Станислав
Фесенко

руководитель департамента системных решений Group- IB
© ComNews
11.01.2021

В начале 2020 года мощная DDoS-атака оставила без интернета и связи - почти на семь часов - пользователей в Иране. Кроме сайта госуслуг, пострадали два популярных мобильных оператора. Иран обвинил в инциденте США, расценив кибератаку как ответную реакцию на ракетный обстрел американских баз в Ираке. В современном мире максимальный социальный и экономический ущерб может быть нанесен за счет отключения пользователей и бизнеса от связи и интернета. Мы уже привыкли быть на связи 24/7, тем более когда в условиях пандемии компании массово перевели сотрудников на дистанционный формат работы. Злоумышленники, получившие доступ к инфраструктуре телеком-компаний, могут не только завладеть персональной и финансовой информацией пользователей, но и оставить город, регион, а то и целую страну без связи.

Политический след

В целом значительная часть атак на телекоммуникационный сектор связана с разворачивающимися сегодня кибервойнами и затрагивает интересы целых государств. Согласно свежему отчету Hi-Tech Trends 2020-2021, представленному Group-IB на международной конференции CyberCrimeCon2020, прогосударственные группировки проявляют к телеком-сектору особый интерес, реализуя изощренные атаки. За анализируемый период в телекоммуникационном секторе проявляли активность шесть групп, связанных со спецслужбами. Из числа подобных групп сегмент телекома в этом году атаковали Winnti и Mikroceen (Китай), OilRig (Иран), Molerats (арабское происхождение) с целью шпионажа и диверсии.

В первую очередь свои возможности по шпионажу за операторами мобильной связи наращивает Китай. Для этого Winnti разработала специальный троян для Linux-серверов, который позволяет перехватывать SMS по определенным критериям. C помощью вредоносной программы группа в 2020 году получила доступ к сообщениям лиц, представляющих интерес для китайского правительства.

Вызовы времени

Основными угрозами для телеком-сектора в этом году является BGP-Hijacking (незаконный захват/утечка пулов IP-адресов путем повреждения таблиц маршрутизации интернета, которые поддерживаются с помощью протокола пограничного шлюза BGP) и DDOS-атаки, следует из Hi-Tech Trends.

Протокол BGP позволяет выполнить соединения самым быстрым и эффективным путем, но имеет серьезное допущение: предполагается, что AS сообщают корректную информацию о тех IP-префиксах, которые им принадлежат. Если злоумышленник получает контроль над роутером, стоящим на границе такой автономной системы и анонсирующим префиксы, он может исказить маршрутизацию. В результате трафик пользователей, работающих с определенным сайтом, пойдет через оборудование преступников. Преступники могут использовать это для шпионажа, кражи данных банковских карт, другой личной информации для шантажа и вымогательства.

Group-IB в 2020 году зафиксировала девять случаев BGP-Hijacking. Самыми крупными инцидентами стали компрометация 90 тыс. префиксов AS205310 (AS - автономная система) Beiersdorf Shared Services GmbH в Германии (маршруты были перенаправлены в AS15943 вместо AS8220) и утечка 9328 префиксов из 1250 AS (включая Akamai, Cloudflare, Vodafone, NTT, Amazon, NVIDIA) в Бразилии (AS263444 Open X Tecnologia Ltda).

Наибольшее количество DDOS-атак, по данным Group-IB, пришлось на первую половину 2020 года, и именно тогда произошел наиболее масштабный инцидент в отрасли. Согласно отчету Amazon за I квартал 2020 года, служба AWS Shield в середине февраля отразила самую крупную DDoS-атаку из когда-либо зафиксированных, объем которой достигал 2,3 Тб/с. Она проведена с использованием взломанных CLDAP веб-серверов и продолжалась в течение трех дней. CLDAP (Connectionless Lightweight Directory Access Protocol) - это альтернатива более старому LDAP, который злоумышленники используют с 2016 года. С помощью CLDAP-сервера они способны отразить и приумножить DDoS-трафик в 76 раз от его первоначального объема. Предыдущий рекорд - 1,7 Тб/с - зафиксирован в марте 2018 года.

