Хакеры 38 тыс раз атаковали транспортную инфраструктуру ЧМ-2018

Хакеры 38 тыс раз атаковали транспортную инфраструктуру ЧМ-2018

Хакеры 38 тыс раз атаковали транспортную инфраструктуру ЧМ-2018

Специалисты компаний Positive Technologies и «ЛАНИТ Северо-Запад» обеспечили защиту информационных ресурсов АНО «Транспортная дирекция — 2018» на чемпионате мира по футболу 2018 года. В число защищаемых объектов также вошли веб-ресурсы и мобильные приложения, отвечавшие за бесплатное перемещение болельщиков в города-организаторы турнира по российским железным дорогам, регистрацию компаний-перевозчиков для работы в городах, принимающих матчи чемпионата, за набор волонтеров для встречи болельщиков.

«Чемпионат мира стал колоссальным проектом с точки зрения созданной IT-инфраструктуры. Широкое применение онлайн-сервисов сделало его максимально удобным для болельщиков и СМИ, но вместе с тем и увеличило число возможных точек входа для атакующих, — отмечает Алексей Новиков, руководитель экспертного центра безопасности Positive Technologies (PT Expert Security Center). — Задолго до турнира мы начали отмечать повышенный интерес киберпреступников к площадкам, связанным с мероприятием. Поэтому для того, чтобы исключить возможность какого бы то ни было влияния на запланированное перемещение болельщиков, риски транспортного коллапса или значительного репутационного ущерба, "Транспортной дирекции — 2018" необходимо было обеспечить эффективную защиту своих ресурсов».

На старте проекта, с февраля по март 2018 года, специалисты Positive Technologies по тестированию на проникновение проанализировали работу всех созданных веб- и мобильных приложений и настройку сетевого и серверного оборудования. По итогам аудита были сформированы рекомендации, выполнение которых позволило значительно повысить уровень защищенности инфраструктуры и исключить возможность возникновения критически опасных инцидентов, связанных с компрометацией ИС, получением несанкционированного доступа с использованием уязвимостей веб-приложений, с наличием паролей в открытом виде, хищением данных пользователей или заражением их устройств вредоносным ПО.

На втором этапе был построен контур безопасности, ядром которого стала система MaxPatrol SIEM. Это позволило оперативно выявлять критически значимые события информационной безопасности и реагировать на угрозы, ликвидируя риски, а также — в случае обнаружения SIEM-системой потенциально опасных действий — блокировать их источник на межсетевом экране. Кроме того, для анализа и контроля трафика уровня приложений был использован продукт PT Application Firewall. Это позволяло в случае обнаружения потенциально опасных действий блокировать их источник. В MaxPatrol SIEM поступала информация из операционных систем, СУБД, серверов и ПО, используемых в рамках защищаемой инфраструктуры.

Информационные системы «Транспортной дирекции» располагались в трех дата-центрах — два в Москве и один в Новосибирске. Компоненты средств защиты были установлены и настроены во всех ЦОД, с учетом территориальной распределенности архитектуры.

Для поддержки созданного контура ИБ с мая 2018 года специалисты подразделения PT Expert Security Center компании Positive Technologies осуществляли мониторинг защищенности всей инфраструктуры в режиме 24/7. Автоматические средства защиты блокировали потенциальные угрозы. PT Application Firewall в автоматическом режиме заблокировал более полумиллиона угроз за весь период работы, а правила корреляции MaxPatrol SIEM сработали в общей сложности несколько десятков тысяч раз. При этом число выявленных и заблокированных критически опасных атак, направленных на веб-порталы информационных систем (в частности, SQL Injection, OS Commanding, Shellshock) составило 38 641, а критически значимых событий информационной безопасности, связанных с защищаемой инфраструктурой (в том числе — выполнение подозрительных команд ОС, попытки неавторизованного доступа, изменения параметров), — 22 453.

Под контролем специалистов PT Expert Security Center с мая по июль PT Application Firewall в автоматизированном режиме заблокировал около 60 000 IP-адресов, с которых осуществлялись попытки нелегитимных воздействий, целью которых была компрометация веб-ресурсов. Общее число IP-адресов, с которых была зафиксирована подозрительная активность, составило 150 тысяч. Основными регионами, к которым имели привязку IP-адреса, с которых выполнялась подозрительная активность, стали Северная Америка (44,5%) и страны Европы (33,9%); на страны Азии пришлось всего около 3,3% и еще 18,3% IP-адресов не имели привязки к региону.

