МК АвтоВзгляд Охотники.ру WomanHit.ru

"Кибератаки хакеров отбросили атомную программу Ирана на два года назад"

Страшнее ядерной войны

На июньской сессии Петербургского международного экономического форума (ПМЭФ) на начало лета текущего года были озвучены шокирующие цифры. Более 50 баз данных российских компаний слили в Сеть только за май и начало июня этого года. С конца февраля выросло в 15 раз количество атак на российский бизнес. С начала года пытались «положить» больше 150 раз Сбербанк. В первом квартале этого года он выдержал 349 кибератак. Вообще проблема киберугроз сегодня уже вышла на мировой уровень: с начала года число атак типа «отказа доступа к данным» выросло на 354% по всему миру.

«МК» попытался выяснить у компетентных людей, кто и что стоит за такими атаками, и конкретно — что скрывается за термином «критическая информационная инфраструктура» (КИИ). В двух словах по-простому — это важные военные, экономические и политические сведения. Об этом и пойдет речь.

В любом государстве есть компании, работающие в стратегически важных областях: наука, связь, энергетика, топливно-энергетический комплекс, банки, оборонная сфера и т.п. Эти объекты обладают сетью информационных, информационно-телекоммуникационных систем и автоматизированных систем управления.

— На нашу службу возложили обязанность обеспечивать функционирование госсистемы обнаружения, предупреждения и ликвидации последствий компьютерных атак на инфоресурсы РФ. Сама эта система называется ГосСОПКА. Более того, четыре года назад был создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ) — этакий ситуационный центр информационной безопасности в масштабе страны, — рассказывает сотрудник ФСБ Дмитрий. — Защита КИИ в нашем государстве, считаю, ведется сегодня на очень высоком уровне. Задача эта сложная, но для наших специалистов она еще и интересная. Наверное, чем-то похожа на игру в шахматы. Защита КИИ считается новым направлением в информационной безопасности. У нас работают люди высочайшего уровня подготовки. Они проходят жесткий отбор. Так вот, я могу вас заверить, что граждане нашей страны могут спать спокойно. Подробно специфику нашей работы, как вы понимаете, я рассказать не могу. Это тайна. А о самом механизме кибератак, уверен, лучше меня расскажет профессиональный айтишник.

И если читатель — человек думающий, он сделает важные выводы из нашего разговора с экспертом в области IT-технологий Олегом Артамоновым,

— Олег, что конкретно скрывается за словом «кибератака»?

— Кибератака — очень широкое понятие. Сейчас так называют любые попытки воздействия злоумышленников на информационные системы. Они могут быть нацелены на то, чтобы вывести эти системы из строя, получить из них какую-то секретную информацию, например, персональные данные пользователей, или воспользоваться их функциями — например, перевести из банка деньги. Обычно при слове «кибератака» представляют себе хакера, сидящего перед монитором на другом конце мира. На самом деле очень часто атакующими оказываются сами сотрудники компаний, решившие пойти по кривой дорожке. Например, работник банка может украсть из банковской информационной системы и продать злоумышленникам персональные данные клиентов — это тоже будет кибератака.

— Сейчас распространяется информация, что сразу после событий 24 февраля 2022 года украинцы забросали российских IТ-специалистов предложениями за приличное вознаграждение открыть доступ к конфиденциальным данным компаний, запустить вредоносный код. Причем больше всего вербуют сотрудников госкомпаний. Это действительно так?

— Да. Это как раз классическая схема поиска «слабого звена» внутри компаний. Злоумышленники таким поиском занимались всегда — в IT-компаниях, банках, у сотовых операторов. Но начало СВО дало им повод удесятерить свои усилия в надежде найти больше недовольных сотрудников. Замечу, что таких работников, как правило, быстро ловят. В зависимости от тяжести проступка ответственность может быть вплоть до уголовной. Обращаться в полицию работодатели не стесняются. Кстати, недобросовестный сотрудник, стремящийся получить доступ к внутренним данным компании, чтобы продать их или передать конкурентам, например, ради мести собственному руководству, — очень распространенное явление. Он может не иметь никакой квалификации как хакер. Просто он хорошо знает уязвимые места информационных систем организации. Например, куда нажать, чтобы все же отправить по электронной почте документы, запрещенные к отправке. Но такому работнику не стоит строить иллюзий: такие предложения обычно делают не «борцы за свободу», а обычный криминал, цель которого — перепродать полученные данные дальше.

