Иностранные хакеры стали чаще использовать инфраструктуру на территории РФ при атаках на российские организации, выяснили специалисты Positive Technologies. Используя отечественные серверы, злоумышленники маскируют свой трафик под локальный, который анализируется менее пристально. Оборудование из России также применяется, чтобы выдавать себя за «русских хакеров», и это уже стало тенденцией. В случае с атаками на российские организации в зоне риска находятся государственные объекты и финансовые организации.
Русский сервер
Зарубежные организованные и мотивированные на целевые атаки группы хакеров, так называемые Advanced Persistent Threat (APT), стали чаще использовать элементы инфраструктуры, расположенные на территории РФ, в атаках на российские организации, выяснили специалисты компании по информационной безопасности Positive Technologies.
APT — это сложные целевые угрозы, за организациями которых нередко оказываются целые государства. Только за весну 2021 года Positive Technologies зарегистрировала три таких инцидента. Раньше, по словам директора экспертного центра безопасности компании Алексея Новикова, такой частоты не наблюдалось.
— За последний год в большинстве своем мы наблюдали такое поведение у хакерских группировок, которым ряд экспертов приписывает азиатские корни, — рассказал «Известиям» руководитель исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies Денис Кувшинов.
Элементами инфраструктуры в данном случае называют серверы, которые злоумышленники либо легитимно арендуют, либо взламывают. Независимо от того, как именно был получен доступ, владелец оборудования не знает, в каких целях оно используется. Как пояснил эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо, обычно серверы используются киберпреступниками либо для передачи команд на зараженные устройства, либо для хранения и выгрузки вредоносного ПО на целевые устройства.
Как объяснил Алексей Новиков, доступ к оборудованию на территории РФ нужен хакерам прежде всего для маскировки своей активности во время атак. С помощью элементов российской инфраструктуры злонамеренный трафик выдается за локальный, то есть доверенный. Локальный трафик, по словам Дениса Кувшинова, часто анализируется службами безопасности менее пристально, чем зарубежный.
— Нередко «безопасники» превентивно ограничивают возможность соединения с зарубежных IP-адресов серверов. Но геопривязка по входящему IP — не панацея от атак иностранными группировками. Практика показывает, что атаковать могут и с использованием серверов в России. А отечественный трафик при этом в большинстве случаев воспринимается как более доверенный, — пояснил Денис Кувшинов.
Руководитель группы исследований сложных угроз Threat Intelligence в Group-IB Анастасия Тихонова отметила, что использование хакерами серверов в России нельзя назвать экзотикой. Она предположила, что такое поведение киберпреступников, скорее всего, связано с их желанием вызвать у жертвы меньше подозрений при взаимодействии с подозрительными серверами.
Российские серверы не пользуются популярностью у хакеров, заметил Денис Легезо. Но и утверждать, что они не используются ими совсем, по его словам, тоже неверно.
Хотя общее число таких атак всё еще невелико, эксперты Positive Technologies склонны называть наблюдаемое поведение тенденцией и не исключают ее усиления.
«Известия» направили запрос в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Поймай их, если сможешь
Жертвы злоумышленников, которые мимикрируют под «своих», тоже могут быть разными — многое зависит от того, какая именно группировка работает по описанному выше сценарию. Например, азиатские APT, по данным специалистов, чаще всего атакуют государственные предприятия.
— Если говорить о распространении атак с российских серверов на территории РФ от прогосударственных хакеров, то мы ожидаем, что они будут нацелены на государственные объекты (НИИ, правительство и т.д.) и объекты критической инфраструктуры (военно-промышленный комплекс, энергетику и т.д.) с целью шпионажа и кражи интеллектуальной собственности, — перечислила Анастасия Тихонова.
По данным Positive Technologies, российское оборудование может использоваться иностранными хакерами и для атак за рубежом. В данном случае элементы инфраструктуры служат маскировкой под «русских хакеров».
Анастасия Тихонова и специалист департамента информационно-аналитических исследований компании T.Hunter Владимир Макаров согласились с тем, что российские серверы могут использоваться иностранными киберпреступниками для лжеатрибуции. Хакерские группы прекрасно осведомлены о том, что почти любая их противоправная деятельность вместо полноценного расследования будет вызывать очередную истерию под брендом «русские хакеры атакуют», которая очень выгодна западным подрядчикам, обеспечивающим информбезопасность компаний и госорганизаций, добавил Владимир Макаров.
— Дела «правительственных русских хакеров» забирает ЦРУ или ФБР, у которых сложности во взаимоотношениях с российскими коллегами. Подрядчика с пониманием слегка журят за «косяки» в обеспечении безопасности. Правительство выделяет еще больше денег на обеспечение кибербезопасности. Все довольны, — объяснил эксперт.
Атрибуция по серверам чаще всего получается поверхностной и неточной, а потому эффективность использования российских серверов для запутывания расследования вызывает сомнения, отмечают специалисты.
Для выявления подобных атак эксперты рекомендуют пристальнее анализировать «домашний» трафик. Особого внимания, по словам Дениса Легезо, достойны аномальные объемы трафика в нерабочее время и подключение к доменам, которые были замечены в других целевых атаках.