Безопасность сетей и атаки на инфраструктуру крупных предприятий и целых корпорации по своей эффективности давно сравнивают с боеспособностью целых армий. По сути, в ХХI веке стало возможно обрушение и нанесение ущерба не через массированные авиаудары, а через сетевую атаку на ключевые объекты финансового, промышленного или оборонного сектора.

Возросший аппетит

Большинство из тех, кто черпает знания о преступлениях в сфере высоких технологий из новостей, слово «хакер» стоит в одном ряду с обычными грабителями и другими злоумышленниками. Однако на заре компьютерных преступлений взломом сетей и получением данных такие специалисты занимались в основном забавы ради. Именно ради веселья заниматься взломом сетей начинал один из самых известных хакеров в мире - американец Кевин Митник.

Уже к середине 70-х Митник, будучи взломщиком-самоучкой, научился находить уязвимости в телефонных сетях и звонил за счет других абонентов. Еще до того момента, как сеть интернет приобрела законченный вид, Митник осуществил целую серию атак, после которых многие специалисты по компьютерной безопасности, включая директоров департаментов, стали сомневаться в собственном профессионализме. В ночь на 15 февраля 1995 года Митник был арестован, однако мероприятия по поимке компьютерного злоумышленника не увенчались бы успехом, если бы Митника не сдал собственный друг и соратник по сетевым преступлениям.

На суде Митнику предъявили обвинения сразу по нескольким статьям, среди которых были и хищения, и незаконное копирование, и другие всевозможные сетевые преступления. Ущерб, который насчитали американскому хакеру сами потерпевшие, в числе которых были и компании с доходом в сотни миллионов долларов, составил чуть более ста миллионов долларов. Однако большую часть обвинений подкрепить доказательствами так и не удалось, ведь во многих случаях талантливый хакер действовал не ради конечного результата с целью продать чужое подороже, а ради того, чтобы повеселиться.

Уже после тюремного заключения Кевин Митник занялся компьютерной безопасностью и направил полученные им знания на защиту данных. В отличие от киберпреступника из 80-х, 99% современных сетевых бандитов (или целые группы) имеют постоянное растущие финансовые аппетиты и, как следствие, взломом защищенных сетей занимаются исключительно ради денег. Однако знания и программы в открытом доступе, умноженные на человеческий фактор давно позволяют не только совершать хищения денежных средств с банковских карт, но и позволяют целым группам, действующим в интересах некоторых государств, удаленно наносить так называемый «косвенный» ущерб конкурентам.

Без права на право

Нападение на сетевую инфраструктуру любого крупного государственного или коммерческого учреждения опасно само по себе. Для того чтобы вернуть миллионы людей в каменный век, лишить их права владения теми или иными вещами, «обнулить» все финансовые накопления не нужно объявлять войну и приводить в боевую готовность весь ядерный арсенал. По сравнению с атакой на серверы крупного банка любое хищение средств с карточки через скиммер (устройство, подключаемое к банкомату) - все равно, что капля в океане.

Один из недавних примеров критического сбоя международного масштаба - атака хакерских групп в 2010 году. Тогда в ходе централизованного нападения работоспособности были лишены не только некоторые правительственные ресурсы в Европе, но и центры обработки платежных систем Visa и Mastercard. В определенном смысле, кибератаки похожи на применение ядерного оружия - от одного нападения могут пострадать сотни тысяч человек, а на устранение последствий придется потратить много времени и денег.

Эксперты поясняют, что банковский сектор - наиболее популярное  и одно из самых уязвимых «направлений» работы преступных группировок. Ввиду того, что, какой бы деятельностью не занималось физическое лицо или крупная компания, все средства хранятся на счетах в банке. Как следствие - вознаграждение в случае успешной атаки может быть огромным. Уязвимость банковских сетей может быть найдена практически везде - от вредоносного приложения, установленного в смартфон до зараженного usb накопителя, которым сотрудник банка пользуется и дома, и на работе. Несмотря на то, что финансовые учреждения тратят сотни миллионов рублей на развитие технологий и мероприятия по недопущению обрушения системы, риск не отразить сетевые атаки все равно остается.

