Кто стоял за кибератакой на сибирские СМИ, и с какой целью она проходила?

15 мая ряд информационных порталов Новосибирской, Омской, Томской области, Алтайского края, Хакасии и других сибирских регионов были атакованы группой хакеров. Сайты были перегружены DDoS-атаками, из-за чего долгое время оставались недоступными. Почему были атакованы именно СМИ, почему именно сейчас, кто за этим может стоять, и стоит ли ждать повторений подобных атак – об этом и многом другом «Континенту Сибирь» рассказал один из ведущих участников форума Positive Hack Days 11, директор центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» ВЛАДИМИР ДРЮКОВ.

– Владимир, в последние месяцы иногда создается ощущение, что хакерство как способ заработка материальных благ постепенно смещается в сторону «идейного хактивизма», где цель номер один – это уже не поживиться за счет жертвы, а сделать так, чтобы этой жертве было хуже. Как в недавней атаке на региональные СМИ. Разделяете ли вы этот тезис?

– Скорее нет, чем да. Вопрос на самом деле очень сложный, и хакер, ломающий компанию, в любом случае получит свои выгоды. Вопрос в том, какие именно и каким способом. Можно с абсолютной уверенностью сказать, что атака на СМИ была централизованной и целенаправленной – об этом говорит в том числе Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ФСБ. Атаки, как правило, идут в несколько этапов: сначала DDoS, перегружающий работу сайта, затем волна шифровальщиков, а потом может быть выкладывание информации, полученной в ходе утечек. Сейчас бьют не по конкретным целям, а по площадям, не отвлекаясь на отдельные отрасли, политические позиции и так далее. Хактивистам интересно все. И никто не знает, для чего им нужна украденная информация – для продажи или просто для выброса в публичное пространство. Что касается шифровальщиков, то раньше злоумышленники, если требовали выкуп и не получали его, то зачастую просто махали на жертву рукой. Сейчас среди них стало модным отчитываться о своем очередном «достижении» – поэтому, как правило, украденные данные выкладываются в публичное поле. Мол, смотрите, кого я еще взломал. Раньше хакерам было нелегко монетизировать утечки. Сегодня монетизация отошла на задний план, они просто громят все, что попадается им на пути, на большом полигоне под названием Россия.

– Можно ли защититься от подобных активистов, внедрившись в их закрытые сообщества в том же Telegram, чтобы заранее узнать о планах их действий?

– Сомнительно. Если до начала 2022 года, как показывает опыт, в подобных комьюнити было процентов 90 вранья, то сейчас минимум 98%. Причем касается это не только планов на будущие атаки, но и отчеты о совершенных – проще говоря, из пятидесяти сообщений о взломах и сливах правдивое только одно. Пиар информационной войны сейчас сильно превосходит реальные «достижения» злоумышленников. Тем не менее, роль подобных сообществ нельзя недооценивать. Тренд на идейный хактивизм никто не отрицает – сегодня в хакерских чатах идет массовое вовлечение рядовых участников тех же DDoS-атак. Открытым текстом пишут: хотите навредить злой российской корпорации – приходите, мы всему вас научим, и нужные инструменты дадим… И приходят.

– Мне казалось, что ботнеты обычно состоят из «недобровольных» участников, которые сами об этом не подозревают – например, зараженных вирусами. А теперь, значит, они сами превращаются из пострадавших в, откровенно говоря, соучастников преступления?

– Ботнеты из зараженных устройств – это было раньше. Сейчас хакеры действительно все чаще составляют свои «армии» из добровольцев. И тому есть ряд причин. Минцифры, изучив ландшафт угроз, поняла, что абсолютное большинство атак идет из-за рубежа. И если вовремя отсечь по нужным направлениям международный трафик, атака быстро захлебывается. А размер внутрироссийских ботнетов значительно скромнее. Россия в принципе не может сгенерировать терабиты в секунду. Поэтому «международники» ищут способы, с одной стороны, собрать ресурс со всего мира, с другой, как-то обойти защиту на границе. Способов немало. Это может быть как подмена IP-адресов или целенаправленное заражение российских систем, так и вербовка добровольцев внутри страны. Да, такие тоже есть. И да, если они сами вызываются поучаствовать в таком деле, если ставят на свои компьютеры такого рода софт… Они с точки зрения права становятся соучастниками преступления.

