Российские СМИ три месяца сражаются с мировыми кибер-войсками

Юлия Сунцова, Наталья Сейбиль

До начала спецоперации на Украине число хакерских атак на российские компании держалось на уровне десятков тысяч в неделю. Теперь показатель возрос до сотен тысяч. Взломщики чаще объединяются, действуют более организовано, быстро и решительно. Если раньше атаки основывались на больших охватах, теперь они более точечные, нацеленные на конкретную жертву.

Раньше хакеров было принято условно делить на три типа: кибершпионы (охотятся на конфиденциальную информацию»; финансово мотивированные (атакующие ради денег), хактивисты (жаждущие славы и признания).

Сейчас границы стерлись. После 24 февраля атакуют все и вся. Обороняться в России вынуждены даже те, кто считали себя неинтересными для хакеров. Против российской власти сегодня действуют, по разным оценкам, до 100 тысяч программистов со всего мира. В основном это европейские и американские команды, но к ним нередко присоединяются и российские коллективы.

Действия кибер-войск координируются в спец-чатах, чаще всего в Telegram или Discord.

Атакуется всё, что завязано на цифру:

• 28 февраля Anonymous атаковали сайты крупнейших российских СМИ: «Коммерсантъ», ТАСС, «Известия», Forbes, «Лента.ру», «Фонтанка», Buro 24/7, «Мел», E1 и др. На заглавных страницах ресурсов появлялись призывы остановить [спецоперацию] в Украине.
• В тот же день хакерской атаке подверглись электрозарядные станции на трассе Москва-Санкт-Петербург.

В конце февраля атаки пришлись в основном на правительственные структуры, госкорпорации и компании критической инфраструктуры. Хакеры стремились вывести из строя ключевые компоненты, обеспечивающие бесперебойную работу бизнеса и государственных систем в сфере финансов, банков, транспорта, логистики, коммуникаций, госуправления, IT и энергетики.

• 8 марта были взломаны сайты федеральных ведомств - ФСИН, МВД, ФАС, Минкультуры, Минэнерго, Росстата, ФССП, Росмолодежи, Росжелдора, Росимущества, Росморречфлота и ФАДН. На главных страницах ведомств появлялись антивоенные лозунги и иллюстрации. Сбои произошли по причине взлома сервиса Госмониторинг, который обслуживается Минэкономразвития и интегрирован в сайты ряда госорганов.
• 16 марта атаке подверглись сайты арбитражных судов России. Были недоступны страницы судов на Дальнем Востоке, в Сибири, на Урале и в других регионах. Попутно были взломаны сайты нескольких судов общей юрисдикции.
• В середине марта пользователи онлайн-игр на смартфонах вместо рекламы наблюдали политические лозунги. Ситуация коснулась разработчиков Voodoo, PHX, Goodjob и Magiclab.
• 23 марта взломали службу доставки Boxberry. Проблемы возникали с оформлением заказов, их отправкой через пункты, получением посылок, с работой личного кабинета и физлиц, и юрлиц.
• В ночь на 9 мая кибер-войска ударили по Rutube, платному телевидению и телепрограмме «Яндекса». На взломанных ТВ-каналах транслировали антивоенные надписи, также они появились в программе передач «Яндекса».

Редакции российских медиахолдингов и региональных редакций усиливают защитную инфраструктуру. Минимальный тариф за подключение к спецпрограммам, которые сегодня предлагает рынок – 250 тысяч рублей в месяц, то есть около 3 млн дополнительных затрат в год. Для многих региональных СМИ эта сумма неподъемна.

С какими вызовами сталкиваются сегодня СМИ и каково это – отбиваться от многотысячных кибер-войск?

Пик атак пришелся на март, тогда IT-отдел редакции работал в круглосуточном режиме, сейчас атаки как будто ослабевают, сообщили «НИ» в редакции «Аргументов и фактов».

Атаки не прекращаются все три месяца, идут постоянно, иногда очень серьезные и жесткие, отмечает Павел Гусев, главный редактор и владелец газеты «Московский комсомолец»:

- Несколько месяцев мы уже находимся под усиленной защитой «Лаборатории Касперского». Затраты на безопасность выросли, разумеется, но штат программистов мы не увеличивали. До этого у нас стояло только свое оборудование, но, как выяснилось после 24 февраля, в той мере, в которой нам бы хотелось, оно не защищает. Наши программисты бились, как могли, но выдохнули только после того, как полностью ушли под «Касперского».

9 мая, в День Победы продолжительная и комплексная атака была совершена на видеохостинг Rutube, сообщили в пресс-службе Rutube (принадлежит Газпром-Медиа Холдинг):

- Эта атака была, пожалуй, самой сложной, но мы восстановили платформу и продолжаем постоянно повышать защищённость сервисов. Мы сделали определённые выводы – теперь, если кибер-дружины захотят повторить атаки на Rutube, им понадобится значительно бОльший бюджет. Этот инцидент мы осмысливаем, планируем поделиться опытом и планами в рамках грядущего Петербургского международного экономического форума.

