Национальный координационный центр по компьютерным инцидентам (НКЦКИ) провел 11 декабря пресс-конференцию, на которой отчитался о проделанной в 2018 г. работе. Результаты деятельности НКЦКИ озвучил заместитель директора Николай Мурашов. По его данным, в 2018 г. на ресурсы, которые контролируются структурой ГосСОПКА, было выявлено 4,3 млрд подозрительных компьютерных воздействий, из них 17 тыс. идентифицировано как опасные компьютерные атаки. Кроме того, ГосСОПКА обнаружила 25 млн подозрительных воздействий на инфраструктуру Чемпионата мира по футболу, который прошел в нашей стране в июне и июле этого года.
На пресс-конференции была опубликована статистика запросов к ресурсам сайта Президента РФ в ходе избирательной кампании. В частности, во время пресс-конференции Владимира Путина 15 июня 2017 г. было зафиксировано 4,6 млрд запросов, часть из которых были паразитными. Было отмечено увеличение нагрузки на DNS-серверы в 25 раз, т. е. для вывода из строя ресурсов использовался метод DDoS-атаки с усилением при помощи DNS. Впрочем, пик вредоносной активности пришелся на выборы Президента РФ, которые состоялись 18 марта 2018 г. Всего в тот день было обработано около 15 млрд запросов. Основная цель атак – вывод из строя системы видеонаблюдения за выборами с целью дальнейшей их дискредитации. В качестве инструмента использовалась модификация довольно старого вредоноса Ruskill.
Впрочем, система ГосСОПКА была создана тоже достаточно давно – ее боевым крещением стала Олимпиада 2014 г. в Сочи. Результаты деятельности ГосСОПКА в тот период также был озвучены на пресс-конференции НКЦКИ. В частности, за день до старта Олимпиады на ее ресурсы была совершена DDoS-атака зомби-сетью с мощностью в 100 тыс. зараженных компьютеров, из которых 53% располагались на территории США, 18% – России, 4,5% – Украины. Командные серверы были расположены в США, Канаде, Таиланде и Малайзии. И если Малайзии потребовалось всего 3 часа на закрытие командных серверов, то специалисты из США и Канады потратили на это около суток.
Хотя сейчас в компьютерных атаках чаще всего обвиняют Россию, основной источник угрозы, по словам Николая Мурашова, не наша страна. Во всех рейтингах угроз именно США находятся на первом месте. В России разработка вредоносного ПО является уголовно наказуемым деянием, в большинстве других стран подобных законодательных норм нет. В результате около 40 международных компаний занимаются разработкой вредоносного ПО.
В качестве примера Николай Мурашов привел компанию Zerodium, которая скупает уязвимости «нулевого дня» и продает предупреждения о них – так называемые фиды. Но круг клиентов компании ограничен прямыми продажами, т. е. их не может быть много. В то же время чтобы окупить, например, покупку эксплойта для архиваторов WinRAR, 7-Zip и WinZip на сумму 100 тыс. долл., которая была совершена компанией 23 августа, простой продажи фидов явно недостаточно. «В эпидемии шифровальщика NotPetya обвинили Российскую Федерацию, однако уязвимости скупают американские компании», – пояснил Николай Мурашов. Действительно, в NotPetya использовался эксплойт EternalBlue, который был разработан по заказу АНБ другим разработчиком ПО Equation Group и контроль над которым был утерян американскими спецслужбами.
Россия неоднократно предлагала создать международную систему, обеспечивающую стабильность киберпространства, но несколько стран блокируют предлагаемые инициативы нашей страны. Впрочем, в 2018 г. Третий комитет 73-й Генеральной Ассамблеи ООН поддержал российский проект документа «Противодействие использованию ИКТ в преступных целях». До конца года документ должен быть рассмотрен на пленарной сессии Генеральной Ассамблеи и получить международное признание.
Валерий Коржов
