Как Россия борется со своими хакерами

Как Россия борется со своими хакерами

Публикация международного издания Russia Beyond The Headlines о деятельности Центра противодействия киберугрозам Госкорпорации Ростех.

Если правительственные организации в США жалуются, в основном, на атаки с территории других стран, российские признаются: больше всего их беспокоят именно отечественные хакеры.

Российские хакеры плохо поддаются контролю. Они действуют не только в интересах своего государства, как считают в американских спецслужбах, но и во вред ему. Для борьбы с ними госкорпорация «Ростех» даже открыла специальный Центр противодействия киберугрозам в конце 2016 года. «Ростех» осуществляет разработку, производство и экспорт высокотехнологичной промышленной продукции, в том числе — военного назначения.

Центр не афиширует свою деятельность: скромная вывеска в уютном переулке старой Москвы и обычные, на первый взгляд, айтишники за компьютерными мониторами в open-space. Здесь не увидишь даже электронную карту страны во всю стену, как изобразил бы офис кибер-защитников Голливуд.

Ежедневно центр защищает от атак более 700 госпредприятий, входящих в «Ростех». Это, в том числе, холдинг разработчиков высокоточного оружия «Высокоточные комплексы», Объединенная приборостроительная компания, выпускающую электротехнику и микроэлектронику, и выпускающий артиллерийские боеприпасы концерн «Техмаш».

«В Ростехе работают около тысячи сотрудников по информационной безопасности, — рассказывает директор Центра Александр Евтеев. – Это выпускники лучших технических вузов и опытнейшие российские программисты, с которыми мы постоянно на связи. Сотрудники нашего центра обмениваются информацией с ФСБ (основной спецслужбой страны – прим.ред.), сотрудничают со специалистами по расследованию киберпреступлений и производителями средств защиты».

Агрессивная киберсреда

По словам специалистов центра «Ростех», если раньше хакеров больше интересовали банковские счета, то теперь они все чаще пытаются получить доступ к закрытой промышленной и научной информации с целью шантажа. Кибератаки предпринимаются, в основном, из стран ближнего зарубежья, СНГ и из самой России. Часто русские хакеры используют отечественный рынок для тестирования своих «новинок», прежде чем перейти к атакам за рубеж.

Наиболее популярный вид атак – это шифрование и блокировка баз данных предприятий. Похитив их, вымогатели обещают прислать код для расшифровки за деньги, но на практике данные возвращаются после оплаты редко. Способ минимизировать риски — делать резервные копии. Новые виды атак появляются постоянно: сложные целенаправленные атаки на промышленные системы и инфраструктуру компаний, внедрение программ-шифровальщиков, DDos-атаки, то есть ложные запросы на сайт, полностью выводящие его из строя.

Одновременно защищать большое количество предприятий специалистам Центра киберугроз выгодно: так можно видеть и отслеживать гораздо больше разных событий, связанных с информационными рисками и быстро совершенствовать защиту.

Заражение через сотрудников

Защита высокотехнологичного военного предприятия отличается от обычной. Заводы «Ростеха» используют, к примеру, межсетевые экраны и системы обнаружения вторжения, основанные на поведенческом анализе и поиске аномальной активности по специальным алгоритмам. «Чаще всего заражение идет через самих работников, — говорит Евтеев. — Скажем, направляется подготовленное «фишинговое» письмо с интересующим содержанием, которое почти невозможно отличить от настоящего. Это может быть письмо с вложенным отчетом, которого ждал сотрудник». По его словам, вирус, еще не попавший в базы антивируса, встраивают прямо в файл pdf или word.

Сам по себе он угрозы не предоставляет, но устанавливает связь личной машины сотрудника с командным центром злоумышленника, рассказывает Евтеев. Затем хакер решает, что делать дальше: скачать модуль удаленного управления, подключить функцию слежки за пользователем, использовать ресурсы компьютера для DDoS-атак или продать доступ к компьютеру на «черном рынке».

Обнаружить внедрение очень сложно, теоретически такой шпионаж может продолжаться годами. В Центре «Ростеха» для этого есть системы, выявляющие аномалии в поведении информационных систем. После обнаружения неизвестные вредоносные файлы отправляются в лаборатории типа «Касперского», которые добавляют их в свои антивирусы. Сам центр «Ростеха» должен успеть предупредить госкорпорации о планируемых угрозах и обезвредить их, например, при хищении учетной записи сотрудника, заражении его мобильного телефона. По словам Евтеева, задача специалистов по кибербезопасности в том, чтобы превратить процесс взлома для преступника в настолько сложный и дорогой, чтобы он сам отказался от этого.

Автор: Ляйсан Юмагузина
Источник: Russia Beyond The Headlines