Теги → атака
Быстрый переход

Интенсивность DDoS-атак на российские сайты снизилась вдвое

После масштабных DDoS-атак на российские сайты в мае их интенсивность, т.е. число используемых злоумышленниками IP-адресов, уменьшилась вдвое по состоянию на конец июня. По мнению экспертов, это связано с отсутствием явных обострений во внешнеполитической обстановке и усилением блокировок трафика на границе.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

По данным Qrator Labs, интенсивность DDoS-атак на российские сайты сократилась с 2,2 млн IP-адресов, которые были задействованы на пике активности злоумышленников 27 мая, до 1 млн IP-адресов к 20 июня. Наиболее заметный всплеск фиксировался в период с конца февраля по начало марта, когда количество используемых для проведения DDoS-атак IP-адресов достигало 3,5 млн единиц. В «Лаборатории Касперского» также подтвердили более чем двукратное снижение интенсивности DDoS-атак.

Эксперты уточняют, что обычно в июне не наблюдается всплеска активности хакеров, но в нынешнем году динамику снижения интенсивности DDoS-атак нельзя объяснить сезонностью, поскольку они, как правило, проводятся кампаниями и привязаны к определённым внешним событиям. «Долго держать всплеск на одной интенсивности невозможно. Но если будет обострение во внешнеполитической обстановке, то атаки снова вернутся к пикам», — считает основатель и генеральный директор Qrator Labs Александр Лямин.

Напомним, после обострения ситуации на Украине российская инфраструктура подверглась масштабным атакам. Даже если не учитывать мартовские пики, интенсивность DDoS-атак планомерно росла в период с апреля по май и увеличилась за это время на 100 % — с 1 млн используемых IP-адресов до более чем 2 млн. Эксперты отмечают, что в основном такие атаки проводили непрофессиональные хакеры, которые генерировали трафик собственными браузерами или простыми DDoS-инструментами.

Нынешний спад активности злоумышленников также связывают с тем, что значительная часть ресурсов Anti-DDoS блокирует иностранные IP-адреса, которые и используются для создания существенного объёма вредоносного трафика. Об этом рассказал директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Владимир Дрюков.

Руководитель направления по компьютерной криминалистике компании «Информзащита» Никита Панов также отметил, что на активность хакеров может влиять стоимость криптовалют, которая часто используется для оплаты их услуг. Поскольку в настоящее время криптовалютный рынок переживает не лучшие время, а стоимость биткоина колеблется в районе $20 тыс. за единицу, интерес хакеров к DDoS-атакам, которые традиционно являются одной из самых дешёвых услуг, в значительной степени сократился.

Хакеры взломали Rutube ещё в марте, но служба безопасности не замечала этого до 9 мая

Российский видеохостинг Rutube подвергся «сильнейшей за всю историю» платформы хакерской атаке 9 мая. В результате сервис был недоступен в течение нескольких дней. По данным компании Positive Technologies, которая работала над устранением последствий взлома, хакерам удалось проникнуть во внутреннюю инфраструктуру платформы ещё в марте этого года, за два месяца до того, как сервис был выведен из строя.

 Источник изображения: Rafael Henrique / SOPA Images / LightRocket / Getty Images

Источник изображения: Rafael Henrique / SOPA Images / LightRocket / Getty Images

«Rutube взломали заблаговременно: первые следы компрометации относятся к началу весны. Это была именно целевая хакерская атака, нацеленная на нанесение максимального и долговременного урона сервису», — приводит источник слова главы Positive Technologies Дениса Баранова.

После того, как в марте хакерам удалось проникнуть во внутреннюю инфраструктуру Rutube, они начали изучать систему защиты, не подавая никаких признаков активности, из-за чего служба безопасности не смогла обнаружить их присутствие. Хакеры запланировали провести полноценный взлом и нарушить работоспособность Rutube именно 9 мая. За время пребывания в сети сервиса они «чётко выделили виртуальные машины, задействованные в обеспечении работы сервиса, и удаляли именно их».

Отмечается, что сотрудники службы безопасности Rutube хорошо справились с последствиями атаки, которая была проведена 9 мая. Они оперативно начали изолировать виртуальные машины, как только обнаружили первые признаки взлома. Благодаря этому удалось сохранить часть инфраструктуры сервиса.

