ФСБ на страже сетевой безопасности. Что атакуют хакеры

Госсистема обнаружения, предупреждения и ликвидации последствий кибератак на российские информационные ресурсы выявила свыше четырёх миллиардов компьютерных атак на информационную систему России в 2018 году. В 2017-м было зафиксировано 2,5 миллиарда подобных атак. Лайф разбирался, кто стоит за атаками и как спецслужбы борются с хакерами.

По словам заместителя директора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николая Машурова, кибератаки — "оборотная сторона тотальной информатизации".

Именно специалисты НКЦКИ, созданного в прошлом 2018 году приказом директора ФСБ России Александра Бортникова, и занимаются тем, что обнаруживают и ликвидируют компьютерные атаки на предприятия, обеспечивающие национальную безопасность России — как военную, так и энергетическую, промышленную, продовольственную и банковскую. К тому же НКЦКИ координирует госорганы и компании с собственными IT-системами из сфер энергетики, транспорта, связи, финансовых рынков, включая банки, из промышленности, в том числе оборонной.

— Эти и другие сферы критической инфраструктуры перечислены в законе "О безопасности критической информационной инфраструктуры", — рассказывает Лайфу собеседник из спецслужб, курирующий деятельность НКЦКИ в одном из федеральных министерств.

— Для предупреждения киберугроз НКЦКИ вправе запрашивать информацию у любых организаций, в том числе иностранных. А вся полученная информация будет обрабатываться сотрудниками центра совместно со специалистами Центра защиты информации и спецсвязи ФСБ РФ, который и курирует работу НКЦКИ, — рассказывает собеседник Лайфа из другой спецслужбы.

Как отмечают собеседники Лайфа в российских спецслужбах, последние несколько лет, а особенно в прошлом 2018 году, когда на территории РФ проводился чемпионат мира по футболу, иностранные спецслужбы пытались провести десятки тысяч кибератак на финансовую систему России сразу в нескольких десятках городов. Кибератаки сопровождались рассылкой сообщений и публикациями в блогах информации провокационного характера.

По данным Лайфа, российские спецслужбы вполне готовы к защите информационной инфраструктуры России.

— Ведь критическая информационная инфраструктура (КИИ) состоит из сотен информационных систем, связанных с госведомствами, банками и предприятиями. Это могут быть системы автоматического управления, например на электростанциях. Некоторые имеют выход в Интернет, — сообщил Лайфу источник в спецслужбах.

Есть целый перечень объектов инфраструктуры, которые Совет безопасности РФ считает важными для страны: это заводы, электростанции, банки. В нём более ста страниц, и он засекречен. По словам источника Лайфа, в засекреченном списке все те компьютерные системы, вмешательство в которые может повлечь серьёзные последствия в масштабах страны: нарушение процессов госуправления, ухудшение обороноспособности и национальной безопасности, крупный ущерб, утечку информации или человеческие жертвы.

По словам же директора по методологии и стандартизации компании Positive Technologies Дмитрия Кузнецова, работы у сотрудников спецслужб и привлечённых IT-специалистов сейчас достаточно.

— Одних только федеральных ведомств в нашей стране больше семи десятков, а ведь есть ещё региональные — каждая область и республика имеют свои базы данных, сайты, локальные ресурсы. В каждой республике у местных полицейских, пожарных, судов тоже есть свои ресурсы, работающие в поддомене gov.ru, их тоже следует защитить. Всего сайтов, работающих в зоне gov.ru и поддоменах, больше сотни. При этом собственно сами сайты — не самое важное, куда опасней, если хакер получит доступ к системам автоматического управления, например, железной дорогой, — рассказывает Дмитрий Кузнецов.

— Если хакер доберётся до серверов системы управления движением поездов или до контроллеров электрической подстанции, то даже не умышленные, а просто неосторожные его действия могут привести к аварии и даже гибели людей, — говорит эксперт.

— Москвичи ещё помнят, как авария на одной лишь подстанции "Чагино" привела к масштабному блэкауту в Центральном регионе России и едва не закончилась катастрофой на Московском НПЗ. А теперь представьте, что может целенаправленно натворить "боевой хакер" из спецподразделений, которые сейчас создаются в армиях крупнейших государств, получи он доступ к современной цифровой подстанции, — отмечает Дмитрий Кузнецов.

В международной компании, специализирующейся на предотвращении кибератак и разработке продуктов для информационной безопасности Group-IB, Лайфу заявили, что полностью поддерживают деятельность Национального координационного центра по компьютерным инцидентам (НКЦКИ).

— Централизация и корреляция данных — это хороший способ обнаруживать и предотвращать киберпреступления на этапе их подготовки, — заявили Лайфу в Group-IB.

Собеседник из Group-IB напомнил корреспонденту Лайфа о последних нашумевших атаках на объекты критической инфраструктуры в других странах.

Несколько недель назад в Венесуэле блэкаут привёл к коллапсу: без света осталось 80% территории страны. Министр информации Венесуэлы Хорхе Родригес заявил, что причиной масштабного сбоя стала кибератака с территории США на автоматическую систему контроля ГЭС "Гури".

