27 июня 2019, 11:24,
обновлено 27 июня 2019, 11:46

Центр кибербезопасности рассказал про атаки на российские ресурсы из ЕС и США

EPA-EFE/ FELIPE TRUEBA
Как сообщил заместитель директора центра Николай Мурашов, хакерские атаки зачастую нацелены на кражу данных российской оборонной и атомной сфер

МОСКВА, 27 июня. /ТАСС/. Центры управления атаками на российские интернет-ресурсы, как правило, расположены на территории США и стран Евросоюза.

Об этом заявил на брифинге заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов.

"Как правило, они [центры управления бот-сетями] имеют четкую локализацию для сохранения полного контроля над их функционированием. Около трети центров управления бот-сетями находится на территории США. Для атак на российские информационные ресурсы, как правило, используются центры управления, локализованные на территории Евросоюза и США", - отметил замглавы НКЦКИ.

Высокоточные кибератаки

Эксперт подчеркнул, что "вредоносное программное обеспечение для компьютерных атак постоянно совершенствуется, но и методы противодействия тоже быстро развиваются". Пока, заметил он, "установился условный паритет между злоумышленниками и службами информационной безопасности".

"Однако наибольший общественный резонанс вызывают отдельные изощренные и целенаправленные атаки. Специалисты называют их АРТ-атаками (Advanced Persistent Threat - сложная постоянная угроза или целевая кибератака - прим. ТАСС). Их немного, - отметил Мурашов. - Тем не менее их последствия могут быть серьезными и затрагивать интересы миллионов людей. Противостоять таким атакам гораздо сложнее".

По его словам, для осуществления АРТ-атак разрабатывается уникальное программное обеспечение, основанное на эксплуатации критических уязвимостей.

"Их наличие намеренно держится в тайне, поскольку единоличное обладание ими дает тактическое преимущество", - заметил эксперт, напомнив о своем прошлом заявлении о том, что основными инвесторами и потребителями глобального рынка компьютерных уязвимостей являются спецслужбы США.

Он привел данные американских компаний McAfee и IBM. Согласно аналитическому отчету McAfee, 31% центров управления бот-сетями находится на территории США, 11% - в Германии, 6% - во Франции, 5% - в Алжире, 4% - в России. Согласно оценкам компании IBM, на США приходится 36% центров управления бот-сетями, на Китай - 14%, на Францию - 5,1% и по 4,9% - на Россию и Германию.

Он также сообщил, что компьютерные атаки часто нацелены на кражу информации о российских технологиях оборонной и атомной промышленности.

"Анализ информации, поступающей в ГосСОПКА, показывает, что большинство атак направлено на кражу информации. Прежде всего, преступники нацелены на получение сведений о российских технологиях в оборонной и атомной промышленности, энергетике и ракетостроении, а также информации из систем государственного управления", - сказал Мурашов.

Он заявил, что в среднем каждая третья выявляемая центром атака направлена на организации кредитно-финансовой сферы (38%), 35% - на объекты органов госвласти, по 7% пришлось на объекты образования и оборонной промышленности, еще 4% - ракетно-космической отрасли и 3% - здравоохранения.

Мурашов подчеркнул, что США являются основным источником угроз информационной безопасности, это подтверждается данными компаний Webster (США), Ruixing (Китай), Comodo Security Solutions (США), NTT Security (Япония). По его словам, кибератаки осуществляются путем различных вариантов заражения вредоносными программами, например, через электронную почту, фишинговые или захваченные ресурсы в интернете.

Согласно данным, представленным во время брифинга на слайде, в 2018 году от 63% до 71% атак через web-ресурсы производились с территории США, от 5% до 10% - из Китая и лишь 3% - с территории России. Фишинговые атаки в 36% случаев проводились из США, с Кипра - 25% и из России - 5%. По всем типам атак также лидирует США (27%), на втором месте находится Китай (10%), за ним следуют Нидерланды, Франция (по 4%) и Германия (3%).

Атаки через интернет-вещей

Рост мощности DDoS-атак будет возрастать, в первую очередь, через устройства интернета вещей, которые имеют уязвимости, сообщил Мурашов.

"Тенденция массового захвата таких устройств (интернета вещей) в бот-сети будет сохраняться, что вызовет рост мощности компьютерных атак", - сказал он.

"Для наглядности можно привести следующие цифры по использованию бот-сетей из семейства Mirai: пиковая мощность возросла за три года почти в три раза и вплотную подбирается к двум терабитам в секунду (с 620 Гб/с до 1,7 Тбит/с)", - пояснил Мурашов.

К интернету вещей относятся "умные" устройства, которые работают при помощи передаваемых данных, без человека, и подключены к сети Интернет.

"Количество подобных устройств интернета вещей экспоненциально растет. По воле производителей все они имеют крайне низкий уровень информационной безопасности или вообще лишены защиты. Риск их компрометации очень высок", - сказал Мурашов.

"В 2017 году в мире их [устройств] насчитывалось около 50 млн. В настоящее время это число приближается к 300 млн. И эта проблема [их захвата бот-сетями для кибератак] будет оставаться чувствительной для всего сообщества людей, занимающихся информационной безопасностью, я считаю, еще длительное время", - сказал Мурашов.

