Киберштаб – новый формат взаимодействия игроков рынка ИБ
Компании «Ростелеком-Солар», «Лаборатория Касперского», Positive Technologies и BI.ZONE – ключевые игроки рынка ИБ – объявили на SOC-Форуме 2022 о новом формате своего взаимодействия. С конца февраля на фоне роста числа атак компании создали своего рода киберштаб для совместной защиты российских организаций. С этой целью эксперты обмениваются инструментарием и наработками, которые ранее считали своим конкурентным преимуществом.
Как прокомментировали в «Ростелеком-Солар», для помощи российским организациям в сложный период были ускорены все коммерческие инициативы. Для заказчиков, которые не могли оплатить услуги, часть работ проводилась бесплатно. Кроме того, всем заинтересованным компаниям неограниченно предоставлялась методическая поддержка.
За 8 месяцев совместной деятельности объединенная группа разработала для компаний несколько документов и рекомендаций, в том числе по обновлению зарубежного ПО, борьбе с отзывом сертификатов. Участники киберштаба не только усилили взаимодействие в рамках ГосСОПКА, но и сформировали отдельную среду для оперативной совместной работы. Поступающие данные по атакам обрабатываются в рамках единой команды на условиях неконкуренции, свободного и полного шеринга экспертизы, а задачи распределяются с учетом честной оценки свободных ресурсов.
События в киберпространстве стали заметны для массовой аудитории благодаря волне DDoS-атак. Как отмечают в BI.ZONE, поначалу эти атаки были не очень технологичны, в частности, все цели размещались в специализированных телеграм-каналах, по классической схеме злоумышленники использовали массовые международные ботнеты. Однако у атак были и специфические черты. Во-первых, учитывалась сезонная популярность ресурсов, во-вторых, хакеры с помощью специализированного ПО сформировали бот-сеть, атакующую даже те организации, которые ограничили у себя использование международного трафика и закрылись от международных ботнетов. В-третьих, использовались и нестандартные способы DDoS-атак с территории РФ (например, за счет заражения видеоплеера на популярном видеохостинге хакеры включили в свой ботнет устройства российских зрителей).
Помимо DDoS, происходили и массовые атаки уровня веб-приложений, причем на все российские IP-адреса. По данным компаний, в российском интернете есть несколько десятков тысяч уязвимых корпоративных ресурсов и забытых веб-консолей, причем многие их этих уязвимостей довольно старые и проэксплуатировать их может даже школьник. Например, уязвимость в почтовом клиенте MS Exchange использовалась примерно в 15% крупных корпоративных и государственных взломов, хотя соответствующее обновление было выпущено вендором еще в начале 2021 г. Известная уязвимость в Bitrix также использовалась в нескольких десятках атак с лета этого года.
Финансово мотивированные злоумышленники, по информации «Лаборатории Касперского», в 2022 г. продолжили активно атаковать компании, используя такие инструменты, как целевой фишинг, DDoS, вредоносное ПО. Злоумышленники переходят от массовых рассылок к более сложному ПО и таргетированным подходам, разрабатывают инструменты под разные ОС и платформы, активно используют новостную повестку. Как отмечают в «Лаборатории Касперского», только осенью было зафиксировано несколько вредоносных рассылок с темами, связанными с мобилизацией, конечной целью которых в основном были шпионаж или уничтожение данных.
Как подчеркивают эксперты, несколько компаний с высоким уровнем безопасности стали жертвой хакерских группировок. Для атаки, как правило, использовались эксплуатация уже известных уязвимостей и фишинговые рассылки с вредоносным ПО, в том числе с серверов предварительно скомпрометированных компаний. В случае геополитических потрясений или общественно значимых событий, считают в Positive Technologies, необходимо оперативно искать следы более раннего взлома организации: на практике оказалось, что многие компании были взломаны за несколько месяцев до нанесения им реального ущерба – в частности, полного вывода из строя или длительного нарушения работоспособности сервисов, потери конфиденциальных данных.