— Кибератака — это бизнес?

— Конечно. Как и вообще большинство преступлений в мире, кибератаки в основном совершаются из корыстных мотивов. Иногда это оплаченный заказ на обрушение сайта или других систем компании-конкурента. Но чаще это кража различных данных для дальнейшей продажи. Например, известная, пожалуй, уже всем россиянам пресловутая «служба безопасности банка», пытающаяся вымогать деньги по телефону. Мошенники пользуются личными данными вкладчиков, украденными из банков. Ведь им надо знать, кому звонить, как зовут человека, а лучше — еще и в каком банке он обслуживается. У таких злоумышленников всегда пользуются спросом базы данных, в которых есть хотя бы телефон и полное имя реального человека. Поэтому не переводятся и те, кто такие базы старается украсть. Не обязательно даже из банка — им подходит любой сервис, хранящий такие данные.

Давно не секрет, что личные данные человека можно взять или купить из совершенно различных источников. Очень часто это базы некрупных сервисов, иногда уже не работающих. Часто это открытые источники, например, соцсети, мессенджеры, доски объявлений. Ведь многие люди не стесняются оставлять кучу данных о себе. Все, что надо мошенникам, — это номер телефона и полное имя человека, чтобы с первого шага внушить ему мысль, что к нему обращаются знающие его люди. Дальше вступает в ход обычная социальная инженерия. Например, можно наугад представляться сотрудником любого из пяти крупнейших банков, чтобы с высокой вероятностью попасть на человека, у которого есть кредитка этого банка.

Настоящие сливы данных из банков, в которых были бы указаны счета конкретного клиента, остатки на них, другие его данные, встречаются значительно реже. Детальную же информацию, например, распечатку звонков сотового оператора, и вовсе покупают прицельно — на конкретного человека у недобросовестных сотрудников этого оператора.

Задача специалистов — сделать так, чтобы данные, которые причинят вам однозначный вред, не могли быть украдены как минимум столько времени, сколько они являются актуальными. Ваша задача — сделать так, чтобы данные, которые все же будут украдены, не смогли причинить вам вред. Например, злоумышленнику ничего не даст база данных с вашими ФИО и номером телефона в единственном случае. Это если на звонок «Иван Петрович, вас беспокоит служба безопасности вашего банка» вы ответите, что служба безопасности вашего банка никогда не звонит с мобильного номера и не разговаривает с украинским акцентом, а затем повесите трубку.

— Какая страна преуспела в организации кибератак?

— Если говорить о мастерстве хакеров, то на первое место давно уже вышли спецслужбы стран с развитым IT, а также условно независимые группировки хакеров. Они часто работают на те же спецслужбы, имеют стабильное финансирование. Ни одна страна официально не признается в существовании подобных хакерских групп. Но по косвенным данным можно определить, что лидируют здесь США и Россия. Сильные центры есть в Израиле, крупных европейских странах. В роли догоняющих выступают Иран и Северная Корея. Ситуация здесь похожа на разработку ядерного оружия в XX веке. Есть пара однозначных лидеров, десяток стран, имеющих такое оружие в не очень больших количествах, и еще несколько, всеми силами стремящихся его получить.

Интересно, кстати, что иногда профи по безопасности получаются из бывших хакеров. Есть даже пересечение этих занятий: так называемые «белые хакеры», люди, которые занимаются поиском уязвимых мест в IT-системах ради того, чтобы эти уязвимости закрыть прежде, чем ими воспользуются злоумышленники. Часто результаты их работы настолько сложны и нетривиальны, что выливаются в научные публикации и выступления на крупных конференциях.

— Киберпреступность — это проблема мирового масштаба?

— Да, а еще эта проблема не специфически российская. Так работают злоумышленники по всему миру. Что еще хуже, если атаку можно провести удаленно, то хакеры, находящиеся в одной стране, могут атаковать компьютеры в другой. Это затрудняет полиции не то что их поимку, а даже установление личности. Еще сильнее запутываются следы, когда в деле замешаны несколько разных групп. Например, одна ворует данные кредитных карт, а другая переводит с них деньги. Сделки между такими группами ведутся на теневых биржах в Интернете. Они устроены по принципу анонимности: продавец и покупатель не знают друг друга и никогда не встречаются лично. Поэтому каждый арест хакерской группы — огромный успех для правоохранителей. Но такое, увы, случается редко.

— Какой минимальный «набор» нужно иметь, чтобы организовать кибератаку?

— Да в том-то и дело, что никакого специфического оборудования не нужно. Чаще атакующий просто сидит дома за обычным компьютером, таким же, как у нас с вами. Все используемые им средства — программы. Если это сотрудник компании, который хочет украсть данные, у него тоже нет, как в голливудских фильмах, какой-то специальной сверхсекретной хакерской коробочки. Он просто создал схему, как можно украсть нужные ему данные, не вставая со своего рабочего места.

Что еще хуже, когда для кибератаки оборудование все-таки нужно, оно чаще всего не просто не принадлежит хакерам, а даже никак с ними не связано. Это чужие компьютеры, зараженные специальными вирусами. Они позволяют хакеру удаленно использовать такой компьютер. Его владелец даже ничего не подозревает. В качестве подобного компьютера может использоваться даже интернет-видеокамера или вайфай-роутер. Это, кстати, еще один способ заработка злоумышленников. Некоторые группировки специализируются на том, что заражают максимальное количество (десятки и сотни тысяч) устройств, полностью их контролируя. А потом просто продают желающим доступ к этим устройствам. Такое называется бот-фермой.

— Как бот-ферма работает?

— Бот-фермы могут проводить самый примитивный, но простой вид кибератаки — атаку отказа в доступе, она же DDoS. Во время нее тысячи компьютеров бот-фермы по команде обрушивают на атакуемую систему лавину запросов, и она просто не справляется. Бот-фермы часто расположены случайным образом в разных странах. Так вот обычные посетители не могут в систему зайти. После окончания атаки система легко восстанавливается и продолжает нормально работать. Но атака может длиться по нескольку суток. Представьте себе убытки, например, крупного онлайн-магазина, у которого несколько дней не работает сайт. Кстати, с распространением бот-ферм от непосредственного организатора даже не требуется особая квалификация. По сути, он может купить атаку как услугу у владельцев таких ферм. Правоохранительные органы всех стран прикладывают максимум усилий для поиска и закрытия именно ферм. Непосредственные заказчики атак остаются в тени. При большем уровне мастерства атакующих можно обойтись и без бот-фермы. Например, можно заставить несколько разных интернет-сервисов заваливать запросами друг друга. Но такое случается реже.

— Кроме примитивных атак какие еще бывают?

— Более изощренные атаки — это проникновение внутрь информационных систем. Иногда они делаются с целью похищения из них каких-то данных. Иногда — разрушения этих систем. Изредка хакеры оставляют внутри такой системы свой код «на будущее». Эта «закладка» может использоваться, например, для проведения атак на другую систему, чтобы скрыть реальный источник атаки, а может — для доступа внутрь взломанной системы в будущем, когда в ней появятся нужные хакеру данные. Это, кстати, является еще и типичным направлением работы спецслужб всех стран. То есть они пытаются внести в информационные системы потенциального противника «закладки». Последние могут быть использованы в случае войны, ухудшения отношений или просто возникновения потребности в шпионаже. Идущее сейчас в России замещение иностранного IT-оборудования не в последнюю очередь обусловлено именно подобной опасностью. «Закладки» в него могли быть внесены еще на этапе изготовления. Обнаружить их заранее в большинстве случаев практически невозможно.

Если у злоумышленника, проникшего внутрь информационной системы, стоит цель разрушить ее, он может нанести опасные повреждения. Система остановится на дни, недели или даже месяцы. Поэтому атаки, нацеленные на проникновение внутри IT-систем, сложнее, чем атаки отказа в доступе. Они требуют высокой квалификации хакеров. Но и последствия их намного серьезнее.

— Вспомните, пожалуйста, самые громкие кибератаки.

— У специалистов и СМИ разный взгляд на то, что считать громким. СМИ обычно обращают внимание на атаки, в которых украли очень много персональных данных. Кстати, продавцы таких данных регулярно врут. Например, украв сведения тысячи пользователей, они выставляют их как образец для продажи миллиона: вор пытается украсть у вора.

Для специалистов же намного интереснее сложные случаи. Например, в 2010 году неизвестные провели кибератаку на Иран: в промышленные компьютеры, управляющие центрифугами обогащения урана, был внедрен вирус Stuxnet. Этот вирус менял режим работы центрифуг так, что они выходили из строя. По оценке специалистов, атакующим удалось сломать около тысячи центрифуг, отбросив атомную программу Ирана на два года назад. Кто был автором вируса и кто осуществлял саму атаку — достоверно неизвестно до сих пор. Предполагается, что это результат совместной работы спецслужб США и Израиля. До первого применения вирус находился в разработке примерно с 2005 года. Потенциально он мог использоваться для атак на другие промышленные системы, включая электростанции и другие гражданские системы.

Всевозможными способами кибератак, конечно, пользуются злоумышленники всех рангов: обычный криминал, террористические организации и недружественные спецслужбы. Какая-то разница между ними есть только для политиков, правоохранительных органов и спецслужб страны, на которую проводится атака. С точки же зрения IT-специалистов здесь отличается разве что квалификация атакующих. Например, изредка случаются кибератаки настолько сложно организованные, что подозрение автоматически падает на спецслужбы. Но, как правило, вычислить страну-организатора сложно. Для криминала подобные атаки слишком сложны в подготовке. Они не окупают себя. У террористических же организаций просто нет специалистов такого уровня.

— Кибервойна… такое бывает?

— Это скорее аспект политический, нежели технический. Сейчас откровенно агрессивные действия в информационной сфере не рассматриваются как акт войны. Хотя, например, для Ирана в 2010 году результат действия вируса Stuxnet был не менее разрушительным, чем стал бы налет на его ядерные объекты израильской авиации. В значительной степени это происходит потому, что информационное пространство — серая зона. Часто в нем трудно определить конкретного заказчика и исполнителя с точностью хотя бы до страны.

Можно ли рассматривать, скажем, работу украинского ЦИПсО (центр информационно-психологических операций) с момента начала СВО как диверсионную? С точки зрения логики данного противостояния — да, однозначно, в не меньшей степени, чем сброс листовок над населением и войсками противоборствующих сторон. А ведь армии всех стран имеют даже специальные снаряды для распространения листовок. Но при этом многие зарубежные площадки, игравшие ключевую роль в распространении вбросов ЦИПсО, изо всех сил пытались сделать вид, что это «обычная коммерческая деятельность». Якобы простое размещение рекламы, максимум — «обычное» распространение фейков.

Именно этот диапазон недопустимого — от дезинформации до прямых атак на военные и гражданские системы — и придется определить в ближайшие годы. Если мы хотим получить нормальное сосуществование различных стран в мире. И, конечно, одновременно учиться самим защищаться от атак, отвечать на них. Это не так сложно, как кажется. Массовое использование кибератак — направление на самом деле низкотехнологичное. Фактически оно сводится к возможности организации околохакерских групп при наплевательском отношении к ним правоохранительных органов. Такие группы практически никогда не занимаются разработкой своих инструментов и методов атак. Они используют уже готовые средства и способы.

