Журнал "Information Security/ Информационная безопасность" #6, 2018

ГосСОПКА рассчитана в первую очередь на защиту объектов критической информационной инфра- структуры. Николай Мура- шов отметил, что уровень защищенности российского национального пространства растет, также повышается грамотность российских пользователей в этой сфере. Материал по итогам пресс-брифинга подготовила Ольга Микельбантова компьютерных атак. В случае их обнаружения определяются сете- вые адреса источников атаки, время проведения и другие пара- метры, которые передаются в центр мониторинга. Там произво- дится комплексный анализ сообщений. По результатам ана- лиза параметров выявленной ком- пьютерной атаки разрабатывает- ся документация о получении защищенности объектов инфор- мационной инфраструктуры Рос- сийской Федерации, которая доводится до всех заинтересо- ванных лиц. Описанная схема функционирования системы Гос- СОПКА показывает, что она пред- назначена исключительно для защиты информационного про- странства Российской Федерации и не может повлиять на функцио- нирование информационных ресурсов иностранных государств. Примеры отраженных целевых атак Приведу несколько конкретных примеров целенаправленных ком- пьютерных атак и массовых зара- жений, которые были выявлены этой системой в последние годы. Начну с вирусов-шифровальщи- ков. Мы вплотную столкнулись с ними в 2006 г. Тогда за несколько часов работы наши специалисты определили алгоритм шифрова- ния и вскрыли ключи. Работоспо- собность системы, которая была повреждена этим вирусом-шиф- ровальщиком, была полностью восстановлена. Эпидемия вирусов-шифроваль- щиков WannaCry в 2017 г. затро- нула почти 70 стран, в том числе и Российскую Федерацию. Было заражено более полумиллиона компьютеров по всему миру. Наи- большие потери понесли частные пользователи. Одновременно некоторые объекты КИИ нашей страны подверглись атаке. Этот вирус-шифровальщик кардиналь- но отличался от шифровальщика 2006 г. Злоумышленники приме- нили такие криптографические методы, что шифрование инфор- мации, используемое в совре- менных вычислителях, стало невозможным. Целью этих атак было нарушение работы инфор- мационной системы. Анализ вредоносных воздей- ствий показал, что атаки запус- кались с использованием захва- ченных компьютеров. Использо- ванная злоумышленниками бот- сеть состояла из более чем 100 тыс. компьютеров, располо- женных практически по всему миру. Вредонос, использовавший- ся в ходе проведения атак, поз- волял генерировать в захвачен- ных компьютерах большой спектр практически не поддающихся фильтрации запросов. В резуль- тате каждый компьютер чередо- вал период активности и бездей- ствия. Нашим специалистам при содействии зарубежных партне- ров удалось установить, что центр управления бот-сетью был рас- положен на территории США, Канады, Таиланда и Малайзии. Национальным центром реаги- рования на компьютерные инци- денты каждой из стран были направлены запросы о принятии необходимых мер и о прекраще- нии функционирования выявлен- ных центров управления бот- сетью. Коллеги отреагировали на это незамедлительно. Националь- ный центр реагирования на ком- пьютерные инциденты Малайзии реализовал необходимые ком- плексные мероприятия уже через три часа после направления запроса. Для прекращения функ- ционирования центров управле- ния на территории США и Канады потребовались почти сутки. С каждым годом методы про- ведения компьютерных атак, в том числе приуроченных к важ- ным общественно-политическим мероприятиям, совершенствуют- ся. В качестве примера кратко опишем атаки на информацион- ную инфраструктуру России в 2017–2018 гг. во время ежегодной горячей линии президента и про- шедших в марте 2018 г. прези- дентских выборах. Начиная с июня 2017 г. нами фиксировалось проведение компьютерной атаки в отношении всего национального сегмента сети Интернет. Первый пик этой атаки пришелся на день проведения горячей линии пре- зидента Российской Федерации. Благодаря заблаговременно при- нятым техническим мерам атака не повлияла на проведение этого мероприятия. Проведенный анализ показал, что она осуществляется с исполь- зованием новой модификации известного ранее вредоноса семейства Russkill. Оценив зало- женные в эту модификацию воз- можности, мы пришли к выводу, что имеем дело со спецслужбой иностранного государства, в совершенстве знающей алгорит- мы работы корневых DNS-серве- ров. В марте этого года пик новой атаки пришелся на день выборов президента Российской Федера- ции. Основной ее целью был срыв работы систем видеонаблюдения за ходом голосования по всей стране, что могло бы позволить развязать кампанию по дискре- дитации итогов выборов. Нашими специалистами была выявлена и прекращена работа более 20 тыс. источников атак, проанализиро- ваны более 100 образцов вредо- носов. В результате была разра- ботана и внедрена система тех- нических мер, которая позволила предотвратить нарушения работы национального сегмента сети Интернет. О локальной инфор- мационной инфраструктуре чем- пионата мира по футболу мы уже говорили. Приведенные примеры пока- зывают, что информационное пространство Российской Феде- рации является целью хорошо организованных компьютерных атак. Методы и средства, исполь- зуемые для их подготовки, стали другими и постоянно совершен- ствуются. Эти атаки также могут быть направлены против других государств. Эффективное проти- водействие компьютерным ата- кам возможно только в рамках совместных усилий всех заинте- ресованных стран, прежде всего национальных уполномоченных органов в области обнаружения и предупреждения компьютерных атак. l • 7 СДЕЛАНО В РОССИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru