Хакеры ИГИЛ атакуют российские сайты

Кибертеррористы атаковали за последний год более 600 российских сайтов, среди которых оказался ресурс одного из ЧОП, и проявляют интерес к более защищенным ресурсам госведомств.

Специалисты по информбезопасности компании Group IB отмечают активность хакеров запрещенной в России террористической организации ИГИЛ в российском сегменте интернета. С лета 2014 года до середины 2015 года они атаковали сайты более чем 600 российских компаний и государственных организаций среднего и мелкого уровня, блокируя их и размещая там пропагандистские материалы. По мнению экспертов, таким образом хакеры тренируются, чтобы устроить атаки на более защищенные сайты крупных компаний и госструктур. 

С лета 2014 года Group IB уже зафиксировано более чем 600 атак хакеров-исламистов на сайты компаний и организаций в России. Они действовали по уже стандартному сценарию: после взлома закрывали доступ ко всем разделам сайта, а на главной странице размещали баннер со своей пропагандой и оскорблениями мировых политиков, выступавших против ИГИЛ. Иногда вывешивались фото политиков либо видеозаписи, сделанные во время акций террористов. При атаках сайтов исламисты использовали самые разные методы — от фишинга и DDoS-атак до запуска троянских программ или поиска уязвимостей вручную.

— Обычные хакеры зачастую взламывают ресурсы ради кражи информации или денег — так они монетизируют свой труд, — рассказывает глава Group IB Илья Сачков. — Радикальным исламистам ничего этого не нужно — их интересует паника, хаос и сбой деятельности организаций.

Чаще всего в атаках на российские ресурсы были замечены кибер-группировки Team System Dz, FallaGa Team и Global Islamic Caliphate. 

Изучив данные кэша поисковиков Google и «Яндекс», эксперты выяснили, что они атаковали сайты в России в хаотичном порядке. Так, их жертвой стал сайт девелопера элитного жилья «Анапа-Лазурное» и крымского ЧОПа «Русичъ-Юг». Под атаку попали сайты администрации Борисоглебского района Ярославской области, НПП «Гидрокомплект», который строит подземные коммуникации, центра сердечной медицины «Черная речка».

Начальник информационно-компьютерного отдела администрации Борисоглебского района Сергей Бородулин рассказал «Известиям», что сайт пытались взломать несколько раз, и трижды хакерам это удалось. 

— Было несколько взломов, когда у нас на сайте появлялась эта плашка, но каждый раз это было днем, поэтому нам понадобилось совсем немного времени, чтобы всё убрать, — рассказал Бородулин. — Хакеры в первый раз изменили файл index в коде страницы, и нам понадобилось минут пять, чтобы вернуть сайт к работе. Во второй раз они этот файл удалили, и мы потратили час на то, чтобы восстановить сайт из резервной копии. 

По его словам, игиловцы использовали DDoS-атаку для поражения ресурса. При этом, по его словам, на работе сайта и администрации атаки никак не сказались. 

— Мы не подавали заявления в полицию, потому что трудно отследить конкретное место, откуда шла атака, а те, кто атаковал, явно находятся за пределами юрисдикции России, — пояснил Бородулин. 

В «Анапе-Лазурном» рассказали изданию, что их сайт атаковали летом этого года, а послание ИГИЛ висело несколько часов перед тем, как его сняли.

— Мы увидели этот баннер и сразу же связались с айтишником, который у нас на аутсорсе обслуживает сайт, — сообщили «Известиям» в компании. — Прошло еще какое-то время, прежде чем баннер был снят. 

Представитель «Анапы-Лазурного» сообщила, что они пока не подавали заявления в полицию. 

Представитель ЧОП «Русичъ-Юг», чей сайт также подвергся атаке, рассказал, что в их случае хакеры могли просто перепутать объект атаки. 

— У нас похожее название с военизированным подразделением «Русич», поэтому могли просто нас перепутать, — сообщил он газете. 

Баннеры ИГИЛ также появлялись на сайтах Калининградской художественной галереи, международного агентства регистрации рекордов «Интеррекорд», коллегии адвокатов «Альянс» из Хабаровска, компании «Волс-инвест», занимающейся прокладкой оптоволоконных линий связи.

