На конференции Kaspersky Industrial Cybersecurity 2022 Алексей Новиков, сотрудник НКЦКИ, назвал основные типы кибератак, с которыми столкнулись российские компании в 2022 году, и оценил то, как отрасль противостояла угрозам. Проанализируем, насколько сильное влияние оказали эти атаки на организации в России.
- Введение
- DDoS
- Атаки на информационные ресурсы (СМИ, госорганы)
- Уход иностранных компаний
- Взломы
- Выводы
Введение
Алексей Новиков, сотрудник Национального координационного центра по компьютерным инцидентам, рассказал об основных типах кибератак, с которыми пришлось столкнуться российским компаниям на объектах критической информационной инфраструктуры РФ в 2022 году. Доклад был представлен на 10-й международной конференции Kaspersky Industrial Cybersecurity Conference 2022, проходящей в эти дни в Сочи.
Как отметил Алексей Новиков, поток начавшихся после 24 февраля атак оказался настолько шквальным, что в НКЦКИ даже всерьёз обсуждался вопрос об отключении российской инфраструктуры от мирового интернета. Но принятия этого решения удалось избежать.
DDoS
Основная доля кибератак пришлась на DDoS. Они начались с первого дня и продолжаются до сих пор. Атакующей стороне удалось очень быстро построить эффективный механизм планирования и организации атак с применением инструментов, которые прежде были доступны только на коммерческой основе, а теперь распространялись бесплатно.
Запущенная DDoS-активность позволила привлечь к участию большое количество хактивистов. Хотя атаки не отличались сложностью, их главной силой была массовость.
Алексей Новиков отметил масштабное развёртывание инфраструктуры для реализации DDoS-атак, появление многочисленных сайтов-редиректов, применение управления через скрипты. От хактивистов требовались только самые примитивные действия.
Для защиты от DDoS НКЦКИ выявил телеграм-каналы управления. Это позволяло своевременно узнавать о планах предстоящих атак и хотя бы частично готовиться к их отражению.
Рисунок 1. Алексей Новиков
В целом защищённость российской инфраструктуры от DDoS-атак, по оценкам Алексея Новикова, оказалась недостаточной. Многие компании не считали эту угрозу опасной, мирились с недоступностью своих интернет-ресурсов в течение времени проведения DDoS-атаки (час-полтора). Около 70 % компаний, оказавшихся под ударом, ограничивались покупкой отфильтрованного трафика у интернет-провайдера. Самым действенным инструментом защиты были признаны брандмауэры для веб-приложений (WAF), но совсем мало компаний могли применить их в своей инфраструктуре.
Алексей Новиков отметил также новую возможность блокировки DDoS-трафика на уровне сервиса, выстроенного Роскомнадзором для прекращения доступа к запрещённым сайтам. По его оценкам, российские компании могут обращаться в НКЦКИ и заказывать блокировку DDoS через этот сервис. Однако время срабатывания этой услуги — один час, что сопоставимо со средней длительностью атаки.
В то же время злоумышленники стали использовать российские прокси-серверы, что затрудняет противодействие новым атакам.
Атаки на информационные ресурсы (СМИ, госорганы)
Атаки этого типа были связаны прежде всего с дефейсами титульных страниц, препятствованием трансляциям, выводом из строя инфраструктур компаний и использованием зависимостей программного кода.
Основные проблемы со СМИ были вызваны низким уровнем защищённости их информационных систем, вплоть до использования односимвольных паролей. Встречались также проблемы с кодеками. Из-за ограниченности их выбора встречались подмены, а быстрое переключение на равноценный кодек было невозможным.
Уход иностранных компаний
Из-за ухода иностранных вендоров произошла потеря функциональности ряда сервисов, в том числе ключевых элементов инфраструктур. Отсутствие обновлений, устраняющих уязвимости, также приводило к появлению атак уже после выявления новых угроз. Наблюдалось внедрение вредоносного кода в обновления ПО, в том числе опенсорсного. В один из таких модулей был вставлен объект запускающий вредоносное шифрование, что имело пагубные последствия.
После этого инцидента ФСТЭК России разослала уведомление, предписывающее установить запрет на автоматическое обновление из-за угрозы проникновения вредоносных программ. Но многие компании перестали обновлять свои системы вовсе. В результате одна из новых уязвимостей, связанная с Microsoft Exchange, осталась незакрытой даже после выпуска обновления. После этого ФСТЭК России пришлось срочно обновлять введённые ею же самой правила установки обновлений, которые теперь учитывают критическую значимость выявленной ошибки, особенности инфраструктуры и другие параметры.
Взломы
Сюда относятся утечки данных, вредоносное шифрование, атаки на цепочки поставок. Подобные операции являются наиболее опасными, потому что украденные данные становятся отправной точкой для новых инцидентов и дальнейших атак, отметил Алексей Новиков.
Главными причинами взломов названы наличие старых уязвимостей, небрежность в обращении с учётными записями и неспособность части компаний выявить вредоносную активность в своей инфраструктуре.
Выводы
По мнению Алексея Новикова, выявленные в 2022 году инциденты показали необходимость наращивания ИБ в компаниях. Он отметил, что полученный опыт противостояния со злоумышленниками должен поднять уровень защищённости организаций.