По его словам, хакеры стремятся повысить живучесть бот-сетей. Для этого устройства захватываются в бот-сеть сразу во многих странах. "Чаще всего жертвы находятся в странах с низким уровнем информационной безопасности пользователей", - добавил Мурашов.

По его словам, значительная доля компьютерных атак, выявляемых НКЦКИ, связана с блокировкой работы информационных ресурсов за счет DDoS-атак, для которых часто используются бот-сети из устройств интернета вещей.

"Впервые с такой DDoS-атакой мы столкнулись в 2015 году. Она была направлена на информационные ресурсы органов государственной власти. Для ее осуществления в 50 странах мира злоумышленники захватили два миллиона устройств интернета вещей", - рассказал Мурашов. Для атаки на ресурсы органов власти РФ бот-сеть применяла бытовое телекоммуникационное оборудование: домашние маршрутизаторы, точки доступа беспроводной связи и другие объекты. Наибольшее количество захваченных устройств находилось на территории США, Канады, Мексики, Бразилии, Индии и России.

"Опыта реагирования на такие атаки не было, поэтому использовались все возможности. Мы тесно работали с провайдерами и зарубежными партнерами, выявляли и блокировали центры управления бот-сетью, разрабатывали методы защиты и рассылали рекомендации. Эти усилия дали результат, и атака была прекращена", - рассказал замглавы НКЦКИ.

По его словам, уже в 2016 году из устройств интернета вещей была создана бот-сеть Mirai, с помощью которой были осуществлены беспрецедентно мощные атаки на немецкого оператора связи Deutsche Теlecom и американского провайдера Dyn, которые затронули интересы миллионов пользователей по всему миру. "Попадание в открытый доступ исходного кода Mirai породило разработку целого семейства подобных вредоносных средств. Сейчас их уже более пятидесяти", - отметил эксперт.

По его словам, хакеры стремятся повысить живучесть бот-сетей. Для этого устройства захватываются в бот-сеть сразу во многих странах. "Чаще всего жертвы находятся в странах с низким уровнем информационной безопасности пользователей", - добавил Мурашов.

Новый вирус

Новые вредоносные программы для масштабных кибератак стали использовать уязвимость цифровых телевизоров, сетевых видеокамер и других устройств интернета вещей, заявили в центре.

После попадания в открытый доступ исходного кода бот-сети Mirai породило разработку целого семейства вредоносных средств. "Версия, появившаяся в этом году, эксплуатирует уязвимости еще одного класса устройств интернета вещей: цифровых телевизоров, сетевых видеокамер и других", - отметил замглавы НКЦКИ.

На брифинге были приведены примеры устройства бот-сети Mirai с помощью телевизоров LG серии Supersign, беспроводной презентационной системы WePresent, сетевой видеокамеры D-Link, маршрутизаторов D-Link, ZyXEL, беспроводных точек доступа Netgear, ADSL точек доступа Netgear, беспроводных контролеров Netgear.

НКЦКИ был создан в сентябре 2018 года приказом директора ФСБ после указа президента РФ о создании Государственной системы обнаружения, предупреждения и ликвидаций последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА).

Атаки на Россию и страны ОДКБ

НЦКЦИ совместно с зарубежными партнерами сумели предотвратить кибератаки на более чем 7 тыс. объектов в России и странах Организации Договора о коллективной безопасности (ОДКБ).

"Благодаря таким превентивным мерам только в этом году удалось предотвратить внедрение вредоносного программного обеспечения более чем на семи тысячах объектах критической инфраструктуры на территории России и стран ОДКБ. Такое эффективное региональное сотрудничество очень востребовано", - сказал Мурашов.

По словам Мурашова, НКЦКИ активно обменивается информацией о компьютерных инцидентах с партнерами из 122 стран. "Все больше объектов критической информационной инфраструктуры подключается к нашей системе реагирования, активно развиваются ее ведомственные и отраслевые сегменты", - сказал он. Зарубежные партнеры также делятся данными о вредоносной активности, с которой они сталкиваются "на местах".

"Мы разрабатываем рекомендации по противодействию этим угрозам и оперативно доводим их до заинтересованных сторон", - пояснил Мурашов.

Эта превентивная работа позволяет оперативно пресекать работу компьютерных вирусов в России и за рубежом. "Объем взаимодействия постоянно увеличивается. Только в этом году мы отработали более 3,5 тыс. обращений от наших зарубежных коллег", - отметил замглавы центра кибербезопасности. По его словам, почти столько же обращений направила Россия в группы реагирования других стран.

Мурашов напомнил, что в России уголовно наказуемо не только использование и распространение вредоносного программного обеспечения, но и его разработка. По его словам, на протяжении последних лет общее количество преступлений в этой сфере остается стабильным. В частности, по ст. 272 УК РФ ("Неправомерный доступ к компьютерной информации") в 2013 году было выявлено 1799 преступлений, в 2015 - 1396, в 2017 - 1079, а в 2018 - уже 1240. По статье о создании, использовании и распространении вредоносных компьютерных программ (273 УК РФ) в 2013 году зарегистрировано 764 преступления, в 2015 - 974, в 2017 - 802, в 2018 году - 592.

НКЦКИ был создан в сентябре 2018 года приказом директора ФСБ после указа президента РФ о создании Государственной системы обнаружения, предупреждения и ликвидаций последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА).