Айти от удара: число атак на российские серверы выросло почти на треть

Сложные, массированные и долговременные

За первое полугодие 2022 года количество атак на российскую IT-инфраструктуру, главным образом на серверы, возросло на 28,57% по сравнению с 2021 годом. Это показал анализ частоты атак, которые зафиксированный в центре мониторинга информационной безопасности «Лиги цифровой экономики». Исследователи отмечают, что атаки стали сложными, массированными и долговременными. В этом году большая часть атак пришлась на серверы, принадлежащие государственным структурам, объектам финансового и производственного сектора.

— В последние месяцы злоумышленники активно ведут атаки на серверы на уровне приложений: SQL-инъекции, CSRF-атаки, XSS-межсайтовый скриптинг, а также на транспортном и сетевом уровнях: переполнение TCP Syn (SYN-Flood), DDoS-атаки, — рассказывает эксперт «Лиги цифровой экономики» Андрей Слободчиков. — Однако всё же раньше большинство атак было направлено на эксплуатацию уязвимостей и преследовало коммерческую выгоду. Например, на заражение серверов вирусом-шифровальщиком или на кражу баз данных для дальнейшей продажи.

По сравнению с аналогичным периодом прошлого года в 8–9 раз участились атаки, цель которых — отказ в обслуживании (например, DDoS-атаки), уточняют в «Лиге цифровой экономики». Специфику атак сейчас представляют разного рода уязвимости (включая уязвимости нулевого дня). Они могут быть использованы из-за незащищенных компонентов серверов: процессоров, жестких дисков, оперативной памяти. На уровне приложений уязвимости встречаются в компонентах, обеспечивающих работу XML, PHP, JDK и других.

— Российские серверы сейчас испытывают большую нагрузку и возросшее количество атак из-за более агрессивной обстановки в киберпространстве, — подчеркивает аналитик исследовательской группы Positive Technologies Федор Чунижеков. — К примеру, в нашей аналитике по мировым актуальным киберугрозам I квартала 2022 года мы зафиксировали на 14,8% больше атак, чем в конце 2021 года.

По оценкам Positive Technologies, наиболее часто встречающимися проблемами последнего времени являются недостаточное внимание разработчиков и администраторов к безопасности, наличие уязвимостей в используемых продуктах и решениях, а также неправильная конфигурация.

— Часто конфигурация настроек безопасности серверов остается заданной по умолчанию, что может привести к компрометации данных, — указывает Федор Чунижеков. — В первую очередь должна соблюдаться строгая парольная политика, использоваться многофакторная аутентификация и строгое разграничение доступа.

Злоумышленники могут использовать уязвимости, обнаруженные у вендоров различных серверов, для доступа к ценной информации. По оценкам специалистов, организации не всегда оперативно устраняют обнаруженные уязвимости, даже если о них уже известно и существуют необходимые исправления. Кроме того, во время атаки на серверы могут быть задействованы уязвимые веб-приложения. Согласно данным аналитики Positive Technologies, возможность выполнения команд ОС на сервере была выявлена в 17% исследованных приложений. А это считается угрозой максимальной степени риска.

Руководитель проектов ЗАО «Айсес» Александр Мухин добавляет, что в последнее время наметился негативный тренд в облачных решениях для бизнеса: фактически вся информация хранится онлайн в ЦОДах, а поддержка этих «облаков» часто отдается на аутсорсинг. При этом аутсорсинговые компании не всегда обладают достаточной возможностью для обеспечения безопасности.

— Сейчас набирают силу атаки, связанные с распространением технологий верификации по биометрическим данным, — говорит эксперт ЗАО «Айсес». — Методика синтеза изображения deepfake позволяет накладывать одно изображение или видеоряд на другое, тем самым производя подмену при верификации.

Также, по его словам, в последнее время широкое распространение получили различные VPN-сервисы. Киберпреступники используют инфостилеры для сбора учетных данных пользователей и дальнейшей их перепродажи.

Ведущий консультант ИБ в компании R-Vision Евгений Гуляев рассказал об участившихся попытках подкупа персонала организаций для запуска специализированного вредоносного ПО на рабочем месте. Главная цель — компрометация информационной инфраструктуры и выполнение нелегитимных действий. Суммы предлагаемых вознаграждений за запуск вредоносного файла доходят до нескольких тысяч долларов, сообщает эксперт.

Чего ждать дальше

Руководитель группы защиты инфраструктурных IT компании «Газинформсервис» Сергей Полунин объяснил «Известиям», что в РФ есть серверные системы, которые созданы достаточно давно. Это значит, что компании и организации работают на устаревшем ПО, для которого производитель уже не выпускает обновлений безопасности и его поддержкой занимается исключительно эксплуатирующая организация. Такой сервер имеет больше уязвимостей, так как современные средства обеспечения безопасности могут быть несовместимы с ним, замечает специалист по ИБ.

— Я думаю, в основном будет расти количество и масштабы DDoS-атак как самых простых и легко реализуемых, — поясняет Сергей Полунин.

Директор «А-Реал Консалтинг» Игорь Сухарев полагает, что в ближайший год не стоит ждать снижения уровня атак на серверы российских компаний и организаций. Однако если первый всплеск активности киберпреступников носил ситуативный характер, атаки по своей направленности были разрозненными и иногда даже непоследовательными, то в будущем речь уже будет идти о качественно спланированных и подготовленных вторжениях и взломах, преследующих конкретные цели.

— И потому очень важно, чтобы руководители бизнеса и госструктур использовали это время для укрепления периметра своих корпоративных сетей, повышения квалификации сотрудников, внедрения профильного российского ПО для защиты данных и предотвращения вторжений, — заключает Сухарев.

Дмитрий Алексеев