошо подкован в технических вещах. Это человек 30–35 лет, который даже не всегда имеет техническое образование, — отмечает официальный представитель Генпрокуратуры РФ Александр Куренной.

Такие преступники часто используют так называемый DarkNet (скрытая, полностью анонимная сеть интернет-соединений, существующая параллельно обычному Интернету), чтобы покупать технику или личную информацию. Это стал теперь более технический способ преступлений, чем интеллектуальный, — отмечает Куренной.

По данным Генпрокуратуры, в прошлом году в России было зарегистрировано более 140 тысяч преступлений, совершённых с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации.

Источник

Прокрутить до верха
Adblock detector