— На нашем сайте во время новогодних праздников появился баннер с символикой некой палестинской организации, — говорит директор Калининградской художественной галереи Галина Заболотская. — Специалисты нашей техподдержки через два дня после обнаружения убрали баннер, а 8 января мы подали заявление в полицию. Однако хакеров пока так и не нашли. 

По ее словам, поначалу сотрудники галереи посчитали, что это чья-то злая шутка или происки недоброжелателей. После этого случая техподдержка галереи усовершенствовала защиту и структуру своего сайта. 

На счету одного из членов Тeam System Dz — L’APoca-Dz — более 30 хакерских атак на различные российские ресурсы. Это Североуральский краеведческий музей, городской портал «Мытищи» и МБОУ лицей № 5 Уфы.

Эксперты объясняют хаотичный выбор хакеров ИГИЛ тем, что они пытаются взламывать различные платформы и системы защиты, чтобы набраться опыта и понять специфику российского сегмента.

— Они выбирают, что можно сделать на основе тех знаний, которые они уже получили, поэтому их атаки пока хаотичны: они ломают те сайты, которые меньше защищены, и одновременно стараются вызвать панику, — пояснил  Сачков.

Эксперты опасаются, что, набравшись опыта и знаний, хакеры попытаются атаковать более защищенные объекты и системы автоматического управления объектов инфраструктуры — электростанций, водоканалов. 

Косвенными помощниками хакеров из ИГИЛ могут стать их российские коллеги.

— На русскоязычных хакерских форумах всё чаще мелькают IP-адреса посетителей из стран, которые контролирует ИГИЛ, — комментирует Сачков. — Террористы читают на форумах, что умеют делать русские хакеры, и пытаются понять, как их инструменты можно использовать для своих атак. Например, русские хакеры получали доступ к стратегическим объектам, но не знали, как на этом заработать. Зато хакеры ИГИЛ знают, что делать с этой информацией, к тому же они готовы ее покупать у русских коллег.

Директор учебного центра по компьютерной безопасности «Информзащита» Михаил Савельев считает, что современные войны ведутся во всех сферах.

— Нельзя исключать, что, понеся значительный ущерб от российских бомбардировок, члены ИГИЛ или те люди, кто за ними стоит, захотят отомстить, в том числе и кибератаками на сайты российских госструктур, — пояснил он.  

По его словам, хакеры проводят атаки трех типов: чтобы привлечь внимание к ИГИЛ, чтобы нарушить технологические процессы, которые могут привести, например, к остановкам производства или технологическим авариям, а также ради кражи секретной информации или гостайны.

— К сожалению, на 100% защититься от этих атак невозможно, поскольку всегда остается риск халатности или необнаруженных уязвимостей в программном обеспечении этих сайтов и систем, — говорит Михаил Савельев.

Гендиректор компании Solar Security, специализирующейся на компьютерной безопасности, Игорь Ляпунов не видит сейчас особой опасности от хакеров ИГИЛ.

— Дело в том, что хакерское сообщество мотивировано в большинстве случаев далеко не на политические или религиозные призывы. Кроме того, данное сообщество сейчас достаточно интернационально или даже космополитично и старается дистанцироваться и от «работодателей», и от их «целей», — считает Игорь Ляпунов.

В Управлении «К» МВД РФ и Роскомнадзоре  заявили, что борьбой с хакерами, которые взламывают сайты и компьютерные сети государственных органов в РФ, занимаются специалисты центра информационной безопасности Федеральной службы безопасности РФ и специального подразделения Федеральной службы охраны. Получить оперативный комментарий представителей спецслужб не удалось.

В результате мониторинга интернета Роскомнадзором выявлено 899 URL (адрес ресурса в сети интернет), содержащих призывы к участию в вооруженных формированиях ИГИЛ. На 863 адресах после направления уведомления информация была удалена, по 36 — ограничен доступ. По словам представителя ведомства, экстремистской информации, связанной с ИГИЛ, в русскоязычном интернете становится меньше. 

Источник: Известия