Cloudflare отразила крупнейшую в истории HTTPS DDoS-атаку с частотой до 26 млн запросов в секунду

Компания Cloudflare, занимающаяся интернет-инфраструктурой, на прошлой неделе зафиксировала и отразила крупнейшую в истории HTTPS DDoS-атаку с частотой до 26 млн запросов в секунду. Злоумышленники атаковали веб-сайт неназванного клиента компании, использующего бесплатный тарифный план.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Согласно имеющимся данным, в ходе упомянутой атаки для генерации запросов использовалась небольшая, но мощная ботнет-сеть из 5067 устройств. Для сравнения, ранее компания отслеживала значительно более крупный ботнет, состоящий из более чем 730 тыс. устройств, но при этом неспособный генерировать более 1 млн запросов в секунду.

 Источник изображения: Cloudflare

Источник изображения: Cloudflare

Нынешняя атака проведена с использованием ботнета, преимущественно состоящего из виртуальных машин и серверов. Отмечается, что речь идёт о HTTPS DDoS-атаке, организация которой обходится дороже с точки зрения требуемых вычислительных ресурсов из-за более высокой стоимости установки безопасного зашифрованного соединения TLS. Это означает, что для злоумышленника организация такой атаки обходится дороже, но и для противостояния ей также требуется больше средств. В прошлом фиксировались очень крупные DDoS-атаки через незашифрованный HTTP, но данная атака выделяется на их фоне из-за масштабов ресурсов, которые были необходимы для её организации.

 Источник изображения: Cloudflare

Источник изображения: Cloudflare

Менее чем за 30 секунд ботнет сгенерировал свыше 212 млн HTTPS-запросов из более чем 1500 сетей в 121 стране мира. Наибольшее количество запросов поступало из Индонезии, США, Бразилии и России. При этом около 3 % от общей мощности пришлось на узлы сети Tor. Наибольший объём трафика шёл из сетей французского провайдера OVH, индонезийской компании Telkomnet, американской iboss и ливийской Ajeel.

США обвинили китайских хакеров во взломе телеком-компаний для анализа трафика

Несколько федеральных агентств США заявили, что поддерживаемые Китайским правительством хакерские группировки провели серию атак против крупных телекоммуникационных компаний и поставщиков сетевых услуг с целью кражи учётных данных и шпионажа. Об этом сказано в совместном заявлении Агентства национальной безопасности (NSA), Агентства по кибербезопасности и защите инфраструктуры (CISA) и Федерального бюро расследований (FBI).

 Источник изображения: Bleeping Computer

Источник изображения: Bleeping Computer

В сообщении сказано, что китайские хакеры использовали известные уязвимости для взлома сетевых устройств, таких как маршрутизаторы, используемые как в небольших компаниях, так и в крупных корпоративных сетях. Скомпрометированные устройства хакеры использовали как часть собственной инфраструктуры для более углубленного проникновения во внутренние сети жертв.

«Закрепившись на первоначальном плацдарме в телекоммуникационной компании или сетевом провайдере, спонсируемые КНР хакеры выявляли критически важных пользователей и инфраструктуру, включая системы, обеспечивающие безопасную аутентификацию, авторизацию и учёт», — говорится в сообщении американских агентств.

 Источник изображения: NSA

Источник изображения: NSA

После этого хакеры похищали учётные данные для доступа к SQL-базам и последующего извлечения учётных данных пользователей и администраторов критически важных серверов Remote Authentication Dial-In User Service (RADIUS). «Вооружившись действительными учётными записями, данными пользователей со взломанного сервера RADIUS и конфигурациями маршрутизаторов, хакеры вернулись в сеть, используя возможность доступа и знания для прохождения аутентификации и выполнения команд для скрытой маршрутизации, захвата и анализа трафика в контролируемой сети», — считают специалисты американских ведомств.

