Авторские материалы Взломщики провайдеров: как с ними бороться

Хакеры научились взламывать интернет-провайдеров. Новый масштаб кибератак позволяет брать под контроль сразу десятки тысяч пользователей. Чем это грозит и можно ли защитить свои устройства от подобных посягательств, расскажет корреспондент "Вестей ФМ" Ярослав Лукашев.

Первыми кибератаку в новом масштабе совершили хакеры китайской группировки Storm Bamboo, также известной как Evasive Panda. Их целью стал один из американских провайдеров – компания Volexity. Получив доступ к внутренней информационной инфраструктуре, злоумышленники провели так называемое отравление DNS, подменив целые фрагменты системы доменных имен. В результате трафик пользователей перенаправлялся на вредоносные ресурсы, независимо от того, куда направляли запросы конкретные устройства.

Немало усилий хакеры приложили, чтобы скрыть вторжение – запросы, отправляемые, например, из браузеров, попадали куда надо, чтобы пользователь, попавший не на тот сайт, на который собирался, не начал бить тревогу. А вот служебные программные запросы – главным образом, на обновление программ – перенаправлялись злоумышленниками. В результате множество программ на каждом устройстве вместо обновлений скачивали и устанавливали вредоносное ПО, предоставляя хакерам полный доступ к компьютерам и смартфонам.

Ставшая жертвой кибератаки компания Volexity не разглашает информацию об общем количестве пострадавших пользователей, но учитывая, что в ее отчете фигурируют "множественные инциденты", речь может идти о тысячах устройств, причем не только персональных, но и корпоративных.

До России подобные киберпосягательства еще не добрались. И пока вероятность таких атак довольно невелика, однако списывать эту опасность со счетов нельзя, уверен руководитель аналитического центра компании Zecurion Владимир Ульянов.

УЛЬЯНОВ: С одной стороны, вероятность подобного события довольно невелика, но, с другой стороны, критичность подобных взломов и манипуляций последующих – она достаточно высока. Последствия могут быть самыми негативными. Поэтому мы должны обратить внимание на подобного рода угрозы и стараться их минимизировать.

Подобные взломы, счет которых в мире пока идет на единицы, требуют от хакеров очень серьезной подготовки – специалисты по кибербезопасности полагают, что дистанционным взломом тут дело не обходится. Преступники вербуют одного или нескольких работников компании-провайдера и уже с их помощью проникают во внутреннюю информационную инфраструктуру. Затем наступает технический этап, на котором злоумышленники не только встраивают свои механизмы в провайдерские системы, но и тщательно маскируют вторжение. В итоге пользователь заметить атаку не может никак. И даже специалисты по кибербезопасности самого провайдера обнаружить взлом могут лишь по косвенным признакам.

Но если предотвратить атаку почти невозможно, то бороться с ее последствиями пользователям вполне по силу. И для этого достаточно вполне ординарных мер безопасности. Например, если хакеры взломают провайдера, подменят пути получения обновлений и заставят привычное приложение скачать вредоносный софт, то уже на "финишной прямой" – при попытке установиться в систему – зловредное ПО будет обнаружено и уничтожено самым обычным антивирусом, если он, конечно, не отключен и находится в актуальном состоянии. Если речь идет не о персональном компьютере или смартфоне, то усилия киберпреступников могут быть и вовсе сведены на нет IPS и NTA-системами, которые проанализируют аномальное поведение систем и ограничат опасный трафик.