«В компаниях мог быть «крот»: в атаке на авиацию замешаны политические мотивы

Генеральная прокуратура заявила, что сбой в IT-системах российских авиакомпаний был вызван кибератакой. В результате нарушений в московском аэропорту Шереметьево задержаны более 80 рейсов и отменены около 60. Ведомство организовало проверку, а транспортная прокуратура взяла ситуацию на контроль. В атаке обвиняются хакеры. Эксперт по информационной безопасности, сооснователь компании «Третья сторона» Антон Бочкарев рассказал «365NEWS», как обычно проводят такие атаки, и кто мог быть заказчиком. IMAGO/Westlight/www.imago-images.de/Global Look Press тестовый баннер под заглавное изображение

«В аэропорту продолжает работать мобильная приемная, куда пассажиры могут обратиться по вопросам защиты их прав», — сообщили в прокуратуре.

Ранее, 28 июля, российские авиакомпании сообщили об отмене рейсов в Москве и Петербурге из-за технических неполадок. Пресс-секретарь президента Дмитрий Песков назвал информацию о возможной хакерской атаке «достаточно тревожной».

По факту инцидента возбуждено уголовное дело по статье о неправомерном доступе к компьютерной информации.

Напомним, хакерские группировки Silent Crow и Киберпартизаны BY взяли ответственность за атаку, заявив, что уничтожили около 7 тыс. серверов и похитили 12 терабит данных, включая переговоры сотрудников и системы наблюдения. Они обещают вскоре обнародовать часть информации, оценив ущерб в десятки миллионов долларов.

По словам Антона Бочкарева, пока что данных о том, как именно это произошло, ни у кого нет, кроме компаний, которые занимаются расследованием. В публичном поле каких-то данных в ближайшее время точно не появится.

— Подобные атаки уже случались. Это типичная атака с использованием шифровальщика — вредоносной программы, которая блокирует работу компании. Примером могут служить случаи с компаниями «Винлаб» и «СДЭК».

Суть таких атак в том, что злоумышленники проникают в систему компании и получают доступ к самым важным, критическим данным и ресурсам. После этого они шифруют эти данные, чтобы остановить работу компании. Иногда они требуют выкуп за расшифровку, а иногда просто хотят нанести ущерб.

Такого рода атаки можно назвать кибертерроризмом, потому что их цель — полностью остановить работу компании с помощью шифрования ключевых данных. На данный момент это самый эффективный способ надолго заблокировать деятельность организации.

Поэтому я уверен, что в данном случае именно шифрование ключевых данных и бизнес-систем компании стало причиной остановки её работы.

— Кто те хакеры, которые устроили атаку? Это действительно серьезные группировки?

— Взявшиеся за это дело — это хактивисты Это взломщики с политическими целями. Они много чего обещают и рассказывают. Да, иногда выкладывают скриншоты и цифры, но доверять им сложно. Зачем верить тем, кто хочет привлечь к себе внимание и продвинуть свою политическую позицию? Они могут преувеличивать масштабы взлома, могут лгать, а могут и говорить правду — непонятно.

Поэтому не стоит делать выводы только на основе того, что они пишут. Лучше смотреть на реальные последствия: насколько компания действительно перестала работать, что у неё работает, а что нет. Это гораздо надёжнее, чем верить каким-то цифрам или скриншотам. Иногда скриншоты были подделаны или не показывали ничего важного, и было непонятно, что именно они хотели этим сказать.

В разных случаях хактивисты либо врали, либо говорили правду, но почти всегда пытались преувеличить свою роль и значимость.

— Как хакеры смогли взломать систему авиакомпаний?

— Идеальной защиты в принципе не бывает. Основные вопросы сейчас — к структурам, которые отвечали за безопасность российских авиакомпаний. Их сейчас много обсуждают, я их перечислять не буду. Но особенно вопросы к тем, кто занимался мониторингом и реагированием на кибератаки — именно к этим подрядчикам больше всего претензий.

Отдельно стоит говорить о тех, кто проверял защищённость российских авиакомпаний — например, проводил анализ безопасности или тесты на взлом. К ним тоже есть вопросы, но в целом главные претензии именно к подрядчикам, потому что у российских авиакомпаний, насколько я понимаю, нет больших собственных специалистов по безопасности внутри компании. Они привлекали много внешних подрядчиков — это можно найти в интернете в меморандумах и соглашениях. Вот к этим подрядчикам и вопросы.

