Российские компании в сфере кибербезопасности фиксируют снижение числа атак непрофессиональных, но политически мотивированных хакеров на инфраструктуру российских компаний и ведомств. Часть хактивистов за год утратили интерес к участию в атаках, другие решили повысить квалификацию и влиться в профессиональные группировки, говорят эксперты. По их мнению, в результате можно ждать роста числа более точных и сложнее выявляемых атак на критическую инфраструктуру РФ.
Фото: Дмитрий Лебедев, Коммерсантъ
“Ъ” ознакомился с отчетом «Ростелеком-Солар», посвященным числу и структуре кибератак на российские компании во втором полугодии 2022 года. Из документа следует, что с июля по декабрь было зафиксировано 495 атак, на 19% больше, чем в первом полугодии. Всего же за год компания установила факт 911 тыс. атак, вдвое больше, чем за 2021 год.
В «Ростелеком-Солар» уточнили, что на фоне общего роста атак во втором полугодии снизилось их число со стороны хактивистов — непрофессиональных хакеров, действующих по политическим, а не коммерческим мотивам с применением простых инструментов, например массовых DDoS-атак или атак на веб-серверы. Например, если в первом полугодии доля нападений хактивистов на веб-серверы в России составляла 11% от всех инцидентов, то во втором полугодии — только 1%.
Хактивистов, как правило, привлекают к атакам на российскую инфраструктуру через объявления в даркнете и каналы в Telegram, там же они координируют свои действия.
«Число таких атак, как и объявлений, тоже сократилось, при этом сообщения об организации переместились в закрытые группы и чаты. Злоумышленники стали организовывать более сложные векторы атак, направленные на те же политически значимые цели»,— поясняет директор по развитию бизнеса центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» Алексей Павлов.
Например, говорит господин Павлов, это уже не объявления о доступных прокси-серверах, а приглашения на закрытое обучение по Kali Linux (дистрибутив Linux, имеет широкий инструментарий для взлома и тестирования на проникновение). «Хактивисты стали повышать квалификацию и действовать под руководством более профессиональных хакеров»,— отмечает он.
В хактивистских Telegram-каналах еще появляются призывы атаковать те или иные российские организации, но отклик стал слабее, уточняет технический руководитель отдела анализа защищенности «МТС Кибербезопасности» Алексей Кузнецов.
«Если раньше, после того как организаторы атак обозначали очередную цель DDoS, мы видели атаку со скоростью 20 Гбит/с, то сейчас — 3 Гбит/с»,— говорит господин Кузнецов.
Хактивизм построен на эмоциональной составляющей и обычно не преследует финансовые цели, поэтому вполне объяснимо, что многие хактивисты, заявив о своих убеждениях и вызвав внимание к определенным событиям, через некоторое время уходят в тень, объясняет руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. «В то же время некоторые, освоив хакерские инструменты и проведя ряд успешных атак, решают стать профессиональными хакерами»,— уточняет он.
Последней громкой политически мотивированной атакой на инфраструктуру российских ведомств стал ноябрьский взлом систем Государственного радиочастотного центра (ГРЧЦ) Роскомнадзора (см. “Ъ” от 18 ноября 2022 года). Группировка «Киберпартизаны» заявила, что в результате выведения из строя инфраструктуры им удалось выгрузить 2 ТБ внутренних документов организации, а также зашифровать ее серверы. В ГРЧЦ подтвердили взлом, но заявили, что «ситуация была управляемой», а злоумышленники не получили доступ к внутренней информации ведомства. Но уже в феврале этого года ряд зарубежных СМИ, ссылаясь на внутренние документы ГРЧЦ, опубликовали расследования о работе систем мониторинга ведомства.
Переквалификация хактивистов в профессиональных хакеров несет угрозы в первую очередь государственному и промышленному секторам как наиболее привлекательным для шпионажа, считает господин Кузнецов, добавляя, что под удар в последующем попадут и банки как самые интересные цели с точки зрения получения финансирования для хактивизма. Если идет тренд на смещение атак в более профессиональную плоскость, отмечает эксперт, они станут более скрытными, сложнее выявляемыми без большого объема средств защиты и круглосуточного мониторинга событий в инфраструктурах организаций.