«Типичный режим осажденной крепости» - так характеризует работу редакций медиахолдинга 1MI директор по продукту 1MI Ирина Гольмгрейн.

- Раньше мы нередко сталкивались с коммерческими атаками. Их модель мы достаточно изучили, было понятно, как с ними бороться – и на уровне коммуникации, и технически.

После 24 февраля все изменилось.

В первые же дни нас взломали. Взлом – более вредоносная хакерская деятельность, чем DDoS-атака, потому что может повлечь потерю данных или кода. Взлом выполняют высококвалифицированные специалисты. Живой человек по ту сторону экрана втискивается в «узкие места» и получает доступ к внутренней части инфраструктуры, может изменять контент, формировать картинки и текст, которые видит аудитория и которые как бы подаются от лица редакторского коллектива. Так в первые дни спецоперации на главной странице нашего сайта сплошной простыней вывесили контент, связанный с конфликтом в Украине.

- НИ: вы проанализировали, из-за какой бреши стал возможен этот взлом?

- И. Гольмгрейн: Злоумышленники подменили код сайта через счетчик статистики io-аналитика. Изначально эта система аналитики была разработана компанией в Украине, потом офис переехал в США. На сегодня мы не знаем, сама ли компания решилась на эти действия в ущерб себе или же это сделали отдельные хакеры. Компанию мы уведомили, что договор с ними расторгаем, на что получили ответ, политически мотивированный, на мой взгляд: в общем, они со своей стороны тоже отказываются с нами работать.

С тех пор взломов не было, но массивные DDoS-атаки продолжаются уже три месяца, и степень их мощности нарастает. Таких атак мы раньше не встречали – они организованы по принципу краудфандинга.

Механизм атак таков: огромное число запросов одновременно летят на сайт, создают большие очереди, канал забивается, серверы не выдерживают. В отличие от коммерческих DDoS, при нынешних атаках нашим защитным фильтрам сложно отличить хакеров от реальных читателей, потому что и те, и те - живые люди по ту сторону экрана и действуют они идентично. В итоге настоящий посетитель, читатель лишается доступа к контенту, страничка сайта на его гаджетах выглядит так, как будто ему перекрыли интернет.

- НИ: что удалось узнать об этих кибер-командах? Кто эти люди, какова их география?

- И. Гольмгрейн: Работает большая агентская сеть. Она хорошо организована – тысячи добровольцев разной степени квалификации со всего земного шара. С поставленными задачами справляются даже школьники с минимальным уровнем знаний. Именует группа себя «IT-армией Украины». Цель - уменьшить внутренний объем информации России, как они сами ее декларируют.

Волонтеры, как мы видим, работают из Украины, европейских стран, даже России. С личного компьютера или ноутбука заходят в интернет и далее следуют детализированным инструкциям. Организаторы формируют и вывешивают список изданий, сайтов, которые надо атаковать в определенное время. Добровольцы запускают скрипт, а дальше могут пойти заняться своими делами, покушать, поспать, погулять. Атаки даже не требуют их постоянного присутствия у компьютера. Налёты усиливаются по выходным, видимо, когда помимо основной работы можно занять компьютер для таких вот целей. Ослабевают атаки по ночам. Мы шутим: «Мама не разрешает оставлять компьютер включённым на ночь».

- НИ: Подсчитывали ли вы, какие дополнительные бюджеты требуются редакциям, чтобы выдерживать эти атаки?

- И. Гольмгрейн: Медиахолдинги сегодня скорее подсчитывают, сколько уже потеряно и ежедневно теряется из-за таких атак. Обрушение трафика - это остановка монетизации, а значит прямая потеря доходов.

Атаки на 300-600 мегабит, на гигабит, как было в последние выходные, полностью блокируют интернет-канал. Это сравнимо с тем, как если бы вы на свой компьютер одномоментно скачивали 500 фильмов. Мы тестировали разные методы боя. Отсекали заходы из других стран, создавали черные списки IP-адресов, включали фильтрацию трафика, кэширование, писали вспомогательные скрипты, и всё равно трафик падал на 30-70%. На столько же, соответственно, падают и доходы редакций.

Что можно сказать о дополнительных расходах на укрепление «обороны»? Простое увеличение мощностей, ресурсов или штата программистов не решает проблему атак, так как решения здесь требуются интеллектуальные! Нужно учить систему отличать вредоносный трафик от обычного человеческого, только тогда мощность атак перестает иметь смысл.

Меняется модель атак – нужно заново оперативно разрабатывать новую модель защиты, тутт количественные методы не помогут.

Режим работы наших программистов в последние три месяца: в выходные отбиваем атаки, в будни латаем дыры и готовимся к следующим выходным. Типичная осажденная крепость, теперь мы живем так. Однако есть и позитивные новости, на днях мы отразили атаку за 5 минут, вреда от нее практически никто не заметил. Похоже, есть надежда, что скоро сможем вернуться в привычное русло работы.