С некоторых адресов фиксировались действительно уникальная активность. Например, были обнаружены попытки автоматизированного поиска новых доступных билетов (возможно с целью их последующей перепродажи). В ходе этой атаки злоумышленник пытался изменить свое поведение (паттерны, по которым он мог быть заблокирован) таким образом, чтобы избежать повторной автоматической блокировки при использовании другого IP-адреса. Для выявления новых векторов хакерского воздействия на информационные системы эксперты выполняли постоянный мониторинг трафика и событий информационной безопасности, в результате которого разрабатывались новые правила автоматизированной блокировки и привила нотификации. Подобные нетиповые воздействия на информационные системы были выявлены 26 раз, а блокировки вручную для адресов, с которых было выявлено большое количество потенциально опасных атак, были установлены 67 раз.

За все время мониторинга правила корреляции, настроенные в SIEM-системе и требующие более пристального внимания специалистов PT ESC, сработали 22 453 раза. Эти события верифицировались в ручном режиме по заранее составленным планам реагирования на инцидент. При необходимости для выяснения обстоятельств произошедших событий проводился дополнительный анализ и взаимодействие с разработчиками и администраторами систем. Такая эскалация потребовалась в 21 случае (ни в одном из них не было выявлено проникновения злоумышленников в защищаемый контур). Потенциальные злоумышленники демонстрировали явный интерес к сетевой инфраструктуре ЧМ-2018: во время чемпионата было зафиксировано несколько целенаправленных сканирований инфраструктуры из интернета на наличие только что появившихся критически опасных уязвимостей в сетевом оборудовании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники начали атаковать абитуриентов, поступающих на платные отделения

Мошенники начали активно использовать сезон поступления в вузы, предлагая абитуриентам, претендующим на платные места, заранее внести оплату за обучение. Под предлогом «гарантированного поступления» злоумышленники выманивают деньги у поступающих, вводя их в заблуждение и обещая помощь в зачислении.

О появлении такой схемы сообщили эксперты, опрошенные «Известиями». Главный эксперт Московского антикоррупционного комитета, доцент кафедры политического анализа и социально-психологических процессов РЭУ им. Г. В. Плеханова Александр Перенджиев связал эту активность с сокращением числа платных мест во многих вузах и ростом конкуренции среди абитуриентов.

Существование подобной схемы подтвердили изданию основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян и эксперт проекта «За права заемщиков» и платформы «Мошеловка» Александра Пожарская. Она отметила, что мошенники давно используют схожие схемы, включая продажу дипломов, сертификатов и «услуг» по гарантированному поступлению. Также применяются различные методы социальной инженерии, в том числе фишинг и телефонные звонки с целью сбора личных данных.

По словам Пожарской, злоумышленники могут даже показывать поддельные приказы о зачислении или предлагать внести плату за якобы дополнительный набор. Такая практика используется и при «продаже» бюджетных мест.

В свою очередь, Александр Перенджиев напомнил, что оплата обучения осуществляется исключительно после подписания официального договора и только по реквизитам, указанным на сайте университета. Это — необходимое условие для возврата средств в случае расторжения договора.

«Все решения в вузах принимаются открыто, а любые попытки «ускорить процесс» за деньги — это обман», — подчеркнула Александра Пожарская.

Как отметил Ашот Оганесян, чаще всего жертвами мошенников становятся абитуриенты тех вузов, где списки поступающих публикуются с открытыми ФИО. Там, где используются обезличенные идентификаторы, злоумышленникам сложнее получить доступ к данным, и активность снижается.

Тем не менее, как предупредил руководитель направления по детской онлайн-безопасности в «Лаборатории Касперского» Андрей Сиденко, в зоне риска остаются и уже зачисленные студенты. Под видом сотрудников деканата или бухгалтерии злоумышленники могут требовать оплату «дополнительных сборов» или приглашать в фейковые группы в мессенджерах.

Чтобы избежать обмана, эксперты рекомендуют всегда сверять информацию на официальных сайтах вузов — особенно когда речь идёт о платежных реквизитах и сроках оплаты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru