Аналіз ситуації та поради щодо кібербезпеки в телекомунікаційному просторі
Василь Хомяк, головний інженер з безпеки (CSE) компанії «ВОЛЗ» (надання інтернет-послуг, хостингу та захисту від DDoS-атак):
У жовтні 2022 проросійська хакерська група Killnet атакувала одразу десять найбільших аеропортів США. Зловмисники заблокували роботу сайтів, систем керування повітряним рухом, внутрішній зв’язок і координацію авіакомпаній. Місяцем раніше росіяни атакували енергосистему Італії та викрали 700 гігабайтів даних. А наприкінці вересня СБУ викрила у Львові групу хакерів, які зламали майже 30 мільйонів акаунтів громадян ЄС і України для поширення російської пропаганди.
Час від часу Головне управління розвідки попереджає, що Кремль планує масовані кібератаки на об’єкти критичної інфраструктури України та її союзників, а також може збільшитися інтенсивність DDoS-атак. Чи витримає наша цифрова інфраструктура ворожі кібератаки, опиратися яким поки що не в змозі навіть західні країни? І як українському бізнесу захиститися від російських хакерів?
Ще за дев’ять днів до повномасштабного вторгнення, росія здійснила найбільшу кібератаку в історії України, на яку витратила мільйони доларів. Масовані DDoS-атаки «поклали» найбільші державні банки, портал «Дія», сайти Міноборони та ЗСУ. А у переддень російського наступу, 23 лютого, сталася велика DDoS-атака на сайти Верховної Ради, СБУ та інших держструктур. Тоді фахівці зафіксували роботу шкідливого програмного забезпечення HermeticWiper, яке стирає дані. Як з’ясувалося, воно було встановлене на сотнях комп’ютерів по всій країні, а підготовка до атаки тривала кілька місяців.
За даними Держспецзв’язку, кількість кібератак під час війни зросла втричі. В нашій команді ми побачили сплеск DDoS-атак, які націлені на наших клієнтів. В перші кілька місяців (до літа 2022 року) ми спостерігали підвищення запиту на додатковий захист, як от Arbor Sightline. Найчастіше це було зі сторони банківського сектору. Адже після оцінки ризиків вони бачили в ньому потребу. Проте з середини літа все повернулось до довоєнного рівня. Найчастіший сценарій – спершу компанія піддається DDoS-атаці, а вже після цього шукає рішення, як від неї захиститися у майбутньому. Атаки, для яких потрібно застосовувати додаткові технічні можливості, ми фіксуємо чи не щотижня.
Жертвами хакерів стають не лише держустанови. Кіберзлочинці шукають вразливості в цифровій інфраструктурі малого та середнього бізнесу, щоб залучити їх в ролі співучасників (ботів) для майбутніх DDoS-атак. Найчастіше хакери використовують вразливості звичайних роутерів, якими користуються домашні та бізнес абоненти. Внесок однієї такої жертви в організацію DDoS-атаки може складати близько 10 МБ/с трафіку. При цьому для досягнення максимального ефекту зловмисники одночасно використовують тисячі таких ботів, більшість з яких не підозрюють про це. Як провайдер, ми регулярно отримуємо від міжнародних організацій скарги на ті чи інші IP-адреси, які належать бізнес-клієнтам, і є скомпрометованими та використовуються для участі в DDoS-атаках.
У 60-70% випадків для незаконного проникнення хакери використовують фішинг, тобто розсилку шахрайських електронних листів, замаскованих під офіційні джерела. Зловмисники поширюють через соцмережі повідомлення про несплату штрафів, вакансії в оборонній сфері тощо. Часто такі листи містять zip-архіви, відкриття яких активує шкідливі програми типу Cobalt Strike Beacon або CredoMap. Тому вкрай важливо звертати увагу на адресу відправника. Навіть одна неправильна літера чи крапка має стати тривожним дзвіночком і сигналом не відкривати сумнівне повідомлення.
Великий бізнес рідше використовується хакерами в якості ботів, оскільки має краще обладнання, цифрові системи, ІТ-підрозділи та служби безпеки. Куди більш небезпечними для таких компаній є кібератаки на цифрову інфраструктуру. Кіберзлочинці намагаються викрасти або знищити конфіденційні дані, щоб отримати викуп, заблокувати роботу підприємства, скомпрометувати або ліквідувати бізнес.
Минулоріч американська компанія Вandwidth, яка спеціалізується на глобальних корпоративних комунікаціях, втратила майже $12 млн через DDoS-атаку. Зловмисники вимагали у клієнтів компанії викуп за повернення особистих даних і розблокування, внаслідок чого багато з них відмовився від подальших послуг Вandwidth.
Від більшості видів кібератак клієнт може захиститися самостійно, дотримуючись правил «цифрової гігієни», використовуючи антивіруси, VPN, фаєрволи тощо. Вартість такого комплексного захисту зазвичай не перевищує сотні доларів на місяць. Однак врятувати бізнес від DDoS-атак не здатен навіть найкращий індивідуальний захист. Це може зробити інтернет-провайдер, який має спеціалізоване обладнання та пропускну здатність каналів, яка удесятеро більша за середній трафік у своїй мережі.