А вот отсутствие внимания со стороны полиции — основная причина процветания знаменитых украинских колл-центров. По сути, это обычные рядовые мошенники, покупающие на черном рынке персональные данные россиян и пытающиеся методами социальной инженерии выманить у них деньги. Даже сама направленность именно на Россию обусловлена лишь тем, что в стране расположения колл-центров нет недостатка в русскоговорящих сотрудниках. А наш русский человек порой бывает излишне доверчив и легкомыслен.

— Будет ли существовать киберпроблема лет этак через 30–50?

— Есть такая популярная точка зрения, что «вот-вот все изменится». Ее хорошо видно на примере военной техники. Со времен Второй мировой войны вышли десятки публикаций о том, что танки больше не нужны, артиллерия больше не нужна, пушки на самолетах больше не нужны… В реальности же лишь уточняются детали. Появились высокоточное оружие, дроны, цифровая связь. Но основные принципы остаются прежними. По-прежнему побеждает тот, у кого лучше артиллерия, больше танков и тщательнее обучены солдаты и генералы.

Я думаю, что и в сфере кибервойн принципиальных изменений не произойдет. Не появится ни всемогущего вируса, ни непроницаемой защиты. Победы и поражения и через 30, и через 50 лет будут определяться людьми — специалистами, их опытом и знаниями.

На самом деле если посмотреть в предыдущие 50 лет истории компьютеров, мы увидим, что при колоссальных внешних изменениях основные концепции, подходы, принципы меняются очень медленно. Многие из них были заложены еще к началу 70-х годов. Просто сейчас их реализация стала занимать десятки квадратных миллиметров, а не метров.

— Если ли сегодня универсальное противоядие — противодействие киберугрозе?

— При всей распространенности кибератак большинство из них примитивны. А поэтому системы защиты давно уже разработаны и широко используются. Государственные и коммерческие компании легко справляются даже с очень мощными атаками отказа в доступе. Специальные системы на входе автоматически фильтруют запросы, пропуская внутрь только пришедшие от реальных пользователей, а не от бот-ферм. Такой сервис по защите от атак отказа в доступе можно приобрести даже для своего домашнего вебсайта. Он стоит 200–300 рублей в месяц. Вряд ли он защитит вас от по-настоящему крупной атаки, но и ваш домашний сайт вряд ли будут бомбардировать всерьез.

На сайты Госуслуг, крупных банков, СМИ нападают постоянно. Но успешны лишь те атаки, которые нацелены на кражу данных. В первую очередь это персональные данные пользователей различных сервисов. Они требуют хакера с высокой квалификацией или недобросовестного сотрудника внутри компании. Но ведь и современные сервисы не хранят пароли своих пользователей в пригодном для чтения виде. Так что даже если злоумышленник что-то украдет, паролями воспользоваться не сможет.

Дам важные советы вашим читателям: формируйте всегда и везде сложные и надежные пароли. Если хакеры крадут доступ в личный кабинет пользователя, к его почте, мессенджеру или соцсетям, то они делают это, подбирая пароль случайным образом. Так что если в качестве секретного слова вы взяли собственное имя, можете быть уверены, что рано или поздно его взломают. Хакерам для этого даже не надо заранее знать, как вас зовут. Они просто переберут все имена по очереди в авторежиме. Это займет секунды. Так что соблюдайте информационную гигиену. Не используйте один и тот же пароль на разных сайтах. Сейчас есть много удобных программ, которые создают и запоминают за вас отдельный уникальный пароль к каждому сайту. Не давайте пароль от Госуслуг постороннему человеку, не заходите в важные онлайн-сервисы с чужих компьютеров, не устанавливайте у себя на компьютере, смартфоне программы неизвестного происхождения, не пользуйтесь услугами непонятных «мастеров-компьютерщиков» по объявлениям. Хакеры не всемогущи. Соблюдение этих советов, сравнимых с мытьем рук после общественного транспорта, в десятки раз снижает вероятность кражи ваших денег. Пусть даже серьезные кибератаки для вас станут не личной катастрофой, а просто новостью в газете.

Получайте вечернюю рассылку лучшего в «МК» - подпишитесь на наш Telegram

Самое интересное

Фотогалерея

Что еще почитать

Видео

В регионах