 Источник изображения: Bleeping Computer

Источник изображения: Bleeping Computer

Вместе с этим был опубликован список уязвимостей, которые затрагивают продукты разных компаний и эксплуатируются китайскими хакерами с 2020 года. Используя эти уязвимости, хакеры создали обширные инфраструктурные сети, которые использовались для компрометации более широкого круга целей государственного и частного секторов. Агентства призвали правительство США и союзников принять соответствующие меры для смягчения возможных последствий деятельности хакеров. Организациям рекомендуется как можно быстрее устанавливать исправления безопасности, блокировать неиспользуемые порты и протоколы, а также своевременно заменять устаревшие элементы сетевой инфраструктуры, для которых уже не выпускаются патчи безопасности.

Интенсивность DDoS-атак на уровне приложений в мае увеличилась на 200 %

Стало известно, что в мае интенсивность DDoS-атак на уровне приложений (Application Layer или L7, когда осуществляется имитация обращений пользовательских приложений, например, просмотр веб-страниц или работа мессенджера) к серверам жертв увеличилась на 200 % относительно апреля. Об этом пишет «Коммерсантъ» со ссылкой на данные компании Qrator Labs.

 Источник изображения: Pixabay

Источник изображения: Pixabay

В сообщении сказано, что всплеск атак на российскую IT-инфраструктуру впервые фиксировался в феврале-марте. Количество IP-адресов для ведения злонамеренной активности в этот период достигало 3,5 млн единиц. В апреле этот показатель не превышал 1 млн IP-адресов за месяц, тогда как в марте снова вырос до 2 млн единиц.

Основатель и генеральный директор Qrator Labs Александр Лямин рассказал, что во многих случаях оборудование, предназначенное для противодействия DDoS-атакам, успешно справляется с атаками другого типа. «В их числе угрозы, когда вредоносный трафик переполняет пропускную полоску», — сообщил господин Лямин.

При этом он отметил, что от атак на уровне приложений такое оборудование не помогает. «Интерес злоумышленников к новому типу атак возрастает в разы, поскольку в таком случае трафик максимально похож на легитимный», — отметил гендиректор Qrator Labs. По его словам, для выявления атак такого типа требуется осуществлять анализ поведения всех пользователей, заходящих в моменте на ресурс. Однако используемые операторами связи средства могут анализировать только паттерн трафика: откуда он идёт, есть ли нетипичные IP-адреса, наблюдается ли аномальный всплеск активности.

В Qrator Labs считают, что атаки уровня L7 станут трендом в 2022 году. В прошлом атаки такого типа также проводились, но это были единичные случаи. Одной из самых масштабных атак с обращениями через приложения была атака на сервисы «Яндекса» в 2021 году. В ходе этой атаки к ресурсу отправлялось 21,8 млн запросов в секунду.

Хакеры используют VPN, Proxy и ботнет-сети для организации DDoS-атак в России

После того, как для блокировки зарубежного трафика по географическому признаку в России начали использовать оборудование для фильтрации на сетях связи, хакеры стали искать альтернативные способы организации DDoS-атак. Злоумышленники используют для проведения вредоносных кампаний VPN- и Proxy-сервисы, а также ботнет-сети, состоящие из скомпрометированных сетевых устройств, таких как роутеры и умные камеры, с российскими IP-адресами.

 Источник изображения: Pixabay

Источник изображения: Pixabay

В апреле этого года было объявлено о намерении Роскомнадзора создать национальную систему защиты от DDoS-атак, для чего планировалось обновить оборудование для глубокой фильтрации трафика (DPI), используемое при исполнении закона о суверенном интернете. По данным источника, это оборудование применяется для фильтрации трафика по географическому признаку на границах России. Официальные представители Роскомнадзора воздерживаются от комментариев по данному вопросу.

С момента начала спецоперации на Украине 24 февраля Россия столкнулась с волной кибератак на госсектор и бизнес. В «Лаборатории Касперского» сообщили, что в конце февраля компания отразила в 4,5 раза больше DDoS-атак, чем за аналогичный период годом ранее.

«При борьбе с DDoS-атаками механизм блокировки по географическому обращению для ряда сервисов является быстрым и действенным», — считает директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков. Когда злоумышленники понимают, что ресурс включил такую блокировку, они начинают использовать в атаках IP-адреса, находящиеся на территории России. «Это можно сделать, арендовав VPN, Proxy или VPS (виртуальный выделенный сервер) у провайдеров, расположенных в РФ, или использовать различные ботнеты, объединяющие заражённые устройства на территории РФ. Большинство ботнет-сетей на данный момент собраны из различных заражённых умных устройств или просто персональных компьютеров», — добавил эксперт.

Основатель компании Qrator Labs (специализируется на защите от DDoS-атак) Александр Лямин согласен, что на фоне блокировок трафика из-за рубежа атакующие стали использовать устройства, расположенные в российском адресном пространстве. «Подобная схема обхода блокировок по IP существовала и раньше, это доказывает, что фильтрация трафика по геолокации неэффективна», — уверен господин Лямин.

Уязвимость протокола Bluetooth позволяет злоумышленникам запускать двигатель электромобилей Tesla и проникать в салон

Эволюция систем безопасности Tesla привела к тому, что автовладельцу нет нужды постоянно носить при себе ключ от машины, при необходимости его можно заменить не только карточкой, но и смартфоном. «Электронный ключ» также можно передавать и другим людям. Все эти удобства цивилизации имеют обратную сторону медали — уязвимость в протоколе Bluetooth LE позволяет злоумышленникам проникать в салон электромобилей и угонять их.

 Источник изображения: Tesla

Источник изображения: Tesla

Специалисты британской компании NCC Group обнаружили, что уязвимость в протоколе Bluetooth Low Energy позволяет удлинять радиус действия штатного ключа или его электронного аналога, отпирая электромобиль и получая доступ к его управлению даже в том случае, если владелец находится на значительном удалении от машины. Злоумышленнику для реализации взлома системы безопасности Tesla по такой системе потребуются два ретранслятора, позволяющие увеличивать диапазон сигнала смартфона владельца или штатного ключа, а также ноутбук со специальным программным обеспечением.

В ходе эксперимента, показанного представителями NCC Group сотрудникам Bloomberg News на примере имеющегося в их распоряжении электромобиля Tesla, один ретранслятор располагался на расстоянии около 14 метров от смартфона автовладельца, а второй был подключен к ноутбуку хакера, расположившегося в непосредственной близости от машины. Комплект оборудования для реализации этой схемы, если не считать ноутбук, стоит около $100 и может быть куплен в интернет-магазинах, а после установления соединения проникновение в салон электромобиля требует не более десяти секунд.

По данным исследователей, угонщики спокойно могут приближаться с ретрансляторами к дому автовладельца, когда тот спит, оставляя смартфон включенным, и получать контроль над припаркованным по близости электромобилем. Методика взлома отличается от уже известных лишь в некоторых нюансах, и, по большому счёту, не является уникальной для электромобилей Tesla. Таким способом можно получать доступ к более чем двум сотням моделей автомобилей, а также различным «умным» устройствам типа электронных замков, использующих протокол BLE для связи со смартфоном. В случае с Tesla для реализации защиты от взлома необходимо модифицировать аппаратную часть машины, поэтому сложно сказать, решится ли компания на масштабный отзыв электромобилей в профилактических целях.

Rutube заявил о полном восстановлении повреждённой хакерами инфраструктуры, но сервис всё ещё недоступен

Российский видеохостинг Rutube подвергся крупнейшей за свою историю хакерской атаке 9 мая. Согласно имеющимся данным, специалистам сервиса удалось восстановить повреждённую часть инфраструктуры платформы, но сам веб-ресурс по-прежнему остаётся недоступным. Также известно, что инцидент изучают эксперты Positive Technologies, чтобы установить, был ли причастен к атаке кто-либо из сотрудников компании.

 Источник изображения: Rutube

Источник изображения: Rutube

«Нам удалось частично оправиться после серьёзнейшей атаки. Повреждённая часть инфраструктуры полностью восстановлена. Сейчас Rutube последовательно возобновляет работу сервиса», — приводит источник слова гендиректора Rutube Александра Моисеева. Он сообщил о скором восстановлении сервиса 10 мая, добавив, что в ночь на 11 мая начнёт работать функция просмотра видео, а чуть позже восстановятся эфирное вещание и стриминговые функции. Несмотря на это, сервис остаётся недоступным на момент написания этой заметки.

