fbpx

Наші представництва: 

Замовити зворотній дзвінок
btn

Дослідження security-групи A10 Networks: як не стати «мимовільним спільником» російських кібератак на українські системи

Новина

Дослідницька security-група A10 Networks активно відстежує атаки на українські системи.

Компанія A10 Networks – один із тих вендорів, який активно підтримує Україну в критичний для неї час, усіма шляхами засуджуючи нелюдські злочини Росії проти української нації. У зв'язку з російсько-українською війною, яка шокує масштабами свого кровопролиття, російські терористи приділяють особливу увагу не лише територіальним наступам, а й дистабілізуючими кібератакам на українські системи, спонсоровані російською державою. Необхідно вживати негайних заходів щодо припинення цієї руйнівної діяльності, а також ліквідації потенційних шкідливих наслідків для інших країн. Потрібно діяти вже зараз. З цієї серії статей дізнайтеся про особливості та деталі нових кібератак, виявлених дослідницькою security-групою компанії A10 Networks. Вкрай важливо з’ясувати, які дії варто вжити задля пом'якшення наслідків російських кібератак і як саме переконатися в тому, що ви не є «мимовільним спільником» агресора.


Звіти та рекомендації

Спонсоровані державою атаки важко назвати новим явищем. Світ бачив випадки, в яких низка великих підприємств із таких галузей, як банківська справа, охорона здоров'я та державні структури, піддавалися масштабним DDoS-атакам, потрапляючи на перші шпальта газет. Але що стосується нинішнього кіберконфлікту, він ведеться відразу по кількох напрямках. Свіжі звіти A10 Networks містили інформацію про шкідливі ПЗ, DDoS-атаки та пошкодження українських веб-сайтів. Керівництво Агентства з кібербезпеки та захисту інфраструктури (CISA), що входить до складу Міністерства внутрішньої безпеки США, попереджає про нову загрозу:

"Вірогідні подальші підривні кібератаки проти українських компаній, які можуть запросто торкнутися й організацій з інших країн. Компаніям слід підвищити свою пильність та переоцінити свої функціональні можливості, що включають планування, підготовку, виявлення та реагування на подібні загрози".


Сьогодні ми можемо спостерігати результати тривалої підготовки до теперішнього кіберконфлікту. Наприклад, у 2020 році стало відомо, що російська ФСБ прагне створити потужний ботнет IoT. Ми також бачили повідомлення про шкідливі програми з численними варіаціями, такі як Wiper, що завдають шкоди шляхом видалення конфіденційних даних з цільових комп'ютерних систем. Крім того, DDoS-атаки, які спонсоруються державою, спрямовані на урядові, банківські та освітні послуги, тобто на організації, які обслуговують звичайних людей. Варто зазначити і про контратаки з боку хактивістів. Наприклад, групою Anonymous було зламано відомі російські сайти з ціллю розміщення антивоєнних повідомлень. Це наочно демонструє той факт, що як наступальні, так і оборонні заходи проти російських зловмисників активно вживаються та мають відчутний успіх.


DDoS-атаки відбиття/посилення (DDoS Amplification and Reflection Attacks) були й залишаються націленими на Україну

Системи дослідницької security-групи A10 фіксували потужні та тривалі атаки на українські державні мережі та, як наслідок, на комерційні інтернет-ресурси. Масовий сплеск атак припав на перший день воєнного конфлікту.

Вивчаючи один із досліджуваних honeypots і зосередившись на сплеску порушень першого дня, спеціалісти А10 побачили, що хакери намагаються залучити легітимні системи до скоординованої DDoS-атаки відбиття/посилення. Спроба захопити вузол honeypot була зроблена через кілька годин після початку перших територіальних нападів на Україну 24 лютого. Беручи до уваги відповіді на запити систем, що стосуються українських мішеней, можна виділити дві основні цілі:


1) ПП "Інфосервіс-Лінк" з понад двома мільйонами запитів на Apple Remote Desktop (ARD).

2) Секретаріат Кабінету Міністрів України – понад 600 000 запитів до Network Time Protocol (NTP).


Перша ціль спочатку може здатися трохи незрозумілою через свою назву. При отриманні поглибленої інформації про ПП «Інфосервіс-Лінк» ми бачимо, що вона належить блоку IP-адрес 194.79.8.0. Перевіряючи, куди вона була підв'язана, ми бачимо в одному з джерел геолокацію до одного з найбільших міст України - Харкова, водночас інформація whois ідентифікує її як Сєвєродонецьк, Луганська область, Україна, Луганськ. Флуд на блок, хоч і не на конкретний хост, все ж таки створює DDoS-атаку, з якою мережеве обладнання в принципі має впоратися, якщо воно не ослаблене. Таким чином, можна зробити висновок, що мета атаки - завдати шкоди безлічі додатків, серверів та основній інфраструктурі, що обслуговується цим блоком та обладнанням.


Друга ціль - урядовий департамент - виглядає як очевидне джерело можливостей для зловмисників:

"Основним завданням Секретаріату є організаційне, експертно-аналітичне, правове, інформаційне, матеріально-технічне забезпечення діяльності Кабінету Міністрів України, урядових комітетів Прем'єр-міністра України, першого віце-прем'єр-міністра, віце-прем'єр-міністрів, міністра Кабінету Міністрів України", - Wikipedia.


Рисунок 1: Інформація про місцерозташування з пошуку ipinfo.io


Рисунок 2: 645 248 спроб amplification-запиту до одного honeypot за 15 хвилин


Далі буде. Слідкуйте за оновленнями!

Компанія iIT Distribution є офіційнім дистриб'ютором продуктів від A10 Networks на територіях України, Казахстану, Грузії та Узбекистану. Ми щиро вдячні А10 за активну трансляцію антизагарбницької позиції шляхом впровадження заходів по придушенню російських атак на українські системи! Зі свого боку iITD і надалі допомагатиме своїм клієнтам у підборі та впровадження найефективнішіх кіберрішень цього вендора.

Назад

Mobile Marketing
+