«Банковский сектор - яркий пример инфраструктуры, задача которой состоит в поддержке бизнес-процессов в реальном времени. Такой объект крайне чувствителен и уязвим даже к умеренному нарушению работы информационных систем, обеспечивающих передачу интернет-трафика», - поясняет в интервью сайту телеканала «Звезда» консультант ПИР-Центра Олег Демидов.

Эксперты, осуществляющие поддержку банковских продуктов и не первый год занятые в области обеспечения безопасности банковских продуктов, поясняют, что в последнее время банки и другие финансовые учреждения подвергаются так называемым «веерным атакам».

По мнению специалистов одного из крупных банков, входящих в ТОП-20 по размерам активов, атаке подвергается практически каждый банковский продукт.

«Главная цель такого эксперимента - "потрясти" всю сеть и посмотреть, что отвалится. Найти уязвимость и дальше работать через нее», - поясняют специалисты. Однако злоумышленники, действующие из сугубо корыстных побуждений, и спецслужбы, для которых обвал банковской системы - ключ к давлению на противника, в этом случае обладают совершенно разными ресурсами. О том, что нападение на финансовый сектор возможно, в начале декабря 2016 года предупредила Федеральная служба безопасности.

В сообщении, опубликованном на сайте ФСБ, сообщается, что серверные мощности и командные центры для проведения кибератак расположены на территории Нидерландов и принадлежат украинской хостинговой компании «BlazingFast».

«Кибернападение планируется сопровождать массовой рассылкой SMS-сообщений и публикациями в социальных сетях (блогах) провокационного характера в отношении кризиса кредитно-финансовой системы России, банкротства и отзыва лицензий у ряда ведущих банков федерального и регионального значения. Акция направлена на несколько десятков городов Российской Федерации», - сообщается в документе.

Не прошло и нескольких дней, как «Ростелеком» опубликовал документ, в котором сообщается об отражении атак на пять крупнейших банков и финансовых организаций Российской Федерации. Согласно опубликованному на сайте РТ документу, пиковая мощность DDoS-атаки cоставляла 3,2 миллиона пакетов в секунду, а самая продолжительная атака длилась два часа. Ранее в ноябре 2016 года первый зампредседателя правления Сбербанка Лев Хacиc сообщил, что специалисты финансовой организации выяснили, откуда координировались DDoS-атаки против российских банков.

«Страна, из которой все это происходило, нам известна. Мы направили все соответствующие документы в ЦБ и правоохранительные органы. Дальнейшие действия будут зависеть от решений государственной власти, поскольку это касается уже межгосударственных отношений», – отметил Хасис.

Стоит отметить, что, хотя инфраструктура банка подвергалась серьезной нагрузке, никаких финансовых потерь клиенты Сбербанка не понесли.

Смешанный стиль

Постоянные массированные атаки на государственные и коммерческие структуры вполне ожидаемо порождают целую массу вопросов. Главным из них остается возможность осуществления так называемого «сетевого теракта», в ходе которого атака на государственные структуры и ключевые объекты энергосистемы может привести к человеческим жертвам. Рустэм Хайретдинов, заместитель генерального директора компании «Infowatch» в интервью телеканалу «Звезда» отметил, что организация атак на финансовые учреждения, и сетевое нападение на все ключевые объекты в стране при некоторых общих особенностях значительно отличаются друг от друга.

«Атака возможна, но успешная атака на уровне страны - вряд ли осуществима. Локально, конечно, атаки идут: прямо сейчас, например,  под атакой находится один из крупных банков. Нападение сопровождается массовой рассылкой СМС о трудностях банка. То есть имеет место мультизадачность, когда нападение идет сразу с нескольких сторон», - пояснил Хайретдинов.

Что касается сетевых атак на энергетические, и тем более военные объекты, - то здесь эксперты в области информационной безопасности проявляют редкое единодушие, отмечая, что «хакер-одиночка» или даже хорошо оснащенная группа энтузиастов с такой задачей вряд ли справятся. Консультант ПИР-центра Олег Демидов пояснил, что информационные инфраструктуры промышленности, энергетики и военных объектов менее уязвимы для сетевых атак за счет отсутствия подключения к Интернету. Отмечая возможность атак на  периферийные системы, подключенные к сетям связи общего пользования (например, ресурсы Минобороны в сети Интернет), эксперт пояснил, что основной задачей атакующих является доступ к закрытым сегментам сетей, не подключенным к Интернету.

