Злоумышленники впервые начали интересоваться покупкой баз данных, содержащих зашифрованные коды (хеш) паролей для идентификации на сайтах и сервисах, заметили эксперты DLBI. Речь в основном идет о данных госслужащих и сотрудников крупных компаний — они нужны для использования при взломах критической информационной инфраструктуры, полагают эксперты. Политика безопасности паролей в большинстве организаций и ведомств очень слабая, подчеркивают они: используются простые пароли, а также общие логины на подразделение, а их замена зачастую не происходит даже при увольнении сотрудников.
Рисунок: Виктор Чумачев, Коммерсантъ
Система мониторинга даркнета DLBI зафиксировала всплеск интереса злоумышленников к покупке баз данных, содержащих хеши паролей (зашифрованные коды, которые присваиваются пользователю и используются для идентификации) российских сервисов и сайтов. Об этом “Ъ” рассказали представители компании. В DLBI уточняют, что спрос на подобный сегмент наблюдается впервые и рост можно оценивать только с нулевой базы.
Эксперты DLBI проанализировали ресурсы, где идет обмен базами данных, и пришли к выводу, что целью сбора стало выявление логинов и паролей, принадлежащих госслужащим и сотрудникам крупных компаний для последующего использования их при взломах критической информационной инфраструктуры (ТЭК, финансовые организации, операторы связи и др.).
«Рост интереса к этим данным говорит о подготовке масштабной атаки на госсектор в ближайшее время»,— полагают в DLBI.
В частности, наличие актуальных паролей пользователей государственных информационных систем позволяет злоумышленникам успешно совершить атаку с повторным использованием (password reuse), когда полученная пара логин—пароль используется при доступе к другим аккаунтам жертвы — от почты до корпоративных онлайн-сервисов, например, к рабочему месту, пояснил основатель DLBI Ашот Оганесян.
За первое полугодие число кибератак в России в целом выросло в 15 раз, при этом на государственный сектор — в 17 раз. Так, например, в апреле хакеры взломали и опубликовали базу электронных писем Министерства культуры, администрации города Благовещенска и аппарата губернатора Тверской области объемом более 700 Гб, атака была совершена через почтовый сервер (см. “Ъ” от 14 апреля).
«В последнее время мы все чаще наблюдаем взлом государственных порталов, сайтов предприятий, ТВ-каналов и многое другое,— отмечает владелец Telegram-бота "Глаз Бога" Евгений Антипов.— В случае со взломом государственных сайтов речь идет, по сути, о социальной инженерии: злоумышленники получают доступ через аккаунты сотрудников ресурсов». Он также ожидает, что во втором полугодии тренд на взлом госсектора может усилиться.
Парольная политика в большинстве крупных компаний и особенно государственных ведомствах очень слабая, подчеркивает Ашот Оганесян:
«Используются простые пароли, не происходит их замена не только по графику, но и при увольнении сотрудников, а также используются общие логины и пароли подразделений».
Кроме того, анализ нескольких паролей одного пользователя с вероятностью более 70% позволяет сгенерировать практически все используемые им пароли, а затем использовать их при подборе, объясняет господин Оганесян.
В даркнете можно встретить сервисы по поиску интересующих строк, включая логины, email, телефоны, хеши паролей в собранных базах данных, подтверждает эксперт по кибербезопасности «Лаборатории Касперского» Сергей Щербель: «Чем больше утекших баз попадает в руки злоумышленников и чем больше данных будет найдено по отдельно взятому пользователю, тем более эффективным становится этот инструмент при подготовке кибератак».
В Group-IB именно продаж подобных баз с хешем паролей пока не наблюдают, но отмечают, что в целом количество баз данных российских организаций, выставленных на продажу и в открытый доступ, растет: только с июня выставлено около 100 таких предложений. В компании говорят, что такой всплеск наблюдают впервые.