Компьютерные атаки на информационные ресурсы Российской Федерации: факты и цифры

Глобальное информационное пространство

В последнее время компьютерные атаки, их источники и последствия стали часто освещаться в СМИ. Согласно статистике географического распределения источников кибератак за 2016–2017 гг., главным источником вредоносной деятельности являются США и Европейский союз.

Большинство гигантов отрасли информационно-коммуникационных технологий действуют под юрисдикцией США. Эта отрасль отличается тем, что ее производители стараются быстрее выводить на рынок новые продукты и услуги. Времени на обстоятельное тестирование безопасности этих продуктов и услуг нет. В результате ошибки в программном и аппаратном обеспечении вовремя не выявляются и превращаются в скрытую уязвимость. Некоторые из них проявляются в ходе эксплуатации этих продуктов только через много лет.

Если посмотреть динамику роста так называемых критических уязвимостей за 2016, 2017 и 2018 гг., то мы заметим, что увеличение составляет 160%. По мнению экспертов, которое мы разделяем, каждая восьмая уязвимость является критической или имеет высокий уровень опасности. Издержки эксплуатации таких уязвимостей ложатся на плечи пользователей. В большинстве случаев производители не несут ответственности за надежность и безопасность своей продукции.

Общественность уверяет, что дополнительные исследования безопасности будут сдерживать развитие рынка, а пользователям гораздо важнее инновации. При этом все забывают, что наличие уязвимостей является базой для разработки средств их эксплуатации, то есть вредоносного ПО. Профессионалы в большинстве случаев подтверждают правильные принципы: нет уязвимостей – нет компьютерной атаки.

Повышение безопасности

В текущих условиях реальным шагом повышения безопасности пользователей мог бы стать международный запрет на разработку вредоносного ПО. Россия так и сделала: ст. 273 УК РФ квалифицирует создание вредоносных программ как преступление. Увы, нашему примеру следуют немногие. Практически везде запрет на разработку подобного ПО отсутствует.

Торговля уязвимостями мобильных устройств опасна не меньше, чем торговля оружием. В связи с этим как не вспомнить заявление нынешнего президента компании Microsoft Брэда Смита: "Украденные у АНБ данные об уязвимостях ударили по пользователям всего мира". Из-за утечки этих данных в том числе возникли такие глобальные эпидемии, как WannaCry, NotPetya, Bad Rabbit.

Хочу напомнить, что американские официальные лица обвинили только Российскую Федерацию в распространении вируса NotPetya. Однако позиция России, что создание вредоносов должно расцениваться как преступление, неоднократно озвучивалась. Она состоит в том, что борьба с этим явлением должна вестись на глобальном уровне и в первую очередь в правовой плоскости. Но это работа на перспективу. Текущей задачей является повышение информационной безопасности Российской Федерации и защита от компьютерных атак.

Создание ГосСОПКИ

Следует отметить, что уровень защищенности российского национального пространства растет. Грамотность наших пользователей в этой сфере постепенно повышается. Вместе с тем наши ресурсы подвергаются массированным компьютерным атакам из-за рубежа. Для повышения устойчивости функционирования национальных информационных ресурсов в условиях компьютерных атак в стране создается Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Краткое название – ГосСОПКА. Система строится в масштабах национального информационного пространства и рассчитана в первую очередь на объекты КИИ. Она уже эффективно работает.

В 2018 г. средствами ГосСОПКА выявлено более 4 млрд компьютерных воздействий на российские информационные ресурсы, из них более 17 тыс. наиболее опасных компьютерных атак. Для сравнения: за весь 2017 г. эти показатели составили 2,4 млрд воздействий и около 13 тыс. наиболее опасных атак. Только на информационные инфраструктуры чемпионата мира по футболу было совершено более 25 млн вредоносных воздействий. В составе ГосСОПКА функционирует Национальный координационный центр по компьютерным инцидентам.

Все центры ГосСОПКА непрерывно анализируют трафик, циркулирующий в информационном пространстве Российской Федерации, прежде всего поступающий на фоне регулярных информационных каналов. Они устанавливают связь, обеспечивающую защиту этой системы, и анализируют более миллиона мегабайт в секунду и выявляют угрозы компьютерных атак. В случае их обнаружения определяются сетевые адреса источников атаки, время проведения и другие параметры, которые передаются в центр мониторинга. Там производится комплексный анализ сообщений. По результатам анализа параметров выявленной компьютерной атаки разрабатывается документация о получении защищенности объектов информационной инфраструктуры Российской Федерации, которая доводится до всех заинтересованных лиц. Описанная схема функционирования системы ГосСОПКА показывает, что она предназначена исключительно для защиты информационного пространства Российской Федерации и не может повлиять на функционирование информационных ресурсов иностранных государств.

Примеры отраженных целевых атак

Приведу несколько конкретных примеров целенаправленных компьютерных атак и массовых заражений, которые были выявлены этой системой в последние годы. Начну с вирусов-шифровальщиков. Мы вплотную столкнулись с ними в 2006 г. Тогда за несколько часов работы наши специалисты определили алгоритм шифрования и вскрыли ключи. Работоспособность системы, которая была повреждена этим вирусом-шифровальщиком, была полностью восстановлена.

Эпидемия вирусов-шифровальщиков WannaCry в 2017 г. затронула почти 70 стран, в том числе и Российскую Федерацию. Было заражено более полумиллиона компьютеров по всему миру. Наибольшие потери понесли частные пользователи. Одновременно некоторые объекты КИИ нашей страны подверглись атаке. Этот вирус-шифровальщик кардинально отличался от шифровальщика 2006 г. Злоумышленники применили такие криптографические методы, что шифрование информации, используемое в современных вычислителях, стало невозможным. Целью этих атак было нарушение работы информационной системы.

Анализ вредоносных воздействий показал, что атаки запускались с использованием захваченных компьютеров. Использованная злоумышленниками бот-сеть состояла из более чем 100 тыс. компьютеров, расположенных практически по всему миру. Вредонос, использовавшийся в ходе проведения атак, позволял генерировать в захваченных компьютерах большой спектр практически не поддающихся фильтрации запросов. В результате каждый компьютер чередовал период активности и бездействия. Нашим специалистам при содействии зарубежных партнеров удалось установить, что центр управления бот-сетью был расположен на территории США, Канады, Таиланда и Малайзии.

Национальным центром реагирования на компьютерные инциденты каждой из стран были направлены запросы о принятии необходимых мер и о прекращении функционирования выявленных центров управления бот-сетью. Коллеги отреагировали на это незамедлительно. Национальный центр реагирования на компьютерные инциденты Малайзии реализовал необходимые комплексные мероприятия уже через три часа после направления запроса. Для прекращения функционирования центров управления на территории США и Канады потребовались почти сутки.

С каждым годом методы проведения компьютерных атак, в том числе приуроченных к важным общественно-политическим мероприятиям, совершенствуются. В качестве примера кратко опишем атаки на информационную инфраструктуру России в 2017–2018 гг. во время ежегодной горячей линии президента и прошедших в марте 2018 г. президентских выборах. Начиная с июня 2017 г. нами фиксировалось проведение компьютерной атаки в отношении всего национального сегмента сети Интернет. Первый пик этой атаки пришелся на день проведения горячей линии президента Российской Федерации. Благодаря заблаговременно принятым техническим мерам атака не повлияла на проведение этого мероприятия.

Проведенный анализ показал, что она осуществляется с использованием новой модификации известного ранее вредоноса семейства Russkill. Оценив заложенные в эту модификацию возможности, мы пришли к выводу, что имеем дело со спецслужбой иностранного государства, в совершенстве знающей алгоритмы работы корневых DNS-серверов.

В марте этого года пик новой атаки пришелся на день выборов президента Российской Федерации. Основной ее целью был срыв работы систем видеонаблюдения за ходом голосования по всей стране, что могло бы позволить развязать кампанию по дискредитации итогов выборов. Нашими специалистами была выявлена и прекращена работа более 20 тыс. источников атак, проанализированы более 100 образцов вредоносов. В результате была разработана и внедрена система технических мер, которая позволила предотвратить нарушения работы национального сегмента сети Интернет. О локальной информационной инфраструктуре чемпионата мира по футболу мы уже говорили.

Приведенные примеры показывают, что информационное пространство Российской Федерации является целью хорошо организованных компьютерных атак. Методы и средства, используемые для их подготовки, стали другими и постоянно совершенствуются. Эти атаки также могут быть направлены против других государств. Эффективное противодействие компьютерным атакам возможно только в рамках совместных усилий всех заинтересованных стран, прежде всего национальных уполномоченных органов в области обнаружения и предупреждения компьютерных атак.