«Даже в том случае, когда не обеспечена полная физическая изоляция критически важных систем, возможность проникновения в них извне ограничивается обширным арсеналом средств сетевой и информационной безопасности - системами обнаружения и предотвращения вторжений, системами предотвращения утечки данных, межсетевыми экранами, системами мониторинга аномалий трафика и прочее. Чтобы осуществить успешную атаку на системы в закрытом сегменте сети, нужны не только ресурсы, но и специальная  подготовка», - пояснил эксперт.

По словам Демидова, универсального средства для сетевой атаки, подходящего под «любой тип цели» не существует в природе.

«Естественно, средства подбираются под тип объекта. Тех же DDoS-атак - уже десятки, и если не сотни уже существующих технологий и методологий - UDP flood, SYN flood, Nuke через ICMP, атака с усилением, атака с использованием ответов DNS и многое другое. Причем в последнее время почти все крупные атаки - смешанного типа. Так что никакой DDoS в вакууме нет, под каждую цель подбираются типы атаки, порты, на которые направляется вредоносный трафик, рассчитывается график атаки с пиками по интенсивности», - пояснил Демидов.

По словам эксперта, перед основной атакой часто идут т.н. «пробные» атаки с низкой интенсивностью. Главная цель такой «обманки» - опытным путем раскрыть тактику защиты служб безопасности целевого объекта.

Сеть как оружие

О создании кибероружия в последние десятилетия не говорил только ленивый. Количества фильмов, отснятых по теме нанесения непоправимого вреда государству, хватило, чтобы утвердить в сознании рядового пользователя мысль, что одним кликом и несколькими строками кода можно взорвать атомную электростанцию или открыть шлюзы ГЭС. Больше и громче остальных на тему масштабных кибератак кричат в Соединенных Штатах. И хотя недавние обвинения Белого дома в адрес Кремля так и остаются бездоказательными, эксперты обращают внимание, что американские спецслужбы активно применяют кибератаки и внедрение специальных вредоносных программ, чтобы навредить своим геополитическим конкурентам. Консультант ПИР-Центра Олег Демидов в интервью телеканалу «Звезда» на конкретном примере объяснил, как осуществляется такая атака.

«Иногда целевые правительственные операции кибершпионажа являются первой ступенью для последующих операций, которые преследуют цель нарушения функционирования инфраструктуры или ее разрушения. Данные, добытые программами-шпионами в ходе операции Olympic Games, были использованы для параллельной разработки и внедрения в промышленный сегмент сети стратегических ядерных объектов Ирана червя Stuxnet, нацеленного на саботаж технологического процесса обогащения урана. Для сбора и похищения данных в этом случае применялись такие программы, как Flame, miniFlame, DuQu, Gauss и многие другие», - пояснил эксперт.

Уровень защищенности российских государственных структур, а также отражение кибератак коммерческих учреждений говорит о том, что кибероружие, какой бы вид оно не имело, в отношении России малоэффективно. И хотя долгое время применение сетевых атак и сам факт возможности применить их против любого государства даже не обсуждался, недавнее заявлении действующего президента США Барака Обамы свидетельствует о том, что подобные планы по «сетевому давлению» на зарубежные государства у Соединенных Штатов имеются.

Однако многолетний труд нескольких ведомств, включая Агентство национальной безопасности и киберкомандование ВС США, не может гарантировать нужный результат. Эксперты отмечают, что в теории для безопасного международного сотрудничества можно даже подписать специальный документ, согласно которому сетевая атака на государственные учреждения, а также объекты энергетической и военной инфраструктуры будет приравниваться к объявлению войны. Однако Соединенные Штаты на подписание такого документа вряд ли согласятся. Во всяком случае, этого точно не стоит ожидать от покидающего Белый дом президента Обамы, ведь приказ на полномасштабную сетевую атаку президент США вполне мог бы отдать.

Однако, согласно источникам одной из американских газет, приказ на применение кибероружия нынешний президент США может отдать только в том случае, если будет уверен в возможности прекратить конфликт на своих условиях. Если учесть, что сетевым атакам из-за границы успешно противостоят не только крупные государственные, но и коммерческие российские структуры, появления у США кибероружия, гарантирующего свободу действий и пространство для давления, в ближайшем будущем ожидать не стоит.

Автор: Дмитрий Юров