– Каким образом можно использовать российских пользователей для проведения атак без их согласия? Можете привести примеры?

– Недавно коллеги из экосистемы Сбербанка поделились довольно эксклюзивной историей с одной из их онлайн-библиотек фильмов. Хакер пролез на сайт и вписал в код видеоплеера несколько новых команд, в результате чего каждый, кто пользовался этим плеером, включался в ботнет. То есть ничего не подозревающие люди вечером включали фильмы и одновременно подключались к DDoS-атаке. Но это, повторюсь, классический вариант, без ведома самого пользователя.

– С февраля текущего года многие отметили кратный рост спроса в России на VPN-сервисы. Повлияло ли это как-то на работу хакеров?

– Принципиально – нет, не повлияло. VPN хакеры использовали всегда, однако я бы хотел напомнить одну простую поговорку: если пользователь не платит за услугу, значит, покупает не он. Значит, покупают его. Нужно помнить об этом, подключаясь к бесплатному VPN. Я даже предположить не могу, какие ваши данные собирают подобные сервисы и для чего их потом используют.

– И все же – почему атаке подверглись именно СМИ?

– Давайте начистоту. СМИ – одна из тех отраслей, которая считала, что уж ее-то точно никто не атакует. Одна из тех, кто меньше всех заботился об информационной безопасности. Поэтому для массовой атаки, где количество важнее качества, выбрать именно такую цель было абсолютно логично. Далее, как уже было сказано выше, сейчас огласка зачастую важнее самого действия. А здесь она происходит в автоматическом режиме – атака на информационный сайт с хорошей аудиторией в любом случае будет замечена тысячами пользователей, даже если продлится совсем недолго. И другие СМИ вряд ли останутся в стороне, заметив, что один из конкурентов «умер» или, например, на его странице появилась какая-то картинка, за которую можно привлечь к ответственности.

– Есть варианты, как хакеры смогли «накрыть» всех разом?

– Это можно сделать, например, через какой-нибудь веб-сервис – например, для подсчета входящего трафика или для размещения баннерной рекламы – которым пользуются многие информационные порталы. Даже если само СМИ позаботится об информационной безопасности, в этой стене можно найти маленькую незапертую калитку, в которую заходит, условно говоря, регулярно приходящий дворник – то есть подрядчик.

– Можно ли как-то монетизировать подобный инфошум?

– Можно – разными способами. В основном подобные акции являются работой на бренд – это видно на примере «Анонимуса», которые изначально подавали себя как политически немотивированных. Сейчас многие считают иначе. Или еще вспомним прошлогодний кейс от группировки Darkside, взломавшей американскую трубопроводную систему Colonial Pipeline – для них главной целью было показать, что вот такая крупная компания в принципе может быть взломана. Рейтинг компании летит вниз, рейтинг хакеров растет – среди своих, по крайней мере. Многие сегодня работают именно на это.

– Что может грозить жертвам подобных атак среди средств массовой информации?

– Если дойдет до третьей фазы – то есть, разглашения – и если там окажутся чужие персональные данные, то это 137 статья УК – «Нарушение неприкосновенности частной жизни». Дефейс, даже если он выполнен без ведома владельца сайта, может быть квалифицирован как нарушение закона №32-ФЗ, который действует с марта. И еще не стоит забывать об изданном 1 мая указе президента «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» – но это касается государственных СМИ, которые теперь обязаны сразу сообщать о факте взлома. Но я надеюсь, что после того, как указ заработает, люди, наконец, станут относиться к информационной безопасности не как к проекту из серии «выполнил и забыл» (или, еще хуже «сделал для галочки»), а как к процессу, который надо проводить так же регулярно, как, например, уборку. Грустно видеть, как много организаций, попавших под действие этого закона, до сих пор не изжили такие детские болячки.

– Стоит ли ожидать повторения подобных акций?

– Я скажу просто: поводов расслабляться пока нет.