ФБР: Кибератаки пророссийских хакеров «чисто психологические» и не наносят реального ущерба. Что придет им на смену?
Минимальное воздействие
В пятницу 4 ноября 2022 г. ФБР опубликовало сообщение, в котором проанализровало последствия действий российских хакактивистов. Аналитики затронули проблему DDoS-атак на частные американские компании и госслужбы, которые участились после событий 24 февраля 2022 г.
В записке говорится, что активисты действуют из идеологических, социальных или политических соображений, однако их атаки оказывают незначительное влияние на компании-жертвы. Объясняется это тем, что хакактивисты нацеливаются на веб-сайты, а не на важные составляющие ИТ-инфраструктуры компаний. Отказ сайта же почти никак не влияет на работу организаций.
«Однако хактивисты часто предают огласке свои атаки и преувеличивают их серьезность в социальных сетях, чтобы поднять свой авторитет, — отмечается в записке. — В результате психологическое воздействие DDoS-атак часто оказывается сильнее, чем реальный ущерб».
В сообщении указывается, что хакерские группировки пророссийского толка чаще всего атакуют организации с солидной репутацией или обладателей критической инфраструктуры — банки, кредитные организации, службы экстренной помощи, аэропорты, правительственные и медицинские службы.
В записке аналитики ФБР привели в пример атаки на сайты аэропортов США, которые произошли осенью 2022 г. В начале октября 2022 г. 14 американских аэропортов столкнулись с массированными хакерскими атаками, которые нарушили работу веб-сайтов, ответственность на себя взяли русскоязычные хакеры из известной группировки Killnet. В то же время управление воздушным движением, транспортную безопасность и линии связи с самолетами кибератаки никак не затронули.
Почему именно DDoS
Аналитики ФБР объясняют такой фокус на DDoS тем, что атаки этого типа требуют небольших технических знаний, и даже начинающие хактивисты могут использовать широкий широкий спектр DDoS-сервисов и инструментов с открытым исходным кодом для нарушения работы общедоступных веб-сайтов.
В беседе с CNews Ксения Рысаева, руководитель группы аналитики Центра предотвращения киберугроз CyberART группы Innostage, отметила, что для проведения атаки типа «отказ в обслуживании» достаточно иметь под рукой ноутбук или смартфон с выходом в интернет. Ведущий инженер CorpSoft24 Михаил Сергеев в разговоре с CNews добавляет: чтобы провести DDoS, нужно указать адрес (домен или ip-адрес) и нажать enter, но для проведения атаки необходимо иметь базу ботов для атаки и специальное программное обеспечение.
«Пополнять базу ботов можно, устанавливая на устройства пользователей вредоносное программное обеспечение (пользователи сами ставят его, скачивая ПО из ненадежных источников и используя различные кряки, кейгены и.т.д) Также базу пополняют, взламывая различные сервера и устройства, которые доступны из интернета и слабо защищены», — отметил эксперт.
Сергеев объяснил, что такого рода атаки сегодня действительно популярны, и у них могут быть не только политические цели: например, устранение конкурента или вымогательство денег — когда злоумышленники требуют заплатить им за «тестирование» в криптовалюте.
«Реальный риск от DDoS-атаки — это временная недоступность информационной системы, — говорит Сергеев. — И если бизнес компании построен целиком на онлайн-услугах, это парализует ее работу, и компания несет финансовые и репутационные потери».
По словам Рысаевой, DDoS также может быть «прикрытием» для атаки, связанной с подменой содержимого сайтов или кражей данных. Не исключены и риски проникновения в системы, однако проделать это хакерам уже значительно сложнее.
Что ФБР посоветовало своим компаниям
Чтобы смягчить DDoS-атаку, американским компаниям посоветовали зарегистрироваться в службе защиты от отказа в обслуживании, которая обнаруживает аномальные потоки трафика и перенаправляет трафик из сети. Также, уверены в ФБР, стоит установить партнерские отношения с местным интернет-провайдером (ISP), чтобы контролировать сетевой трафик во время кибератак.
«Создайте план аварийного восстановления, чтобы обеспечить успешную и эффективную связь и ускорить восстановление сайта. Во время и после DDoS-атаки отслеживайте другие сетевые активности, которые могут указывать вторичную атаку», — советуют в ФБР.
Михаил Сергеев отмечает, что современные инструменты и системы позволяют достаточно успешно бороться с DDoS-атаками с помощью фильтрации трафика и в момент, когда она началась владельцы ресурсов, включают различную защиту.
«Например, можно заблокировать ASN или отдельную страну, из которой идет атака и плохой трафик не будет вообще долетать до сервера. Современное железо и правильная архитектура и кэширование так же уже могут успешно «держать» небольшие DDoS-атаки», — говорит Сергеев.
Что придет на смену DDoS
Пока успешность атак этого рода будет высокой, их эра не закончится, уверены ИБ-эксперты. Сейчас от них защищаются, как правило, лишь крупные сервисы или те, кто уже сталкивался с подобной атакой. В то же время другие атаки (проникновение, заражение, получение административного доступа, кража данных, дефейс и.т.д.) провести достаточно трудно, так как перед этим нужно проанализировать систему, найти там уязвимости и успешно применить их.
«На подготовку к таким атакам может уйти очень много времени и, возможно, она не принесет никакого результата. А чтобы провести DDoS нужно указать адрес и нажать одну кнопку», – отметил Михаил Сергеев.
Ксения Рысаев предположила, что на смену DDoS могут прийти атаки, основанные на эксплуатации уязвимостей, которые смогут автоматизировать и упростить до применения любым пользователем сети интернет. Пример такой уязвимости — Log4shell в 2021 г., когда атака заключалась в отправке специального запроса на web-ресурс. Фактически именно такими запросами школьники атаковали серверы Minecraft.