В середине июля Совет национальной безопасности и обороны Украины выступил с сообщением о новом типе DDOS-атак на телекоммуникационные сети. Их особенностью стало то, что под удар попали десятки провайдеров по всему миру, в том числе, украинские, пишет РБК.
Но главный месседж СНБО заключался в следующем – успешные атаки могут обрушить работу национального сегмента интернета. Другими словами, отключить Украину от сети.
РБК-Украина выясняло, насколько опасной является эта угроза. Особенно в контексте масштабной хакерской атаки в июне 2017 года, когда вирус Petya поразил сети украинских компаний, учреждений, банков и медиа.
Крупнейшая DDOS-атака в истории
Хакерские атаки на Украину в июне 2017 года «положили» сети аэропорта «Борисполь», «Укрпочты», «Укрзализныци», сайт Кабинета министров и ряда других предприятий.
Программа-шифровальщик распространилась через сервер обновлений ПО для бухгалтерской отчетности. Вирус получил название Petya.A, поскольку был основан на коде ранее известной вредоносной программы 2016 года Petya. Спустя три года в Украине заговорили о новой серьезной угрозе.
По словам заместителя секретаря СНБО Сергея Демедюка, в июне 2020 одна из DDOS-атак нового типа стала крупнейшей в истории, достигнув значения почти 780 Гбит/с. Как результат – краткосрочное отключение 15% всего мирового интернета и ряда магистральных провайдеров.
Зарубежные медиа писали об июньской атаке на один из европейских банков, имя которого не раскрывали из соображений конфиденциальности. Ее мощность на пике составила 809 млн пакетов в секунду, что ставит ее в один ряд с крупнейшими бот-атаками в истории.
Поразила и невероятная скорость, так как трафик от нормального показателя до более 400 Гбит/с вырос всего за несколько секунд, а пиковых значений достиг спустя еще две минуты. Специалисты компании Akamai полагают, что за ней стоит новый ботнет (зараженная сеть). В процесс было вовлечено большое количество IP-адресов, не замеченных ранее в подобных операциях. Но, скорее всего, эта атака не связана с выявленной в СНБО.
DDOS-атаки («отказ в обслуживании») направлены на блокирование доступа к веб-сайту или приложению для конечных пользователей. Обычно хакеры генерируют большое количество пакетов или запросов для перегрузки работы целевой системы, используя множество взломанных источников, которые могут быть объединены в ботнет.
В целом для Украины атаки типа DDOS не являются чем-то новым. По данным Центра кибербезопасности при Нацкомиссии по регулированию в сфере связи и информатизации (НКРСИ), во II квартале 2020 года они стали причиной 46% киберинцидентов в государственном секторе. В негосударственном секторе – всего 1%.
В комментарии РБК-Украина Сергей Демедюк рассказал, что отличие нового типа атаки заключалось в использовании не мощностей зараженных устройств, а стримингового видеопотока для нагрузки на IP-адрес.
«Такой тип атаки был использован в украинской сети впервые. Атака имела целью блокирование работы провайдеров», – подчеркнул он.
Атаки были многократными и продолжались от 40 минут до 1,5 часа несколько дней подряд. В общей сложности, под удар попала десятая часть всей сети в Украине.
Источники атак – наши роутеры и веб-камеры
Источником атак нового типа стала сеть скомпрометированных устройств «умного дома» (IoT). В большинстве случаев доступ к ним получали путем взлома стандартных паролей, после чего хакеры брали на себя удаленное управление для дальнейших действий.
Центр кибербезопасности НКРСИ уточняет, что очевидными мишенями в этих случаях являются роутеры и веб-камеры. Наиболее уязвимое место – использование пароля по умолчанию или вообще его отсутствие.
Злоумышленники взламывают их при помощи программного обеспечения, которое перебирает самые распространенные варианты. Как правило, этот процесс занимает мало времени.
Конкретно в этой атаке использовались взломанные веб-камеры.
«Их дефолтные настройки (например, login: admin, password: admin) были одной из основных причин получения несанкционированного доступа к удаленному управлению. Еще интересно, что атака осуществлялась не на конкретный адрес, а целыми диапазонами, что, собственно, выглядело как массивный перебор информации или поиск конкретной цели», – сказали РБК-Украина в СНБО.
Что касается уязвимости провайдеров к DDOS-атакам с применением устройств «умного дома», то известный под ником «Шон Таунсенд» сооснователь «Украинского киберальянса» Андрей Баранович в комментарии РБК-Украина заявил, что в этом нет ничего принципиально нового.
«Любой оператор с квалифицированными инженерами на самом деле знает, как бороться с DDOS-атаками. Это неприятно, но не смертельно. То, что Национальный координационный центр кибербезопасности при СНБО заметил эту атаку и предлагает свою помощь, неплохо. Но я полагаю, что это отнюдь не самая насущная проблема украинской информационной безопасности», – подчеркнул он.
По оценкам СНБО, на сегодня в стране насчитывается почти 10 тысяч устройств, через которые могут быть осуществлены атаки на инфраструктуру провайдеров. Заместитель секретаря Сергей Демедюк заявлял, что этого вполне достаточно, чтобы на время парализовать украинский сегмент интернета.