Директор экспертного центра безопасности Positive Technology Алексей Новинков рассказал, что в ходе атаки хакеры удалили часть критически важных данных и скачали информацию, необходимую для подтверждения утечки. В настоящее время начато расследование инцидента, которое продлится около трёх недель. По результатам расследования будет установлено, имеет ли кто-либо из сотрудников Rutube причастность к хакерской атаке.

Директор департамента по продажам инвестиционной компании «Вектор Икс» Сергей Звенигородский считает, что убытки от простоя Rutube могут оставить от 500 млн до 1 млрд рублей. Это связано с потерей рекламных доходов, а также расходами на восстановление повреждённой инфраструктуры. Он также отметил, что на момент кибератаки сервис мог стоить 6-7 млрд рублей.

По данным источника, руководство Rutube знало о существовании нескольких уязвимостей ещё в 2021 году. В сообщении сказано, что осенью прошлого года компания провела служебную проверку, в результате которой было установлено, что дочернее предприятие компании Group IB, работающей в сфере информационной безопасности, поставило Rutube неработоспособное решение, а ущерб составил 407 млн рублей. Позднее Group IB опровергла эти данные, заявив, что продукты компании не использовались для защиты Rutube ни во время атаки 9 мая, ни до неё.

Rutube опроверг полную потерю исходного кода после хакерской атаки — сервис будет работать

Видеосервис Rutube, являющийся отечественной альтернативой YouTube, выступил с опровержением появившихся в СМИ сообщений о том, что его сайт «не подлежит восстановлению» после хакерской атаки 9 мая.

 Источник изображения: Rutube

Источник изображения: Rutube

«Информация относительно утери исходного кода сайта не соответствует действительности», — указал в сообщении сервис, отметив, что столкнулся с самой сильной кибератакой за всю историю своего существования.

По состоянию на 13:00 мск сайт Rutube по-прежнему не работает. «Сайт был атакован. В настоящий момент ситуация находится под контролем. Данные пользователей сохранены», — указано на сайте сервиса.

Администрация Rutube отметила в Telegram-канале, что речь идёт о громадных объёмах данных архивов, которые исчисляются петабайтами, и сотнях серверов, поэтому на восстановление функционирования уйдёт больше времени, чем изначально предполагалось. Тем не менее исходный код доступен, библиотека цела, и сейчас специалисты компании занимаются восстановлением сегментов файловой системы удалённых сред и баз на части серверов.

Атака на Rutube произошла 9 мая около 7:00 мск. О том, что сервис «не подлежит восстановлению», сообщило издание The Village со ссылкой на информированный источник, утверждающий, что кибератака стала возможна из-за утечки кодов доступа к сайту.

Rutube перестал открываться из-за мощной кибератаки

Работоспособность российского видеохостинга Rutube была сегодня нарушена. По официальным данным, причиной тому стала мощная хакерская атака на сервера компании. Соответствующее уведомление было опубликовано в официальном Telegram-канале Rutube.

 Источник изображения: Rafael Henrique / SOPA Images / LightRocket / Getty Images

Источник изображения: Rafael Henrique / SOPA Images / LightRocket / Getty Images

«Вслед за сайтами российских ведомств, которые в течение последних двух месяцев постоянно подвергались кибератакам, хакеры добрались до Rutube. Видеохостинг подвергся мощной кибератаке. На данный момент зайти на платформу невозможно», — сказано в сообщении Rutube. Известно, что специалисты сервиса уже работают над восстановлением доступа к платформе, но какие-то конкретные сроки возвращения её в работу озвучены не были.

 Источник изображения: Globalcheck

Источник изображения: Globalcheck

По данным сервиса Globalcheck, который занимается мониторингом блокировок и доступности веб-ресурсов, Rutube продолжает оставаться недоступным из сетей всех провайдеров в разных регионах России. Недоступен сервис и из-за границы. Напомним, с конца февраля количество хакерских атак на российские сайты многократно увеличилось. Ранее у пользователей возникали проблемы с доступом к сайту Кремля, правительства РФ, а также веб-ресурсам других ведомств и организаций. По данным Минцифры, за последние недели наблюдался беспрецедентный рост количества DDoS-атак на правительственные сайты и порталы.

