Вне зоны доступа: актуальные киберугрозы для телеком-отрасли

В начале 2020 года мощная DDoS-атака оставила без интернета и связи — почти на семь часов — пользователей в Иране. Кроме сайта госуслуг, пострадали два популярных мобильных оператора. Иран обвинил в инциденте США, расценив кибератаку как ответную реакцию на ракетный обстрел американских баз в Ираке. В современном мире максимальный социальный и экономический ущерб может быть нанесен за счет отключения пользователей и бизнеса от связи и интернета. Мы уже привыкли быть на связи 24/7, тем более, когда в условиях пандемии, компании массово перевели сотрудников на дистанционный формат работы. Злоумышленники, получившие доступ к инфраструктуре телеком-компаний, могут не только завладеть персональной и финансовой информацией пользователей, но и оставить город, регион, а то и целую страну без связи. Политический след В целом значительная часть атак на телекоммуникационный сектор связана с разворачивающимися сегодня кибервойнами и затрагивает интересы целых государств. Согласно свежему отчету Hi-Tech Trends 2020-2021, представленному Group-IB на международной конференции CyberCrimeCon2020, прогосударственные группировки проявляют к телеком-сектору особый интерес, реализуя изощренные атаки. За анализируемый период в теле-коммуникационном секторе проявляли активность 6 групп, связанных с спецслужбами. Из числа подобных групп сегмент телеком в этом году атаковали Winnti и Mikroceen (Китай), OilRig (Иран), Molerats (арабское происхождение) с целью шпионажа и диверсии. В первую очередь, свои возможности по шпионажу за операторами мобильной связи наращивает Китай. Для этого Winnti разработала специальный троян для Linux-серверов, который позволяет перехватывать SMS по определенным критериям. C помощью вредоносной программы группа в 2020 году получила доступ к сообщениям лиц, представляющих интерес для китайского правительства. Вызовы времени Основными угрозами для телеком-сектора в этом году являются BGP-Hijacking(незаконный захват/утечка пулов IP-адресов путем повреждения таблиц маршрутизации интернета, которые поддерживаются с помощью протокола пограничного шлюза BGP) и DDOS-атаки, следует из Hi-Tech Trends. Протокол BGP позволяет выполнить соединения самым быстрым и эффективным путем, но имеет серьезное допущение: предполагается, что AS сообщают корректную информацию о тех IP-префиксах, которые им принадлежат. Если злоумышленник получает контроль над роутером, стоящим на границе такой автономной системы и анонсирующим префиксы, он может исказить маршрутизацию. В результате трафик пользователей, работающих с определенным сайтом, пойдет через оборудование преступников. Преступники могут использовать это для шпионажа, кражи данных банковских карт, другой личной информации для шантажа и вымогательства. Group-IB в 2020 году зафиксировала 9 случаев BGP-Hijacking. Самыми крупными инцидентами стали компрометация 90 тыс. префиксов AS205310 (AS-автономная система) Beiersdorf Shared Services GmbH в Германии (маршруты были перенаправлены в AS15943 вместо AS8220) и утечка 9 328 префиксов из 1250 AS (включая Akamai, Cloudflare, Vodafone, NTT, Amazon, NVIDIA) в Бразилии (AS263444 Open X Tecnologia Ltda). Наибольшее количество DDOS-атак, по данным Group-IB, пришлось на первую половину 2020 года, и именно тогда произошел наиболее масштабный инцидент в отрасли. Согласно отчету Amazon за I квартал 2020 года, служба AWS Shield в середине февраля отразила самую крупную DDoS-атаку из когда-либо зафиксированных, объем которой достигал 2,3 Тб/с. Она была проведена с использованием взломанных CLDAP веб-серверов и продолжалась в течение трех дней. CLDAP (Connectionless Lightweight Directory Access Protocol) — это альтернатива более старому LDAP, который злоумышленники используют начиная с 2016 года. С помощью CLDAP-сервера они способны отразить и приумножить DDoS-трафик в 76 раз от его первоначального объема. Предыдущий рекорд - 1,7 Тб/с - был зафиксирован в марте 2018 года. 21 июня 2020 года Akamai сообщила об атаке на европейскую финансовую организацию объемом 809 млн пакетов в секунду (MPPS). Важная особенность — подавляющее большинство трафика атаки (96,2%) было получено от IP-адресов, которые не были зарегистрированы в предыдущих атаках 2020 года, что указывает на появление новой бот-сети. Это нападение было примечательно не только своими размерами, но и скоростью, с которой оно достигло своего пика - примерно за две минуты. В общей сложности сбой продолжался чуть менее 10 минут. Еще одной угрозой для телекома являются проблемы, связанные с распространением сетей 5G. Их стандартизация завершится в ближайшее время. Более того, сейчас идет активная конкурентная борьба не только между технологическими гигантами, но и между странами (лидируют США и Китай). Выгода очевидна: возможность заставить весь рынок играть по своим правилам. Вполне естественно, что эта тема вызывает интерес киберпреступников, поскольку дает доступ к большой аудитории. В отличие от предыдущих стандартов связи, технологии пятого поколения используют программные платформы для реализации сверхскоростного подключения. Это означает, что все угрозы для серверных и программных решений становятся актуальными для операторов 5G. Среди них: атаки АРТ-групп, связанные с BIOS/UEFI, side channel и supply chain, для шпионажа и саботажа. Также, благодаря большому количеству подключенных устройств и широкой полосе пропуска может значительно увеличится масштаб DDoS-атак. Недооцененный риск Учитывая нарастающие противостояния между государствами, Group-IB ожидает, что вскоре появятся первые атаки на операторов сотовой связи. Они вызовут логические перезагрузки сети, что приведет к каскадному эффекту и повлияет на множество секторов экономики. Также в связи с продолжающимся переходом сотрудников на удаленку (status quo может сохраниться и после пандемии) количество атак на роутеры и системы хранения данных возрастет: они помогают прогосударственным хакерам более эффективно получать доступ к корпоративным сведениям, не проникая в периметр организации. Нельзя сбрасывать со счетов атаки с помощью социальной инженерии. К сожалению, человеческий фактор — одно из наиболее слабых мест в корпоративной системе информационной безопасности. Для решения проблем сложных угроз телекоммуникационные компании вынуждены постоянно адаптировать и видоизменять свои стратегии, в частности, организовать комплексные системы безопасности, которые обеспечивают закрытие не только внешнего периметра от атак извне, направленных на канальную часть или на уровень веб-приложений, но и отслеживание проблем внутри инфраструктуры оператора. Для защиты от DDoS-атак Group-IB рекомендует перейти на использование внешнего балансировщика или проксирующего сервиса, усложнять архитектуру, переносить IP-адреса на внешние сервисы. Также необходимо увеличивать полосы пропускания, закупать аппаратные средства фильтрации, переходить на операторов с соответствующими anti-DDoSмощностями. Чтобы противостоять BGP-Hijacking, нужно повышать общую осознанность среди других участников в сети, выработать цифровой аналог "группового иммунитета"—иметь как можно больше "стыков" с другими провайдерами. Вторая мера - наблюдать за своими сетевыми префиксами в других AS, в случае ошибочного анонса префикса или обнаружения нападения, срочно связываться с RIR (региональная регистратура интернета), которые допускают транзитную передачу ложного префикса для пресечения подобной активности. Впрочем, только этими мерами защиты не обойтись. На CyberCrimeCon2020 Group-IB представиладвановыхклассарешений— Threat Intelligence & Attribution (TI&A) и Threat Hunting Framework. TI&Aгибко формирует карту угроз под конкретную компанию, динамически выстраивая связи между разрозненными событиями и атрибутирет атаку до конкретной хакерской группы. Появление на рынке TI&A знаменует собой открытие нового класса решений для сбора данных об угрозах и атакующих, релевантных для конкретной организации, с целью исследования, проактивной охоты за хакерами и защиты сетевой инфраструктуры. THFпредназначена для защиты ИТ и технологических сетей от неизвестных ранее угроз и целевых нападений, поиска угроз как внутри, так вне сети, а также расследования инцидентов кибербезопасности и немедленного реагирования на них в целях минимизации последствий. Ссылка на источник