В свою очередь, Баранович считает преувеличенной опасность подобных атак, даже с мощностью под 800 Гбит/с.
«Это довольно много и может на какое-то время «уложить» провайдера, и даже провайдера провайдера, но Украину как государство «отключить от Интернета» не получится. Много независимых операторов, и не те объемы», – добавил эксперт.
Тем не менее при первых подозрениях того, что кто-то получил доступ к роутеру и другим устройствам «умного дома», украинцам рекомендуют сбросить их к заводским настройкам, сменить пароли на более стойкие, по возможности включить двухфакторную аутентификацию и регулярно обновлять ПО.
Что говорят провайдеры
Из крупнейших украинских провайдеров за последние несколько недель о массовой DDOS-атаке заявила только компания «Воля». В течение трех дней фиксировались атаки на абонентские подсистемы, которые также перешли на инфраструктуру провайдера в Харькове. В результате более 100 тысяч абонентов испытали проблемы с доступом к интернету, IPTV и телевидению.
Атаки проводились с десятков тысяч разных IP адресов по всему миру – США, Малайзия, Тайвань, Вьетнам и т. д. Всю информацию провайдер передал киберполиции, но компания не уверена, что атаки не повторятся снова, хотя и делает все, чтобы этого избежать.
Другие крупные провайдеры, такие как «Киевстар» и «Укртелеком», не фиксировали DDOS-атаку на свои сети в июне. Однако подчеркивают, что кибератаки периодически имеют место.
Директор департамента корпоративных коммуникаций «Укртелекома» Михаил Шуранов в комментарии РБК-Украина рассказал, что почти ежедневно службы провайдера отслеживают и блокируют потенциальные угрозы.
«Например, в прошлом месяце была заблокирована очередная атака злоумышленников с помощью почтовых вложений с внешних адресов – очень популярная форма кибератаки», – отметил Шуранов.
По словам директора по кибербезопасности «Киевстара» Юрия Прокопенко, атаки происходят время от времени, но негативного влияния на системы провайдера не было. В том числе благодаря постоянному улучшению системы противодействия.
«Благодаря этому, например, «Киевстар» был одной из немногих крупных компаний, которые не пострадали от вируса Petya в 2017 году. Хотя наша инфраструктура также подвергалась активному нападению», – добавил он.
Провайдеры подчеркивают, что постоянно сотрудничают с киберполицией и Ситуационным центром обеспечения кибербезопасности СБУ. Они делятся опытом и наработками в этой сфере для защиты информационных систем в Украине.
Кроме того, на сегодня Украина синхронизирует законодательство с европейскими нормами по кибербезопасности. Согласно им, провайдеры обязаны предоставить клиентам достаточный уровень защиты. И если ресурсы крупных операторов не вызывают сомнений, то возможности более мелких локальных провайдеров, которые обслуживают более 50% рынка, остаются под вопросом.
Настораживающая тенденция
По последним данным, СБУ за первое полугодие 2020 в общей сложности нейтрализовала более 300 инцидентов, целью которых были объекты критической инфраструктуры. К ним причастны почти 20 хакерских группировок, и значительную часть их контролировали из Российской Федерации. Чего нельзя пока сказать о месте, откуда совершалась DDOS-атака нового типа.
«Сейчас мы работаем над тем, чтобы зафиксировать все цифровые следы этой атаки и собрать информацию в различных частях мира, где были зафиксированы такие атаки. Имея достаточное количество необходимой информации, мы сможем сделать выводы о месте ее осуществления. У нас уже есть определенные наработки, однако разглашать их рано – пока дело находится в компетенции одного из правоохранительных органов киберзащиты», – рассказал РБК-Украина замсекретаря СНБО Сергей Демедюк.
Он добавил, что уже началась работа над созданием системы обнаружения таких атак на ранних стадиях.
При этом за весь 2019 год специалисты СБУ отразили более 480 кибератак, и это дает основание полагать, что Украина сохраняет свою привлекательность для хакеров. А это, в свою очередь, означает, что в дальнейшем перед нами будут возникать все новые угрозы в сети.
В подтверждение этого на прошлой неделе стало известно о DDОS-атаках на сайт Офиса президента Украины, а также сообщалось, что число подозрительных инцидентов в сети выросло на 22% по сравнению с предыдущим периодом.
Кроме того, Национальный координационный центр кибербезопасности выявил масштабную утечку из сервиса Cloudflare, который специализируется на защите от кибератак. В так называемом DarkNet опубликовали данные 3 млн сайтов с реальными IP-адресами, в том числе ресурсов с доменами gov.ua и ua.
Часть этих данных принадлежит объектам критической инфраструктуры Украины. Поэтому владельцам скомпрометированных ресурсов порекомендовали сменить IP-адреса размещения сайтов и усилить мониторинг кибератак.
Подписывайтесь на наши каналы в Telegram, Facebook, Twitter, ВК — Только новые лица из рубрики СКЛЕП!