Наприклад, якщо трафік в мережі провайдера становить близько 60-70 Гб/с, пропускна здатність його зовнішніх каналів має бути щонайменше 500-600 Гб/с. Такий запас потрібен для того, щоб під час розширеної DDoS-атаки на клієнта, шкідливий трафік міг пройти крізь зовнішні канали провайдера, не перенавантаживши їх та не заблокувавши роботу клієнтських сервісів ще до того, як спрацює система захисту. В Україні подібні ресурси та інструменти є лише у кількох компаній. Тому обираючи постачальника послуг, переконайтесь, чи здатен він ефективно захистити ваш бізнес від DDoS-атак.
Головними цілями російських хакерів є інфраструктурні об’єкти, банки, держустанови та великий бізнес. У серпні 2022 один із наших клієнтів – великий український маркетплейс – пережив масштабну DDoS-атаку. Вона відбувалася у два етапи. На першій фазі, яка тривала близько двох годин, сайт взагалі не працював, оскільки через інтернет-канал клієнта з пропускною здатністю 2 Гб/с була здійснена атака трафіком близько 70 Гб/с. Другий етап тривав три доби, під час яких потужність атаки зменшилася до 1,5 Гб/с, однак при цьому вона суттєво гальмувала роботу маркетплейсу.
Клієнт не мав захисту від DDoS-атак, оскільки вважав, що ця послуга йому не потрібна. Відтак для відбиття нападу нам довелося застосувати стандартний для таких ситуацій механізм BGP Blackhole. Тобто IP-адресу клієнта було відправлено у так звану «чорну діру», після чого вона стала недоступною з мережі Інтернет. Таким чином, шкідливий трафік не потрапляв до інформаційних систем клієнта. Однак і користувачі мережі Інтернет також не могли потрапити на сайт. Зекономивши на захисті, маркетплейс втратив найдорожчий ресурс, який неможливо купити за жодні гроші – довіру користувачів.
Багато клієнтів помилково вважають, нібито провайдер зобов’язаний захищати їх від DDoS-атак. Насправді ж це – окрема послуга, яка вимагає від провайдера додаткових витрат на спеціалізоване обладнання, зовнішні аплінк-канали високої пропускної здатності та кваліфікований персонал. Своєю чергою вартість такої послуги є доступною навіть для невеликого бізнесу. У 95-97% випадків достатньо базового захисту від волюметричних DDoS-атак, які є найбільш поширеними. Ця послуга коштує вчетверо дешевше від вартості послуги доступу до Інтернету.
Для клієнтів, яким потрібен глибший захист з тонкою інтелектуальною очисткою трафіку засобами системи захисту, вартість послуги буде, звісно, вищою. Але і категорія клієнтів, які потребують саме такого захисту, є доволі вузькою (банківський сектор, платіжні системи, маркетплейси).
Для захисту від DDoS-атак може використовуватися американський програмно-апаратний комплекс Arbor Sightline. Користувачі цієї послуги можуть через особистий кабінет відстежувати та проводити аналітику власного трафіку (як корисного, так і шкідливого).
Наприклад, з яких IP-адрес і країн відбувалася атака. В режимі реального часу клієнт засобами веб-інтерфейсу самостійно або ж з інженером служби технічної підтримки провайдера має можливість заблокувати той чи інший трафік (наприклад, з певних країн звідки здійснюється атака). Більшість атак виявляються та відбиваються даною системою захисту автоматично протягом декількох секунд.
Віднедавна під прицілом ворога опинилися і невеликі компанії, які займаються волонтерством, або ж пов’язані з оборонним чи державним сектором. Адже зупинка їхньої роботи може порушити важливі ланцюги виробництва та логістики під час війни. Крім того, атаки на малий і середній бізнес часом замовляють і недобросовісні конкуренти. Подібні незаконні послуги пропонуються в інтернеті за ціною від $10 за годину до $60-100 за добу. Здебільшого це примітивні атаки, проте 95% невеликих компаній не має ефективного захисту від них.
В умовах війни додатковим захистом для українських бізнесів і держструктур стала міграція у хмари. У перші тижні повномасштабного вторгнення в хмарні сервіси Amazon були перенесені критичні дані МВС, МОЗ, системи ProZorro, Всеукраїнської школи онлайн та десятків інших держустанов, реєстрів і систем. Багато бізнесів мігрували як в глобальні хмари на кшталт Microsoft, Google, Amazon, так і в українські, зокрема De Novo, UCloud. Хмарним сервісам останньої віддали перевагу 85% наших клієнтів, оскільки UCloud розміщує своє обладнання не лише в Україні, а й у ЦОД (Центр опрацювання даних – Ред.) Європи.
Сьогодні українці не лише навчилися захищати дані та відбивати ворожі DDoS-атаки, але й рішуче йдуть у наступ на кіберфронті. З перших днів вторгнення Мінцифри оголосило про створення IT-армії, до якої приєдналося понад 200 тисяч волонтерів з різних країн. За цей час вони паралізували роботу тисяч російських онлайн-ресурсів, серед яких – «Газпромбанк», Rambler і «МК». А нещодавно IT-армії зламала сайт ПВК «Вагнер», найманці якої вчиняли звірства в Україні та по всьому світу. Нині «білі» хакери успішно здійснюють DDoS-атаки на російські засоби масової дезінформації та блокують стратегічні підприємства ворога, прискорюючи нашу спільну перемогу.
Публікації у розділі Дискусії у форматі «Колонка» відображають думку виключно автора тексту, вказаного на початку статті. Позиція автора колонки може не співпадати з точкою зору редакції Hubs.ua. Видання залишає за собою право публікувати думку інших авторів щодо викладених у цій статті тем.