Хакеры научились взламывать интернет-провайдеров и централизованно распространять вредоносные программы среди клиентов атакованных компаний. Подробнее о новой тактике хакеров, возможных рисках для пользователей и способах защиты — в материале «Ямал-Медиа».
Новый формат кибератак
Эксперты американской компании Volexity сообщили о новом способе взлома интернет-провайдеров, который позволяет хакерам распространять вредоносное ПО среди пользователей. В ходе расследования взлома одного из провайдеров было выявлено, что злоумышленники применили «отравление DNS». Это позволило им перенаправлять трафик на вредоносные ресурсы и подменять обновления программного обеспечения на зараженные версии, пишут «Известия».
Вредоносные программы MACMA и MGBot, использованные в атаках, позволяли хакерам делать скриншоты, перехватывать нажатия клавиш, а также красть файлы и пароли. Volexity не раскрыла название провайдера и количество пострадавших, но отметила, что инциденты произошли в середине 2023 года и затронули множество пользователей.
Фото: ozrimoz/Shutterstock/Fotodom
Взлом интернет-провайдеров — гораздо более сложный процесс по сравнению со взломом обычного пользователя, даже если тот защищен антивирусными системами, рассказал «Ямал-Медиа» директор и партнер компании «ИТ-Резерв» Павел Мясоедов.
«Причина в том, что интернет-провайдеры — это как правило команды высококвалифицированных инженеров и специалистов по кибербезопасности, использующих защищенные программно-аппаратные комплексы, рассчитанные на корпоративный уровень. Если и существуют уязвимости или «бэкдоры» в таких системах, их количество минимально. Тем не менее, если взлом удается, — это результат целенаправленной атаки».Павел Мясоедовдиректор и партнер компании «ИТ-Резерв»
Атака на провайдера: красный уровень угрозы
Взлом провайдера предоставляет злоумышленникам дополнительные возможности для атак, так как через оборудование провайдера проходит весь интернет-трафик его клиентов, включая как частных лиц, так и компании. При наличии необходимых навыков можно скомпрометировать значительное количество информации, включая чувствительные данные, которые могут быть монетизированы, отметил Павел Мясоедов.
Взлом интернет-провайдера опаснее других видов кибератак, так как злоумышленники получают доступ к узлу связи, через который распространяется информация, подчеркнул глава компании «ИТ-Резерв».
Фото: Frame Stock Footage/Shutterstock/Fotodom
Попав в инфраструктуру провайдера, злоумышленники получают возможность контролировать поток данных. В случае крупных сервисных IT-компаний под угрозой миллионы пользователей. Это позволяет злоумышленникам извлекать информацию из незащищенного трафика, подменять адреса, модифицировать трафик, проводить фишинговые атаки и атаковать уязвимые устройства.
«Если интернет-провайдер взломан, возрастает риск перехвата и компрометации данных. Злоумышленники могут установить специализированные трояны и шифровальщики, которые проникнут на устройства, даже если человек не посещает вредоносные сайты. Это создает дополнительный риск целевой вирусной атаки».Павел Мясоедовдиректор и партнер компании «ИТ-Резерв»
В случае, описанном Volexity, злоумышленники подменяли адреса серверов обновлений программного обеспечения пользователей на свои и распространяли вредоносные обновления. Уязвимое ПО загружало и устанавливало эти обновления с серверов злоумышленников.
«Это можно сравнить с заражением питьевой воды: огромное количество людей становится жертвами, потому что все они пользуются одной и той же системой».Павел Мясоедовдиректор и партнер компании «ИТ-Резерв»
Кто в зоне риска
Случай, описанный Volexity, не уникален, поскольку любой провайдер — это обычная организация со своей IT-инфраструктурой, которую теоретически можно взломать, отметил в интервью «Известиям» ведущий эксперт компании «Код безопасности» Александр Самсонов.
Игорь Душа, управляющий портфелем решений в области информационной безопасности компании «Нота Купол», рассказал изданию, что в российском информационном пространстве сообщения о взломах провайдеров встречаются редко. В отличие от случаев утечек данных такие инциденты редко становятся достоянием общественности. В целом информация о кибератаках в России обычно не получает широкого распространения, подчеркнул он.
Фото: Svitlana Hulko/Shutterstock/Fotodom
По словам Павла Мясоедова, готовой статистики по взломам провайдеров пока нет, но такие случаи известны.
«Случаи не массовые, поскольку уровень защиты у профессиональных игроков рынка значительно выше, чем у обычных пользователей. Проникнуть в систему провайдера сложно и требует сфокусированной атаки».Павел Мясоедовдиректор и партнер компании «ИТ-Резерв»
К тому же, если провайдера взломали, — это целенаправленное действие злоумышленников, а не случайная поломка.
«Такие атаки требуют злонамеренной разработки, как при попытке взлома портала «Госуслуг». Мы не говорим о DDoS-атаках, хотя они могут усугубить проблемы провайдера. Через DDoS иногда получают доступ к админским панелям, обрушивая ресурсы. Однако просто «задидосить» провайдера и взломать его не получится».Павел Мясоедовдиректор и партнер компании «ИТ-Резерв»
Есть ли защита от взлома провайдеров
Провайдеры всегда используют профессиональные системы защиты: различные специализированные программы, мониторинг IT-ландшафта, киберугроз и сетевой инфраструктуры. На предотвращение подобных угроз направлено и установленное корпоративное программное обеспечение.
А пользователям для защиты своих устройств необходимо использовать антивирусные программы, напомнил Павел Мясоедов. Хорошее ПО оперативно предотвратит взлом: обнаружит опасные элементы в канале связи и предупредит о возможной угрозе.
Фото: Miha Creative/Shutterstock/Fotodom
Эксперт подчеркнул, что киберпреступникам за такие атаки грозят серьезные правовые последствия.
«Они нападают не на одного человека, а на большое количество людей. Это явные признаки преступной группировки. Подобные атаки — массовые, они причиняет серьезный ущерб конфиденциальности данных и работоспособности многочисленных пользователей. Надеюсь, что такие атаки не будут угрожать здоровью и жизни людей, но пока они точно наносят серьезный урон их личной и профессиональной жизни».Павел Мясоедовдиректор и партнер компании «ИТ-Резерв»
Ранее в России предложили ввести уголовную ответственность за дипфейки.
Самые важные и оперативные новости — в нашем телеграм-канале «Ямал-Медиа».