Cloudflare обнаружила одну из мощнейших DDoS-атак с частотой до 15,3 млн запросов в секунду

На этой неделе компания Cloudflare, занимающаяся интернет-инфраструктурой, рассказала об обнаружении DDoS-атаки, мощность которой на пике составила 15,3 млн запросов в секунду. Одна из крупнейших HTTPS DDoS-атак за всё время наблюдения была зафиксирована в начале месяца и направлена против одного из клиентов Cloudflare, использующего площадку для запуска криптовалют.

 Источник изображений: Cloudflare

Источник изображений: Cloudflare

Согласно имеющимся данным, DDoS-атака длилась всего 15 секунд, а для её организации использовался ботнет из примерно 6 тыс. скомпрометированных устройств из 112 стран мира. По данным Cloudflare, около 15 % трафика исходило из Индонезии. Также большое количество трафика фиксировалось из России, Бразилии, Индии, Колумбии и США. Отмечается, что это была не самая крупная атака на уровне приложений, которую фиксировали в Cloudflare, но она стала крупнейшей с использованием HTTPS.

«HTTPS DDoS-атаки обходятся дороже с точки зрения требуемых вычислительных ресурсов из-за более высокой стоимости установления безопасного зашифрованного соединения TLS. Поэтому злоумышленнику обходится дороже запуск такой атаки, а жертве — противостояние ей. В прошлом мы видели очень крупные атаки через незашифрованное соединение по HTTP, но эта атака выделяется из-за объёма ресурсов, которые потребовались для её организации», — говорится в сообщении Cloudflare.

В компании также отметили, что преимущественно «атака происходила из дата-центров». При этом использовалось более 1300 сетей по всему миру, а наибольший объём трафика шёл из сетей немецкого провайдера Hetzner Online GmbH, колумбийского Azteca Communicaciones Colombia и французского OVH.

В работе сервисов «1С» наблюдаются сбои из-за DDoS-атак

По сообщениям сетевых источников, в работе сервисов «» наблюдаются сбои с 21 апреля. Об этом свидетельствуют пользовательские обращения, в которых говорится о недоступности обновлений, проблемах с авторизацией в личном кабинете и на сервере ИТС, а также сбоях в работе ЭДО и «1С:Отчётность». Позднее в Telegram-канале «1С:Франчайзи» появилось сообщение, что проблемы с работой сервисов «» обусловлены с DDoS-атаками.

 Источник изображения: Aymane Jdidi / pixabay.com

Источник изображения: Aymane Jdidi / pixabay.com

«В связи DDoS-атаками на различные сервисы для учёта и отчётности в организациях, в том числе на ресурсы «», часть наших сайтов и сервисов может быть временно недоступна или работать медленно и неустойчиво. Технические специалисты «» отслеживают ситуацию и принимают усилия для её стабилизации и восстановления нормального функционирования. Угрозы для данных пользователей не наблюдается, они не пострадали и надёжно защищены», — говорится в сообщении «».

Согласно имеющимся данным, к настоящему моменту «» восстановила нормальное функционирование многих веб-ресурсов и сервисов. Соответствующее уведомление появилось на сайте компании.

«На данный момент восстановлено нормальное функционирование большинства интернет-ресурсов и сервисов «», включая «1С:ЭДО» и «1С-Отчётность». DDoS-атаки продолжаются, технические специалисты «» отслеживают ситуацию и предпринимают усилия для обеспечения нормального функционирования интернет-ресурсов и сервисов», — говорится в сообщении компании.

Роскомнадзор готовит общегосударственную систему защиты от DDoS-атак

На базе оборудования, предназначенного для исполнения закона о суверенном интернете, в России планируется развернуть модернизированную систему защиты от DDoS-атак. С соответствующей инициативой Роскомнадзор (РКН) выступил после того, как российские компании и ведомства столкнулись с массовыми атаками злоумышленников на свои ресурсы из-за рубежа.