Конечно, есть вопросы и к организации дела. Например, если были сигналы, что есть слабые места в безопасности, но на них не обращали внимания — это одно.

Если же проверки проводились, но были некачественными, или мониторинг безопасности был недостаточно эффективным — например, мониторинг заметил атаку, но не смог её остановить, или вообще ничего не заметил и «проспал» атаку — это уже вопросы к тем, кто отвечал за мониторинг.

— Что могло стать катализатором атаки?

— Всегда есть вероятность, что кто-то из сотрудников помог злоумышленникам — например, получил взятку или сознательно передал информацию. Такое возможно, но обычно этого не происходит. Чаще всего взлом происходит извне.

Наиболее распространённый способ проникновения в крупные компании сейчас — это социальная инженерия. То есть, злоумышленники не взламывают напрямую защиту компании, а сначала воздействуют на людей — сотрудников. С внешней защитой обычно проще, а вот через людей попасть внутрь компании легче.

Обычно точка входа — это сотрудник, который допустил ошибку: например, его личный компьютер мог быть заражён вирусом, или он по невнимательности передал свои данные для входа злоумышленникам. После этого хакеры уже развивают атаку внутри компании.

— Применяли ли что-то новое?

— Мне кажется, что мы не увидим здесь какой-нибудь уникальной атаки или каких-то уникальных технологий, но это покажет расследование. Это пока исключительно мое предположение, что здесь ничего супернового и очень-очень сложного не было. Просто применили известные подходы и известные техники, но применили их хорошо и удачно.

А со стороны защиты очень сильно ошиблись: не заметили атаку, не смогли вовремя отразить, не понимали, как отразить, или ещё по какой-либо причине.

— Сколько могла стоить такая хакерская атака?

— Сейчас сказать сложно, просто потому что мы не знаем, какова была точка входа. Но, скорее всего, она была достаточно дорогой с точки зрения трудозатрат исполнителей, просто потому что, если бы это было легко, то с 2022 года крупные авиакомпании взломали бы много раз. Поэтому какое-то усилие и какие-то финансовые вложения, очевидно, здесь были — на работу специалистов. То есть стоимость атаки была точно не очень низкой.

— Кто мог быть заказчиком?

— Первым об этом заявили хактивисты — это политические активисты, которые используют взломы как форму кибертерроризма. Их цель — привлечь внимание СМИ и нарушить работу важных систем. Но на самом деле, скорее всего, не было конкретного заказчика этой атаки. Просто кто-то хотел провести такую акцию, похожую на многие другие, чтобы дестабилизировать ситуацию и нанести ущерб крупным компаниям, особенно государственным.

— Какой ущерб нанесся компаниям?

— Миллиарды. Уже точно думаю, миллиарды, просто потому что авиакомпания — это такой бизнес, простой которого несет сразу гигантские убытки.

— Какие выводы должны быть сделаны?

— На самом деле, основные выводы будут сделаны после расследования — где именно был вход для атаки и как она развивалась. Но уже сейчас понятно: подрядчики и средства защиты, которые использовались, сработали не идеально. Возможно, процессы безопасности не были отлажены, сотрудники не знали, как действовать, а системы защиты подавали сигналы, но их не заметили или не поняли.

Возможно, средства безопасности устанавливались не для реальной защиты, а ради каких-то других целей — например, чтобы показать, что работа сделана, или из-за личных интересов. Такое тоже бывает. То есть, может быть, где-то специально не уделяли должного внимания безопасности, потому что это было выгодно каким-то решениям или людям.

После расследования станут ясны слабые места, и их нужно будет устранять другими способами. Полностью защитить большую и сложную компанию невозможно, но допустить атаку такого масштаба, которая затронула бы всю компанию сразу, довольно сложно.

Если бы взлом коснулся только одной базы данных, ущерб был бы меньше. Если бы сбой произошёл в одном сегменте сети российских авиакомпаний, это тоже случается довольно часто. Но именно такой масштаб атаки говорит о наличии системных проблем, которые нужно обязательно решать.

Источник