Хакеры и интернет вещей: эксперты по кибербезопасности зафиксировали массовую атаку на российский бизнес. Они отмечают, что это уникальная акция. Хакеры использовали «умные» устройства и действовали якобы от имени известных брендов. Эксперты заключили, что это первая массовая кибератака подобного рода.
Хакеры и интернет вещей
Киберпреступники атаковали более 50 крупных российских компаний. Злоумышленники маскировались под представителей известных брендов. В том числе розничных сетей, строительных и нефтяных компаний. Об этом рассказал журналистам представитель Ростелеком-Solar. Он специализируется на вопросах кибербезопасности. Источник указал, что активность хакеров пришлась на февраль 2019 года. Факт атаки также подтвердили представители Group-IB и Positive Technologies.
Для атаки хакеры выбрали фишинг. Это письма с вредоносным содержанием, которые приходят жертвам по будням в рабочие часы. Цель преступников — заражение инфраструктуры шифровальщиком Shade/Troldesh. Программа кодирует файлы на устройстве пользователя и требует у него плату за доступ к ним. Об этом рассказал Владимир Дрюков, директор Центра мониторинга и реагирования на кибератаки Solar JSOC Ростелеком-Solar.
Особенности кибератаки «Хакеры и интернет вещей»
Особенность первая: слишком высокая активность
«Мы видим эту атаку почти на всех наших клиентов. Это около 50 крупнейших компаний России из самых разных отраслей. Их сотрудники получают по 10-50 писем в день в зависимости от размера организации и количества электронных ящиков корпоративной почты», — отметил Дрюков.
Как правило, частота подобных фишинг-рассылок — примерно в три-пять раз ниже. Эксперты Group-IB смогли зафиксировать до 2 тыс. рассылок в день.
«Рассылки массовые, нецелевые, то есть не специализированы под какую-либо конкретную отрасль, тип организаций или получателя», — добавил директор экспертного центра безопаcности Positive Technologies Алексей Новиков.
Какие именно компании получали фишинговые письма и размер нанесенного злоумышленниками ущерба, пока неизвестно.
Особенность вторая: нетипичные способы прикрытия
Представитель Ростелеком-Solar отметил, что киберпреступники направляли вредоносные письма, от имени известных ритейлеров. Таких как, например, Ашан, Магнит, Славнефть и ГК «ПИК».
«В большинстве случаев используются именно эти бренды, что характерно для фишинга, не таргетированного на конкретную отрасль. Пытаются сделать атаку как можно более массовой и увеличить охват», — пояснил Владимир Дрюков.
Один из собеседников на рынке кибербезопасности рассказал, что список компаний, которыми «прикрывались» хакеры, гораздо шире. По его словам, такие атаки начались еще в ноябре 2018, но их пик пришелся на февраль.
«Первым, кем на этот раз прикинулся шифровальщик, стал Газпромбанк. Рассылки шли якобы от менеджеров этого банка. Спустя две недели злоумышленники «переоделись» в менеджеров банка Открытие. В декабре — Бинбанка», — сообщил источник. В феврале преступники продолжили менять бренды. Они использовали в качестве прикрытия ГК «Дикси», Metro Cash & Carry и Philip Morris.
«Естественно, все эти компании никакого отношения не имеют к рассылке», — добавил он.
Скомпрометированные этой атакой ритейлы знают о проблеме.
«Действительно, некоторое время назад мы получили большое количество жалоб от наших деловых партнеров на подозрительные электронные письма, которые приходили якобы от нашей компании, — сообщил представитель ГК «Дикси». — Контрагентам и партнерам компании направили информационные письма с просьбой внимательно проверять входящую электронную корреспонденцию».
По словам источника в Славнефти, последняя хакерская атака была около двух недель назад.
Фишинг, хакеры и интернет вещей — этот способ использовали впервые
Один из экспертов на рынке кибербезопасности отмечает, что фишинг вполне стандартный способ атаки. Но массовую маскировку под бренды популярных розничных сетей специалисты фиксируют впервые.
«Кроме того, в письмах очень точно скопирован стиль компаний. Обычно фишинговые письма легко вычислить, так как в них много орфографических и грамматических ошибок. Но в этот раз хакеры устроили качественную атаку», — рассказал собеседник.
«Фишинговые письма используют, в среднем, в каждой третьей атаке. По статистике, по ссылкам, содержащимся в фишинговых письмах, переходят до 27% получателей. А если письмо приходит якобы от имени реальной компании или человека, то вероятность успеха для взломщиков возрастает до 33%, в среднем», — пояснил Алексей Новиков из Positive Technologies.
По статистике Group-IB, с середины 2017 года до середины 2018-го в России зафиксировали, в среднем, 108 фишинговых атак в день. В результате которых злоумышленникам удалось похитить 251 млн руб. Это на 6% больше, чем за аналогичный период годом ранее.
«Умные» устройства в атаке
Особенность нового способа атак — использование «умных» устройств. Например, хакеры использовали роутеры, расположенные в странах Азии, Латинской Америки, Европы, в том числе и в России, отмечают специалисты Ростелеком-Solar.
До этого для атак злоумышленники использовали обычные серверы.
«Обычно устройства интернета вещей (IoT — internet of things) используют для DDoS-атак (отправки множества запросов, с которыми не справится сервер). Рассылка фишинговых писем с роутеров — пока экзотика. Как мы видим, письма рассылают с устройств, учетные записи которых имеют слабый пароль», — отметил Владимир Дрюков.
Он также обратил внимание на то, что отследить взломанное сетевое устройство, с которого произвели атаку, намного сложнее, чем сервер.
Алексей Новиков такой случай не считает чем-то необычным, хотя и называет случившуюся волну атак показательной.
«Атака с использованием взломанных IoT-устройств менее трудозатратна, менее сложна и более безопасна для злоумышленника. Найти и использовать незащищенные устройства проще и выгоднее. Если арендуется облачный сервис, он может быть внесен в специальный стоп-лист IP-адресов, с которых идут спамерские рассылки. В случае с IoT таких адресов миллионы, они быстро меняются. И вести какой-либо их реестр исключительно сложно», — говорит специалист.
Эксперт отмечает, что фишинг можно осуществить с любого устройства, которое способно делать рассылку почты. Это могут быть: пользовательские модемы, роутеры, сетевые хранилища, экосистемы «умных» домов.
По мнению консультанта по информационной безопасности ГК InfoWatch Ирины Казаковой, с развитием «умных» устройств количество хакерских атак с их помощью будет расти.
Первая атака с помощью интернета вещей
В ноябре 2016 года несколько крупных российских банков, включая Сбербанк, банк Открытие и Альфа-банк, подверглись необычной хакерской атаке. Тогда ЦБ официально подтвердил, что эту кибератаку произвели с помощью устройств интернета вещей. Это был первый официально признанный случай в России, когда хакеры и интернет вещей стали работать вместе и «умные» устройства использовали в преступных целях.
Фото: David Rangel, Unsplash.