 Источник изображения: geralt/pixabay.com

Источник изображения: geralt/pixabay.com

В рамках плана РКН ожидается создание национальной системы защиты от DDoS-атак, которая, по данным Forbes, должна появиться уже осенью 2022 года — для этого будет обновлено оборудование для глубокой фильтрации трафика (Deep Packet Inspection, DPI), которое используется во исполнение закона о суверенном интернете.

Ранее предполагалось, что такая система позволит обеспечить работу российского сегмента Сети даже в случае её отключения от глобального интернета или кибератак. При этом действия злоумышленников после начала событий на Украине показали, что существующая инфраструктура слабо готова к отражению угроз. В прошлом месяце Минцифры рассказывало о «беспрецедентных» кибератаках на государственные сайты.

Как сообщает Forbes со ссылкой на экспертное мнение Алексея Лукацкого, технически возможна защита на действующем DPI-оборудовании, но возможность масштабировать систему защиты на все каналы связи остаётся под вопросом. Кроме того, от обычного наплыва большого числа «мусорного» трафика на сайты оно не поможет, для этого РКН придётся самостоятельно создавать специальные центры очистки трафика, поскольку операторы связи предоставлять такую услугу всем и на безвозмездной основе откажутся. Для защиты от DDoS с использованием уязвимостей в веб-приложениях и на сайтах придётся готовить больше разнообразных сценариев атак для DPI-систем.

В РКН намерены дополнить национальную систему защиты от атак увеличением пропускной способности DPI-оборудования. По данным Forbes, действующее оборудование способно фильтровать до 100 Гбайт/с, ведомство намерено увеличить пропускную способность в несколько раз. По некоторым данным это может быть связано и с общим ростом трафика — в последнее время он заметно увеличился за счёт роста потребления видеоконтента. Впрочем, эксперты прогнозируют, что уход из России многих зарубежных сервисов, а также отмена безлимитных тарифов у операторов мобильной связи приведут к тому, что трафик расти не будет, по крайней мере — в 2022 году.

Сообщается, что за последнее время число кибератак на российские ресурсы выросло многократно, намного увеличилась и их интенсивность. Примечательно, что под атаки попадают ресурсы самой разной направленности — от сайтов государственных учреждений до коммерческих компаний и СМИ, никак не связанных с государством. Эксперты отмечают, что организаторы ориентировались строго по российским IP-адресам, по косвенным признакам — зачастую даже не понимая, о каких именно ресурсах идёт речь.

Из-за хакерского взлома Росавиация временно перешла на бумажный документооборот

Согласно данным источника Telegram-канала «Авиаторщина», 26 марта IT-инфраструктура Росавиации подверглась мощной хакерской атаке, в результате которой якобы было уничтожено примерно 65 Тбайт данных, включая весь документооборот, файлы на серверах, электронную переписку за полтора года, а также удалена система «Госуслуг». Сейчас специалисты компании ведут поиск реестра воздушных судов и авиационного персонала. Расследованием случившегося, по словам источника, занимается Генпрокуратура и ФСБ.

 Источник изображения: Pixabay

Источник изображения: Pixabay

О том, что в связи с инцидентом, ведомству пришлось перейти на бумажный документооборот, фельдъегерскую почту и «Почту России», сообщается в телеграмме главы Росавиации Александра Нерадько. Её копия есть у ресурса РБК, а скриншот был опубликован Telegram-каналом «Авиаторщина». Согласно документу, решение было принято «в связи с временным отсутствием доступа к сети Интернет и сбоем в системе электронного документооборота Росавиации».

Эксперты полагают, что атака могла пройти по схеме «человек посередине» (MiM, man in the middle), когда злоумышленники взламывают аккаунт одного из участников и общаются с партнёрами от его имени.

По словам источника Telegram-канала, атака хакеров прошла успешно из-за некачественного исполнения договорных обязательств со стороны ООО «ИнфАвиа», которое осуществляет эксплуатацию IТ-инфраструктуры Росавиации. Резервных копий, у Росавиации якобы нет, «так как деньги Минфином на это не выделялись».

Однако директор по специальным проектам Angara Security Александр Дворянский утверждает, что у организации уровня Росавиации, как правило, создаются резервные копии значимых ресурсов каждые несколько часов в автоматическом режиме. Поэтому система может быть восстановлена в кратчайшие сроки.