21 июня 2020 года Akamai сообщила об атаке на европейскую финансовую организацию объемом 809 млн пакетов в секунду (MPPS). Важная особенность - подавляющее большинство трафика атаки (96,2%) получено от IP-адресов, которые не зарегистрированы в предыдущих атаках 2020 года, что указывает на появление новой бот-сети. Это нападение примечательно не только своими размерами, но и скоростью, с которой оно достигло своего пика, - примерно за две минуты. В общей сложности сбой продолжался чуть менее 10 минут.

Еще одной угрозой для телекома являются проблемы, связанные с распространением сетей 5G. Их стандартизация завершится в ближайшее время. Более того, сейчас идет активная конкурентная борьба не только между технологическими гигантами, но и между странами (лидируют США и Китай). Выгода очевидна: возможность заставить весь рынок играть по своим правилам.

Вполне естественно, что эта тема вызывает интерес киберпреступников, поскольку дает доступ к большой аудитории. В отличие от предыдущих стандартов связи, технологии пятого поколения используют программные платформы для реализации сверхскоростного подключения. Это означает, что все угрозы для серверных и программных решений становятся актуальными для операторов 5G. Среди них атаки АРТ-групп, связанные с BIOS/UEFI, side channel и supply chain, для шпионажа и саботажа. Также благодаря большому количеству подключенных устройств и широкой полосе пропуска может значительно увеличиться масштаб DDoS-атак.

Недооцененный риск

Учитывая нарастающие противостояния между государствами, Group-IB ожидает, что вскоре появятся первые атаки на операторов сотовой связи. Они вызовут логические перезагрузки сети, что приведет к каскадному эффекту и повлияет на множество секторов экономики. Также в связи с продолжающимся переходом сотрудников на удаленку (status quo может сохраниться и после пандемии) количество атак на роутеры и системы хранения данных возрастет: они помогают прогосударственным хакерам более эффективно получать доступ к корпоративным сведениям, не проникая в периметр организации. Нельзя сбрасывать со счетов атаки с помощью социальной инженерии. К сожалению, человеческий фактор - одно из наиболее слабых мест в корпоративной системе информационной безопасности.

Для решения проблем сложных угроз телекоммуникационные компании вынуждены постоянно адаптировать и видоизменять свои стратегии - в частности, организовать комплексные системы безопасности, которые обеспечивают закрытие не только внешнего периметра от атак извне, направленных на канальную часть или на уровень веб-приложений, но и отслеживание проблем внутри инфраструктуры оператора.

Для защиты от DDoS-атак Group-IB рекомендует перейти на использование внешнего балансировщика или проксирующего сервиса, усложнять архитектуру, переносить IP-адреса на внешние сервисы. Также необходимо увеличивать полосы пропускания, закупать аппаратные средства фильтрации, переходить на операторов с соответствующими anti-DDoS-мощностями. Чтобы противостоять BGP-Hijacking, нужно повышать общую осознанность среди других участников в сети, выработать цифровой аналог "группового иммунитета" - иметь как можно больше "стыков" с другими провайдерами. Вторая мера - наблюдать за своими сетевыми префиксами в других AS, в случае ошибочного анонса префикса или обнаружения нападения срочно связываться с RIR (региональная регистратура интернета), которые допускают транзитную передачу ложного префикса для пресечения подобной активности.

Впрочем, только этими мерами защиты не обойтись. На CyberCrimeCon2020 Group-IB представила два новых класса решений - Threat Intelligence & Attribution (TI&A) и Threat Hunting Framework. TI&A гибко формирует карту угроз под конкретную компанию, динамически выстраивая связи между разрозненными событиями, и атрибутирует атаку до конкретной хакерской группы. Появление на рынке TI&A знаменует собой открытие нового класса решений для сбора данных об угрозах и атакующих, релевантных для конкретной организации, с целью исследования, проактивной охоты за хакерами и защиты сетевой инфраструктуры. THF предназначена для защиты ИТ и технологических сетей от неизвестных ранее угроз и целевых нападений, поиска угроз как внутри, так и вне сети, а также расследования инцидентов кибербезопасности и немедленного реагирования на них в целях минимизации последствий.