В 2019 году на 40% выросли попытки получить контроль над инфраструктурой

Олег Иванов 30 Марта 2020 - 18:18

...

За 2019 год объем киберинцидентов вырос на 30%, при этом доля внешних инцидентов увеличилась с 54% до 58% – таковы данные отчета Solar JSOC Security Report компании «Ростелеком-Солар». Всего за прошлый год центр мониторинга и реагирования на киберугрозы Solar JSOC выявил и отразил свыше 1,1 млн атак, нацеленных на инфраструктуру более 100 крупнейших государственных и коммерческих организаций из различных отраслей экономики.

В 2019 году аналитики Solar JSOC впервые выделяют резкий рост (на 40%) атак, направленных на получение контроля над инфраструктурой, на фоне 15% снижения числа атак, направленных на кражу денежных средств. В предыдущие годы картина была прямо противоположной: количество атак с целью хищения денег росло на десятки процентов ежегодно, интерес же злоумышленников к инфраструктуре как таковой был менее активным. Текущую ситуацию эксперты связывают с тем, что средний уровень защищенности банков, которые чаще всего и служили мишенью киберперступникам, существенно возрос. Это заставляет хакеров искать более уязвимые цели. Все более привлекательными для них становятся автоматизированные системы управления технологическими процессами (АСУ ТП) предприятий и закрытые сегменты сети.

«Длительное и незаметное присутствие в инфраструктуре организации позволяет злоумышленникам детально исследовать ее внутренние процессы, получить более глубокий доступ к ИТ-системам и контроль над ними. В дальнейшем хакеры монетизируют эти точки присутствия, продавая их на черном рынке, шантажируя организацию-жертву или занимаясь конкурентной разведкой. Кроме того, в последние годы атаки все чаще направлены на промышленные и энергетические объекты, а также органы госвласти, контроль над инфраструктурой которых критичен для страны в целом», – рассказал Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар».

На фоне роста объемов внешних атак эксперты Solar JSOC отмечают и позитивный тренд: организации стали уделять больше внимания защите своей информационной инфраструктуры. В том числе благодаря этому впервые за 5 лет снизилась доля критичных инцидентов (с 19% до 16%).

«Динамика закрытия уязвимостей в России существенно выше, чем в других странах – российские серверы составляют менее 5% от уязвимых в мире. Например, за 2019 год количество российских серверов на периметре, подверженных уязвимости EternalBlue, сократилось более чем в пять раз – с 260 до 49,7 тысяч единиц. Тем не менее, примерно 40% из тех серверов, которые все еще остаются уязвимыми, принадлежат крупным коммерческим или государственным компаниям», – подчеркнул Владимир Дрюков.

Как и прежде, самыми популярными методами взлома корпоративных инфраструктур остаются заражение вредоносными программами (вирусы, трояны, шпионское ПО и т.п.) и использование уязвимостей в веб-приложениях (веб-порталах, электронной почте, личных кабинетах и т.д.). Частота их использования выросла на 11% и 13% соответственно. Но если в 2018 году основной функциональностью вредоносов было шифрование данных, то в 2019 – добыча криптовалюты.

DDoS-атаки демонстрируют существенный технологический прогресс. В 2019 году для проведения DDoS злоумышленники на 40% чаще использовали IoT-ботнеты – сети из зараженных «умных» устройств. Как правило, они слабо защищены и легко взламываются. С ростом количества IoT-устройств в мире, DDoS-атаки будут все дешевле и доступнее, а компании могут уже в ближайшее время столкнуться с новым всплеском этой угрозы, предупреждают эксперты Solar JSOC.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: