20 февраля 2014

«Нелепые» кибератаки: случайные мишени и побочный ущерб

Бизнес

В последнее время особенно много говорят о том, что киберпреступники сегодня стали чрезвычайно ушлой публикой, которую уже интересует не столько возможность «прославиться», уронив энное количество сайтов или учинив глобальную эпидемию, сколько возможность наживы, прямая или косвенная. Всё большее количество атак в мире имеют узконаправленный характер, то есть злоумышленники знают, на кого нападать и зачем. Хотя, как следует из недавнего отчёта «Лаборатории Касперского» «Ландшафт угроз — 2014», преобладают пока что «случайные» кибератаки.

Среди глубоко продуманных и, видимо, неплохо и загодя подготовленных атак, однако, встречаются совсем уж странные и нелогичные, на первый взгляд, эпизоды, когда выбор мишени для кибератаки выглядит неожиданно и нелепо. Как правило, впрочем, это поверхностное впечатление.

Для проведения кибератаки совершенно не нужны какие-либо рациональные причины. Достаточно возможности.

Осенью прошлого года, например, так называемая «Сирийская электронная армия» взломала форум пользователей бесплатного программного пакета для 3D-моделирования Blender (Blenderartists), а также отметилась атакой на официальный твиттер сатирического сайта The Onion. Учитывая, что до этого СЭА «прославились» атаками на официальные твиттеры крупных информагентств, нападение на The Onion выглядело как ошибочный выбор цели. Обознались, так сказать. Ещё страннее смотрелся взлом Blender Artists: уж чем-чем, а с международной политикой этот форум никак не связан.

Однако судя по всему у СЭА были в меру рациональные причины сделать то, что они сделали: на взломанных ресурсах размещались воззвания от СЭА в поддержку президента Сирии Басада или перенаправляли пользователей на свои собственные пропагандистские ресурсы. Собственно, подобные акции продолжаются и поныне. Правда, последняя их жертва — издание Forbes — столкнулось уже с прямым вымогательством со стороны СЭА, чьи представители требовали деньги за прекращение атак.

К «нелогичным» можно отнести и DDoS-атаки, нацеленные на серверы онлайновых игр. В принципе онлайновые игры, где игроки платят за игровое время и/или какой-либо игровой контент, безусловно, вызывают живейший интерес у хакеров: гипотетическая возможность дорваться до чужих денег их вообще не оставляет равнодушными. Но DDoS-атаки — это в большинстве случаев просто попытка парализовать сервис. Недавно, например, атакой подобного рода были выведены из строя серверы игры League of Legends. В конце прошлого года досталось также EA.com и Battle.net. Какой смысл?

Оказалось, что у этой DDoS-атаки были вполне конкретные причины: хакерская группировка DERP атаковала серверы игр, в которые играл некто Phantoml0rd, «профессиональный стример», у которого есть свой популярный канал на сервисеTwitch.tv, где он транслирует свой игровой процесс. Аудитория канала Phantoml0rd достигает 350 тысяч подписчиков. Это весьма солидный рекламный охват, и Phantoml0rd делает на этом неплохие деньги. Что конкретно он не поделил с DERP, неизвестно, но факт, что всю эту катавасию хакеры устроили только для того, чтобы напакостить одному человеку. Все остальные — сервисы и игроки — это просто сопутствующий ущерб.

Кстати, интересная деталь: DERP задействовали тот самый относительно новый метод DDoS-атак с NTP-плечом, о котором мы недавно писали.

Приведённые выше примеры говорят о том, что для проведения кибератаки совершенно не нужны какие-либо рациональные причины. Достаточно возможности и наличия каких-либо уязвимостей в инфраструктуре потенциальной мишени.  В том числе «человеческих»: Сирийская электронная армия большинство своих взломов осуществляет с помощью фишинга и спиэр-фишинга.

Конечно, можно сказать, что в приведённых примерах фигурируют сплошь популярные ресурсы с большой аудиторией, однако это, скажем так, громкие истории. Ежедневно происходят куда менее примечательные атаки и взломы, и к этому любой компании приходится быть постоянно готовой — настолько, насколько это в принципе возможно.