— Что стало причиной блэкаута, должны выяснить технические специалисты. Однако криминалисты Group-IB уже сейчас, если потребуется, готовы подключиться к расследованию. Одно ясно уже сейчас: энергетический сектор находится в группе риска, — рассказывают в Group-IB.

Как отметили эксперты Group-IB в беседе с Лайфом, именно объекты критической инфраструктуры — атомные электростанции, плотины, аэропорты, магистральные сети, водоканалы, хладокомбинаты, транспортные объекты — становятся мишенью хакеров. Им нужен только приказ, чтобы вывести их из строя.

Энергетический сектор — первый в группе риска. — Не случайно ещё в октябре прошлого года в отчёте Hi-Tech Crime Trends 2018 наши эксперты предупреждали, что энергетические объекты останутся главной мишенью групп, нацеленных на саботаж и диверсии, — говорят специалисты Group-IB.

— Так, например, одной из наиболее серьёзных угроз для объектов критической инфраструктуры остаётся инструмент Industroyer, с помощью которого в декабре 2016-го были выведены из строя объекты энергетической сети Украины. В 2017 году этот инструмент был подробно описан компанией ESET, а его создание связали с группой BlackEnergy. Особенностью Industroyer является возможность удалённого управления remote terminal units (RTU), которые отвечают за физическое размыкание/замыкание сети. Фактически речь идёт о кибероружии, которое позволит киберармиям оставлять без света и воды целые города, — отмечает эксперт Group-IB.

Специалисты вспоминают, что первая кибератака на критическую инфраструктуру была предпринята спецслужбами США ещё в 1982 году, до появления Интернета. — Тогда группа хакеров смогла установить троян в SCADA-системе, которая контролировала работу сибирского нефтепровода, проходившего по территории СССР, что привело к мощному взрыву. Атака была организована ЦРУ, хотя об этом не было известно до 2004 года, когда бывший секретарь Министерства обороны США и советник президента США Рональда Рейгана Томас Рид опубликовал свою книгу At the Abyss: An Insider’s History of the Cold War, — рассказали Лайфу в российской спецслужбе.

А уже в 1999 году хакеры нарушили работу систем безопасности российской компании "Газпром".

— С помощью инсайдера они использовали троян, чтобы иметь возможность управлять SCADA-системой, контролирующей подачу газа. К счастью, это не привело к серьёзным последствиям, а нормальная работа системы была восстановлена в кратчайшие сроки, — отметил в разговоре с Лайфом эксперт по кибербезопасности.

Между тем в компании Group-IB отмечают, что собственные киберармии и кибероружие создают многие страны: США, Китай, Северная Корея, Пакистан, Россия, Украина, Израиль, Великобритания, Франция, Индия. — В топ-3 стран самых активных проправительственных хакерских групп входят Китай, Северная Корея и Иран. В отчёте Group-IB Hi-Tech Crime Trends 2018 мы назвали порядка 40 активных групп, но их гораздо больше, — заявили Лайфу в Group-IB.

Но, как отмечают эксперты, создать кибероружие под силу сейчас не только государственным структурам, но и даже небольшим хакерским группам.

— В руки киберпреступников в результате утечек попадают хакерские инструменты, разработанные по заказу спецслужб. Например, те, кто запустил шифровальщик WannaCry, использовали его в связке с кибероружием — EternalBlue, эксплойтом Агентства национальной безопасности (АНБ) США, который [предоставили] в открытый доступ хакеры из группы Shadow Brokers. С помощью ещё одного из засвеченных Shadow Brokers инструментов АНБ — бэкдора DoublePulsar, предназначенного для внедрения и запуска вредоносных программ, злоумышленникам удалось заразить более 47 000 компьютеров OC Windows в США, Великобритании, на Тайване, — отмечает эксперт по кибербезопасности.

В отчёте Group-IB, посвящённом атакам на критическую инфраструктуру, делается неутешительный вывод: уникальный ландшафт APT-угроз (англ. Advanced Persistent Threat — "развитая устойчивая угроза", целевая кибератака), характерный для каждого региона, постоянно меняется, хакеры стараются пользоваться широко распространёнными инструментами, в том числе для тестов на проникновение, что затрудняет работу исследователей.

Между тем Генпрокуратура России составила портрет типичного российского хакера. Это мужчина 30–35 лет, у которого не обязательно есть специальное техническое образование, — таков типичный хакер в России.

— Сложившийся образ хакера из фильмов неверен. Наша статистика свидетельствует, что человек, совершающий подобное преступление, хорошо подкован в технических вещах. Это человек 30–35 лет, который даже не всегда имеет техническое образование, — отмечает официальный представитель Генпрокуратуры РФ Александр Куренной.

— Такие преступники часто используют так называемый DarkNet (скрытая, полностью анонимная сеть интернет-соединений, существующая параллельно обычному Интернету), чтобы покупать технику или личную информацию. Это стал теперь более технический способ преступлений, чем интеллектуальный, — отмечает Куренной.

По данным Генпрокуратуры, в прошлом году в России было зарегистрировано более 140 тысяч преступлений, совершённых с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации.