ИССЛЕДОВАНИЕ SECURITY-ГРУППЫ A10 NETWORKS: КАК НЕ СТАТЬ «НЕПРОИЗВОЛЬНЫМ СООБЩНИКОМ» РОССИЙСКИХ КИБЕРАТАК НА УКРАИНСКИЕ СИСТЕМЫ
Исследовательская security-группа A10 Networks активно отслеживает атаки на украинские системы
Компания A10 Networks – один из тех вендоров, который деятельно поддерживает Украину в это особо нелегкое для нее время, всеми путями осуждая преступления россии против украинской нации. В связи с российско-украинской войной, которая шокирует масштабами своего кровопролития, российские террористы уделяют особое внимание не только территориальным наступлениям, но и дистабилизирующим кибератакам на украинские системы, спонсируемые российским государством. Требуются незамедлительные меры по пресечению этой разрушительной деятельности, а также потенциальных вредоносных последствий для других стран. Необходимо действовать уже сейчас. В этой серии статей мы подробно расскажем об особенностях и деталях новых кибератак, замеченных исследовательской security-группой компании A10 Networks. Узнайте о том, какие действия стоит предпринять ради смягчения последствий русских кибератак и как именно убедиться, что вы не являетесь «невольными сообщниками» агрессора.
Отчеты и рекомендации по векторам угроз
Атаки, спонсируемые государством, не новы. Мир видел случаи, в которых ряд крупных предприятий из таких сфер, как банковское дело, здравоохранение и государственные структуры, подвергались масшабным DDoS-атакам, попадая в заголовки газет. Но что касается нынешнего киберконфликта, он ведется сразу по нескольким фронтам: недавние отчеты содержали информацию о вредоносных ПО, DDoS-атаках и повреждении украинских веб-сайтов.Руководство Агентства по кибербезопасности и защите инфраструктуры (CISA), входящего в состав Министерства внутренней безопасности США, предупреждает о новой угрозе:
«Вероятны дальнейшие подрывные кибератаки против украинских организаций, которые могут непреднамеренно затронуть организациии в других странах. Компаниям следует повысить свою бдительность и переоценить свои функциональные возможности, включающие планирование, подготовку, обнаружение и реагирование на подобные угрозы».
Сегодня мы можем наблюдать результаты подготовки к нынешнему киберконфликту. Например, в 2020 году стало известно, что российская ФСБ стремится создать массивный ботнет IoT. Мы также видели сообщения о вредоносных программах с многочисленными вариациями, таких как Wiper, наносящих ущерб путем удаления конфиденциальных данных из целевых компьютерных систем. Кроме того, DDoS-атаки, спонсируемые государством, направлены на правительственные, банковские и образовательные услуги, то есть на организации, которые обслуживают обычных людей. Мы также видим сообщения об ответных атаках со стороны хактивистов. Например, группой Anonymous были взломаны известные российские сайты для размещения антивоенных сообщений группы. Это наглядно демонстрирует то, что как наступательные, так и оборонительныемеры и контрмеры активно принимаются.
DDoS-атаки отражения/усиления (DDoS Amplification and Reflection Attacks) как были, так и остаются нацеленными на Украину
Системы исследовательской security-группы A10 фиксировали мощные и продолжительные атаки на украинские государственные сети и, как следствие, на коммерческие интернет-ресурсы. Массовый всплеск атак пришелся на первый день военного конфликта.
Изучая один из наших исследовательских honeypots и сосредоточившись на всплеске нарушений первого дня, мы видим, что хакеры пытаются вовлечь легитимные системы в скоординированную DDoS-атаку отражения/усиления. Впервые попытка захвата узла honeypot была предпринята через несколько часов после начала первых территориальных нападений на Украину 24 февраля. По ответам на запросы систем, нацеленных на Украину, можно выделить две главные цели:
1) ПП «Инфосервис-Линк» – с более чем двумя миллионами запрошенных ответов на AppleRemoteDesktop (ARD).
2) Секретариат Кабинета Министров Украины – более 600 000 запросов к NetworkTimeProtocol (NTP).
Первая цель по началу несколько неясна из-за своего названия, которое удалось узнать в результате автоматического поиска. При получении углубленной информациио ПП «Инфосервис-Линк» мы видим, что оно относится к блоку IP-адресов 194.79.8.0. Проверяя, куда он был привязан, мы видим, что в одном источнике он указан как геолокация к одному из крупнейших городов Украины — Харькову, в то время как информация whois показывает его как Северодонецк, Луганская область, Украина, Луганск.Флуд на блок, хотя и не на конкретный хост, все же создает DDoS-атаку, с которой сетевое оборудование в принципе должно справиться, если оно не ослаблено. Таким образом, можно сделать вывод, что цель атаки — нанести ущерб множеству приложений, серверов и основной инфраструктуре, обслуживаемой этим блоком и оборудованием.
Вторая цель, — правительственный департамент — выглядит как очевидный источник возможностей для злоумышленников:
«Основной задачей Секретариата является организационное, экспертно-аналитическое, правовое, информационное, материально-техническое обеспечение деятельности Кабинета Министров Украины, правительственных комитетов, Премьер-министра Украины, первого вице-премьер-министра, вице-премьер-министров, министра Кабинета Министров Украины», — Wikipedia.
Рисунок 1: Информация о местоположении из поиска ipinfo.io
Продолжение следует. Следите за обновлениями!
Компания iIT Distribution является официальным дистрибьютором продуктов от A10 Networks на территории Украины, Казахстана, Грузии и Узбекистана. Мы искренне благодарны А10 за активную трансляцию антизахватнической позиции путем внедрения мер по подавлению российских атак на украинские системы! Со своей стороны iITD и дальше будет помогать своим клиентам в подборе и внедрении самых эффективных киберрешений этого вендора.
