Это лето запомнилось помимо прочего тремя крупными кибератаками, масштаб которых превзошел все инциденты в этой области за два предыдущих года и почти приблизился к уровню 2022-го. Тогда пострадал целый ряд российских государственных СМИ, был нанесен серьезный удар по банку ВТБ, прекратили работу система электронного документооборота и сайты арбитражных судов, взлому подверглись даже внутренние ресурсы РПЦ и система видеонаблюдения Кремля. Однако материальный ущерб от недавних атак, прежде всего от одной из них, против «Аэрофлота», пожалуй, превзошел все, что было раньше.

28 июля вся IT-инфраструктура главной российской авиакомпании попросту перестала работать, что привело к коллапсу в аэропорту Шереметьево — отменено было около ста рейсов. Но в данном случае никаких зловредных жужжалок из-за линии фронта к нам не прилетало, а просто вся система управления «Аэрофлотом» была буквально уничтожена изнутри. Уничтожена до такой степени, что аэродромные команды не могли даже заправить самолеты, так как этот процесс тоже управлялся и контролировался из общей сети.

Спустя час после начала инцидента ответственность за него взяли на себя хакерские группировки Silent Crow и «Киберпартизаны». Согласно официальному сообщению, опубликованному их представителями в «Телеграме», хакеры целый год находились во внутрикорпоративной сети «Аэрофлота» и чувствовали себя в ней как дома. За это время они успели скомпрометировать все критические системы, выкачать базы данных о перелетах и сотрудниках, получить контроль над рабочими компьютерами и даже узнали, что генеральный директор Сергей Александровский не менял свой пароль с 2022 года.

«Мы получили доступ к 122 гипервизорам, 43 инсталляциям виртуализации zVirt, около сотни iLO-интерфейсов для управления серверами, четырем кластерам Proxmox. В результате действий было уничтожено около 7000 серверов — физических и виртуальных. Объем полученной информации — 12 TB баз данных, 8 TB файлов с Windows Share, 2 TB корпоративной почты», — говорилось в этом сообщении. В будущем, разумеется, все эти данные непременно появятся на торговых площадках даркнета. По сведениям экспертов, опрошенных «Коммерсантом», полное восстановление IT-систем «Аэрофлота» может занять от нескольких недель до полугода. При этом в самой авиакомпании эту информацию яростно опровергают, заявляя, что у них уже все работает.

«Пока что про “Аэрофлот” мы знаем только то, что ничего не знаем, — считает специалист по информационной безопасности Александр Королев. — Шуму, конечно, было много, какие-то базы слиты, а вот про пароль гендиректора было особенно смешно. При нормально выстроенной системе пароль генерального директора может дать вам доступ только к лэптопу генерального директора, куда секретарша раз в неделю сливает ему отчеты. Подлинные масштабы ущерба и убытки станут понятны после годового отчета компании, где есть отдельная графа про кибербезопасность, ну если они, конечно, все это опубликуют. Что касается причин взлома, рекомендую внимательно следить за судебной хроникой, откуда вы узнаете, в отношении каких именно сотрудников “Аэрофлота” будет применена статья 274.1 УК РФ и какие конкретно разделы этой статьи будут фигурировать в их уголовных делах. Вот тогда можно будет хоть что-то понять. Впрочем, возможно, что там обошлись и без помощи инсайдеров. К примеру, некоторые источники — правда, я бы не назвал их надежными — считают, что взломать могли и через “импортозамещенный” Linux, разработчики которого не всегда следят за обновлением приложений. Но это неточно».

На этом фоне информация о случившемся ранее взломе системы ЕМИАС и об одновременной с инцидентом в «Аэрофлоте» атаке на сервера «Почты России» прошла, что называется, на сдачу. И в том и в другом случае сам факт утечек яростно отрицается, но если они все же были, то попавшие в посторонние руки медицинские данные москвичей и информация о точных местах их проживания вкупе с почтовыми индексами способны нанести немалый ущерб.

Еще более обескураживающей оказалась новость, опубликованная РБК по результатам серии проверок, осуществленных фондом «Сайбериус» и проектом «Кибериспытания»: выяснилось, что 70% российских компаний можно взломать примерно за сутки. Наиболее уязвимой оказалась торговля — 83% удачных взломов. За ней следует обрабатывающая промышленность — 80%, а завершили этот скорбный список IT и связь (59%). Самыми защищенными оказались финансы — всего 25%. Лидера «красной зоны» торговлю следует в данном случае воспринимать как серьезную угрозу, поскольку речь идет о бесконечных цепочках посреднических фирм, относящихся к сегменту малого и среднего бизнеса, где своих специалистов по безопасности либо нет вообще, либо этим занимается админ, который однажды где-то что-то читал или чему-то учился. Удар по таким фирмам способен нарушить поставки, что в свою очередь приведет к остановке производств или создаст эффект пустых полок, породив массовую панику.

Кажется, что возводимые нашим государством бастионы «суверенного интернета» не слишком-то и спасают, особенно если внутри этой крепости кибербезопасность находится на таком низком уровне. На проведенном на днях по итогам проверок «Сайбериуса» открытом вебинаре были названы основные источники угроз: простые пароли, клики по сомнительным ссылкам из фишинговых писем и использование поддельных счетов-фактур (инвойсов).

«Главная проблема нашего инфобеза — крайне низкая культура принятия управленческих решений, — считает Александр Королев, — особенно в там, где IT считается некой вспомогательной функцией, а не основным направлением деятельности. И в том, что наиболее уязвимой оказалась торговля, нет ничего удивительного. В этих конторах, как правило, вообще не тестируется то, что они сами себе понаписали. Плюс чудовищные дыры в таких волшебных платформах, как “1С:Предприятие” и “1С:Торговля”, в сочетании с использованием самописных конфигураций, которые делал десять лет назад не пойми кто, а потом на его место пришел другой айтишник и все переписал. Ну а в 2022 году у нас случился массовый отток программистов, так что результат, как говорится, был немного предсказуем».

В отчете «Кибериспытаний» не упомянуты как минимум две категории организаций — госучреждения и корпорации, составляющие так называемую ключевую инфраструктуру Рунета: операторы «большой тройки», Яндекс, «Сбер» и т. д. Не попали они туда просто потому, что отказались участвовать в проверке. А между тем именно государственное IT, судя по количеству известных взломов, является «черной дырой» в плане кибербезопасности и в этом качестве вполне способно посоперничать с промышленностью и торговлей, как минимум войдя в тройку лидеров в этом сомнительном рейтинге. А заодно оно же является источником повышенной опасности для граждан, поскольку государство с каждым годом желает знать о нас все больше, и всевозможные организации накапливают у себя огромные базы обо всем на свете, от номеров паспортов и адресов до банковских счетов и тех же диагнозов.

После небольших по своим масштабам взломов с минимальными последствиями руководство госучреждений нажимает на админов, требуя, чтобы все заработало как раньше и побыстрее. Перед админами же стоит вечная дилемма: либо как можно быстрее восстановить порушенную взломщиками IT-инфраструктуру, либо заниматься выявлением причин взлома. Одно исключает другое, поскольку для восстановления необходимо накатить бэкапы (резервные копии) на те диски, где порезвились хакеры, а само это действие неминуемо уничтожит все следы их деятельности. Инструкции для инфобезопасников в таких случаях требуют выводить скомпрометированные диски и прочее железо из эксплуатации и подвергать всестороннему анализу. Но те инструкции были писаны для мирного времени, в котором еще не было ни санкций, ни массового оттока IT-специалистов. Сейчас для их дословного соблюдения нет ни лишнего оборудования, ни лишних людей. Вот и приходится бедным админам «делать все как было», полагаясь при этом на русский авось.

Между тем в моду у хакеров все больше входят тандемные взломы, когда злоумышленники проникают в систему, выясняют, как устроена ее защита, и оставляют для себя бэкдоры, после чего ломают что-нибудь по мелочи, чтобы их обнаружили. Админы и безопасники как умеют разбираются с последствиями, стремясь как можно быстрее все восстановить, в лучшем случае закрывают наиболее явные уязвимости и вздыхают с облегчением. Хакеры дают им расслабиться, а через несколько недель или месяцев возвращаются и ломают все уже по-крупному.

«Именно по этой схеме и взломали СПбГУ, — напоминает Александр Королев. — Первый раз случился в феврале 2024-го, тогда хакеры просто покуролесили и быстро ушли, оставив за собой некоторое количество бэкдоров. А уже в марте вернулись, и этот второй взлом был настолько капитальным, что добрались даже до бэкапов. Последствия вышли чудовищными. К примеру, первые две недели после взлома у СПбГУ была парализована вся бухгалтерия. Выяснять, кому и какую зарплату выплачивать, пришлось по распечаткам ведомостей прошлых годов. Оказалось, что никакого плана реагирования на подобные инциденты в универе попросту не было, и несколько специалистов в результате уволились, не выдержав этого бардака и бешеного аврала».

Кстати, судя по новостям, начиная с марта 2022 года СПбГУ ломали аж четыре раза, что говорит о том, что нужные выводы так и не были сделаны.

Всемирная кибервойна началась до 2022 года и даже до 2014-го. Воюют на этом фронте буквально все против всех: Китай против США, Иран против США, Израиля и Великобритании, Северная Корея против всех, кроме Китая, а сейчас в этом кругу ядовитых шипов оказалась еще и Россия. Чтобы оценить масштабы, можно посмотреть на интерактивную карту от компании Check Point — ежедневно в мире происходит от 8 млн до 18 млн кибератак. Ломают друг друга даже компании из одной страны с целью остановить операционную деятельность конкурента, похитить корпоративные секреты, скомпрометировать его или просто по мелочи нагадить.

«Но с 2022-го ситуация ухудшилась, причем ухудшилась кратно, — уточняет Александр Королев. — Бюджеты, выделяемые на кибератаки, возросли, в них стали вкладываться разведки всего мира и прочие крупные игроки. Более того, закончилась эпоха сетевого нейтралитета — теперь никто не гарантирует, что если ты скачал открытое ПО с публичного репозитория, то в нем не обнаружится приветов от политически ангажированных разработчиков, хотя еще недавно такое считалось в принципе недопустимым. Тот же Линус Торвальдс внезапно вспомнил, что он прежде всего финн, а уж потом разработчик сообщества Linux, и посмотрите, как он обошелся с российскими разработчиками. Собственно, после того как весь open source влез под крыло крупных корпораций, прежде всего IBM, их позиция стала вполне однозначной. Им дали команду “фас!”, и вся их независимость быстро закончилась».

Учитывая все вышеизложенное, сама по себе идея суверенизации Рунета выглядит не такой уж плохой, когда бы она проводилась в интересах реальной кибербезопасности, а не в интересах корпорации силовиков. Главная проблема заключается в том, что лет десять назад мировое IT вступило на зыбкую почву облачных решений и оказалось в ситуации, когда ПО фактически не принадлежит пользователю и находится в полной зависимости от владельцев сервисов. И разработка отечественных аналогов, как и создание отечественных облаков, чьи владельцы несли бы полную юридическую ответственность по законам РФ, стала бы насущной необходимостью даже в том случае, если бы не случилось ни СВО, ни санкций.

Стоит сказать и пару слов о такой едва уловимой вещи, как культура кибербезопасности. Нельзя сказать, что ее у нас нет совсем, в конце концов мы же получаем зарплату и тратим ее в магазинах, куда каждый день привозят товары. Так что вроде как в ежедневном режиме все работает, и хакерам удается достигнуть своих целей лишь в исключительных случаях. Но на этом фронте нет «больших батальонов», то есть эта самая культура у нас не является массовой. Хороших специалистов очень мало, а еще меньше организаций, готовых нанимать в штат специалистов, которые бы не только осуществляли сугубо технические работы, но и занимались бы обучением сотрудников. То есть разъясняли бы каждому офисному сидельцу, что не надо ставить себе пароли вида 12345 или кликать по ссылкам из фишинговых писем. Причем разъясняли бы каждому, подходя к его рабочему месту и заглядывая через плечо в монитор, поскольку любые общие совещания по этой теме приводят лишь к тому, что персонал, не имеющий отношения к IT-отделу, на них либо спит, либо играет в игры на смартфоне.

Правда, нельзя сказать, что это какая-то исключительно российская проблема. Известного американского производителя бытовой химии и средств гигиены Clorox недавно в буквальном смысле взломали по телефону. Хакер позвонил в IT-отдел, представился одним из сотрудников компании, сказал, что забыл свой пароль от внутрикорпоративной сети, и попросил предоставить ему повышенный доступ, заодно отключив проверку по многофакторной аутентификации. И ему все это дали и предоставили, ни разу не попросив при этом удостоверить свою личность. Ущерб составил около 380 млн долларов.

«Но вообще культура кибербезопасности — это не столько дрессировка сотрудников, — уточняет Александр Королев, — а в первую очередь создание комфортной и спокойной рабочей среды и, главное, наличие DRP — Disaster Recovery Plan. Это когда у каждого линейного руководителя в сейфе лежит бумажка, где подробно расписано, что надо делать в случае инцидента. В сейфах “Аэрофлота” такая бумажка точно была, учитывая, что им удалось восстановить обслуживание рейсов примерно за сутки. А те огромные сроки восстановления IT-инфраструктуры, которые называют в СМИ, на самом деле выглядят вполне нормально, учитывая, что любая авиакомпания — это петабайты данных».

Будущее выглядит, честно говоря, безрадостным. Постоянная регуляторная перекройка правил для российского IT в интересах силовой корпорации приводит к тому, что в руках частных и государственных организаций собирается все больше данных о гражданах, как и обо всей их повседневной деятельности, от автомобильных штрафов до покупок в онлайн-магазинах и ежедневных перемещений. Охранять эти данные некому, а значит, новые утечки будут происходить и полученные таким образом сведения будут упаковываться в базы и перепродаваться интернет-мошенникам. И недавно введенное ограничение на звонки в иностранных мессенджерах от этого никак не спасет. Пока этот материал писался, появилась новость о том, что мошенники сумели выманить у жительницы Курска 444 тыс. рублей уже с использованием «безопасного» мессенджера Max.

«Прогноз на будущее очень простой, — говорит Королев. — Атаки будут продолжаться, их будет больше, а их последствия будут серьезными. Гражданам стоит задуматься как минимум над тем, чтобы серьезно ограничить количество личных данных, которыми они готовы делиться с любыми цифровыми платформами, хоть частными, хоть государственными, поскольку возможных последствий не в силах вообразить себе никто. Давайте вспомним, к примеру, взлом доставки Яндекса: почему так резко все схватились за голову? Потому что в сеть утекли не только реальные адреса проживания граждан, но и информация о том, в какое время они получали доставку, то есть находились у себя дома. Вот и делайте выводы».