Его слова подтвердил гендиректор «Киберполигона» Лука Сафонов. Росавиация — объект критической информационной инфраструктуры, который обязан следовать регламентам и создавать резервные копии. «Это понимает любой здравомыслящий IT-специалист, и работать иначе означает сидеть на пороховой бочке», — говорит Сафонов. Если сведения о случившейся атаке достоверны, то её можно считать одной из крупнейших целенаправленных атак за последнее время, заявил он, добавив, что подобная атака могла быть совершена только профессионалом высокого уровня.

Американские власти обвинили четырёх россиян в кибератаках на энергетический сектор страны

Министерство юстиции США обнародовало обвинения в отношении четырёх граждан России, которые, по мнению ведомства, осуществили проведение сотен атак на компании энергетического сектора по всему миру, включая оператора атомной электростанции в Канзасе.

 Источник изображения: Luke Sharrett / Bloomberg

Источник изображения: Luke Sharrett / Bloomberg

Минюст утверждает, что хакеры действовали в период с 2012 по 2018 годы и провели за это время множество атак, нацеленных на тысячи компьютерных систем в 135 странах мира. Высокопоставленный представитель правоохранительных органов заявил, что в настоящее время сохраняется высокая вероятность атак на объекты критической инфраструктуры. Это заявление было сделано вскоре после того, как американский президент Байден заявил, что Россия, в ответ на санкции якобы может провести серию кибератак против США.

«Российские хакеры представляют серьёзную и постоянную угрозу для критической инфраструктуры как в США, так и во всём мире. Хотя предъявленные сегодня обвинения отражают прошлую деятельность, они подчёркивают, что американским предприятиям необходимо укреплять свою оборону и сохранять бдительность», — заявила заместитель генерального прокурора Лиза Монако.

Что касается самих обвинительных заключений, то в них фигурирует имя программиста Евгения Гладких. Американские прокуроры считают, что он вместе с другими хакерами использовал вредоносное программное обеспечение Triton для взлома IT-систем нефтеперерабатывающего предприятия за пределами США в 2017 году. В обвинении сказано, что он пытался осуществить взлом системы безопасности компании Schneider Electric, что привело к простою в функционировании неназванного предприятия.

Второе обвинительное заключение вынесено в отношении Павла Акулова, Михаила Гаврилова и Марата Тюкова. По данным американских прокуроров, за несколько лет деятельности они распространили вредоносное ПО на более чем 17 тыс. компьютеров в США и других странах. Отмечается, что наибольший интерес они проявляли к сетям нефтяных и газовых компаний, а также других объектов, связанных с энергетической инфраструктурой разных стран. Утверждается, что упомянутые люди связаны с хакерской группировкой Berzerk Bear (Energetic Bear). В настоящее время ни один из четырёх обвиняемых Минюстом россиян не находится на территории США.

window-new
Soft
Hard
Тренды 🔥
Слухи: ремастеры Grand Theft Auto IV и Red Dead Redemption могут выйти после того, как люди забудут о фиаско обновлённой трилогии GTA 6 ч.
В Москве прошёл ежегодный саммит Machines Can See, посвящённый сервисам на основе компьютерного зрения 7 ч.
Следующая полноценная Ubisoft Forward пройдёт в сентябре 7 ч.
Тактическая ролевая игра Solasta: Crown of the Magister вышла на Xbox и получила поддержку кроссплея 7 ч.
Бывшее российское подразделение Schneider Electric начнет производить отечественное ПО 8 ч.
Сетевой пиратский экшен Skull and Bones и правда покажут в этом месяце — причём уже послезавтра 8 ч.
Yakuza 0, Kiwami и Kiwami 2 вернулись в Game Pass, на подходе — «Свинка Пеппа» и не только 8 ч.
Thales создала провайдера суверенных облачных сервисов S3NS в партнёрстве с Google Cloud 9 ч.
Грядущая презентация издателя RoboCop: Rogue City и The Lord of the Rings: Gollum вместит 17 игр — больше половины уже известны 9 ч.
Сервис такси «Максим» пожаловался в Минцифры на RuStore — больше месяца не получается добавить приложение в магазин 9 ч.