«ГИГАНТ — Компьютерные системы» о том, почему хакеры все чаще атакуют ради шпионажа

Эксперт «ГИГАНТ — Компьютерные системы» рассказал, какие данные интересуют злоумышленников, почему шпионаж становится подготовкой к более разрушительным атакам и как компаниям снижать риски

В России участились кибератаки с целью шпионажа. Если раньше в центре внимания чаще были вымогательство, шифрование данных и прямой финансовый ущерб, то теперь злоумышленники все активнее стремятся незаметно проникнуть в инфраструктуру, закрепиться внутри и собрать информацию для дальнейших действий.

Такие атаки опасны именно своей скрытностью. Они могут долго не проявляться как очевидный инцидент. Но в это время злоумышленники изучают инфраструктуру, сотрудников, процессы, внутренние документы, доступы и слабые места. В результате шпионаж становится не конечной целью, а подготовительным этапом для более масштабной атаки.

О том, почему этот тренд усиливается, какие данные пытаются украсть злоумышленники и как компаниям защищаться, мы поговорили с Алексеем Колодкой, представителем компании «ГИГАНТ — Компьютерные системы».

— Алексей, сейчас все чаще говорят о росте кибератак с целью шпионажа. В «ГИГАНТ — Компьютерные системы» подтверждают этот тренд?

Да, этот тренд действительно есть, и сейчас он развивается очень активно. Рост числа шпионских атак во многом связан с усилением так называемого хактивизма. Кибератаки все чаще становятся инструментом не только заработка, но и идеологического или геополитического давления.

Сегодня шпионаж используется не только для получения коммерческой информации. Все чаще он направлен на государственный сектор и компании с государственным участием. В таких случаях цель заключается не только в доступе к данным, но и в нанесении репутационного ущерба.

— То есть мотив меняется: атакующий не всегда хочет сразу украсть деньги или зашифровать систему, иногда ему важно незаметно собрать информацию?

Да. И это делает такие атаки особенно опасными. Злоумышленник может не проявлять себя сразу. Он получает доступ, изучает инфраструктуру, смотрит, какие данные есть внутри, какие системы связаны между собой, какие сотрудники имеют нужные права.

Сам шпионаж, как правило, не является конечной целью. Он используется как этап подготовки. Такие атаки менее заметны, позволяют закрепиться в инфраструктуре и в дальнейшем провести более масштабную и разрушительную атаку.

— Какие данные в первую очередь интересуют злоумышленников?

В первую очередь их интересуют данные государственной важности, элементы государственной тайны, внутренняя корпоративная информация, а также доступы к инфраструктуре.

Для атакующего ценность представляют не только документы сами по себе. Доступы, схемы взаимодействия, учетные записи, сведения о процессах и внутренней структуре компании могут быть не менее важны. Все это помогает понять, как устроена организация и через какую точку ее проще атаковать дальше.

— Получается, украденная информация может быть нужна не для немедленной публикации или продажи, а для подготовки следующего удара?

Именно. В «ГИГАНТ — Компьютерные системы» мы рассматриваем шпионские атаки как один из наиболее опасных подготовительных сценариев. Сначала злоумышленники собирают информацию, затем выбирают уязвимую точку, после этого могут переходить к активной фазе.

Это может быть шифрование, утечка данных, атака на сервисы, компрометация цепочки поставок или комбинированный сценарий. Опасность в том, что организация может долго не понимать, что подготовка к такой атаке уже идет.

— Если говорить о целях, почему под ударом оказываются именно госсектор и компании с государственным участием?

Потому что в этих сегментах атака дает не только информационный, но и репутационный эффект. Доступ к данным государственной важности или внутренней информации компании с госучастием может использоваться для давления, дискредитации, публикаций и подготовки более заметных инцидентов.

Здесь важен не только факт кражи данных. Важен эффект, который можно создать вокруг этой кражи. Поэтому шпионские атаки в таких сегментах часто связаны с более широкой логикой давления.

— При этом классические методы атак никуда не исчезли?

Нет, они остаются актуальными. Несмотря на рост шпионских атак, классические методы по-прежнему работают. В первую очередь это фишинг. Он остается одной из самых эффективных и массовых техник проникновения.

Фишинг удобен для злоумышленников, потому что он бьет по человеку. Достаточно убедительного письма, поддельной ссылки, вложения или имитации привычной коммуникации, чтобы получить учетные данные или запустить вредоносный сценарий.

— То есть даже сложные шпионские кампании часто начинаются с обычного письма сотруднику?

Да. Во многих случаях именно так и происходит. Сотрудник получает письмо, переходит по ссылке, открывает вложение или вводит учетные данные на поддельной странице. После этого злоумышленник получает первичный доступ.

Дальше сценарий может развиваться уже сложнее: закрепление в инфраструктуре, сбор данных, изучение внутренних процессов, поиск более привилегированных учетных записей. Но вход часто остается очень простым.

— А что сейчас происходит с коммерчески мотивированными атаками? Они уступают место шпионажу или развиваются параллельно?

Они развиваются параллельно. Коммерчески мотивированное хакерство сегодня представляет собой устойчивую бизнес-модель. Во многих случаях компании предпочитают платить выкуп, чтобы восстановить доступ к данным и инфраструктуре. Это дополнительно стимулирует развитие таких атак.

Поэтому нельзя сказать, что шпионаж заменил вымогательство. Скорее, злоумышленники используют разные сценарии. Где-то им выгоднее быстро получить деньги, где-то - закрепиться внутри и собрать информацию для более крупной операции.

— Какие способы проникновения сейчас наиболее распространены, по оценке «ГИГАНТ — Компьютерные системы»?

Чаще всего проникновение происходит через фишинговые письма сотрудникам, через атаки на цепочки поставок, а также через комбинированные атаки. Например, DDoS может использоваться как отвлекающий маневр.

Пока команда занята отражением заметной атаки на публичный сервис, параллельно может идти менее заметная активность в другой части инфраструктуры. Это делает комбинированные сценарии особенно неприятными.

— Атаки на цепочки поставок сейчас действительно стали одним из самых болезненных сценариев?

Да. Это один из самых распространенных и опасных сценариев. Если злоумышленник не может напрямую попасть в крупную организацию, он может атаковать подрядчика, поставщика, интегратора или другой связанный элемент.

Через доверенные связи и рабочие процессы такая атака может дать доступ к основной цели. Поэтому компаниям важно смотреть не только на собственную инфраструктуру, но и на то, какие внешние связи и подрядчики имеют доступ к данным или системам.

— Вы сказали, что DDoS может быть отвлекающим маневром. То есть видимая атака не всегда главная?

Да. Иногда громкая атака нужна, чтобы отвлечь внимание. DDoS заметен, он создает давление, вызывает реакцию ИТ- и ИБ-команд. Но в это время злоумышленники могут пытаться использовать другой канал проникновения или закрепиться внутри инфраструктуры.

Поэтому при любом заметном инциденте важно не ограничиваться ликвидацией внешнего проявления. Нужно проверять, не было ли параллельной активности, не появились ли подозрительные входы, новые учетные записи, необычные обращения к данным или другие признаки подготовки к атаке.

— То есть многие атаки начинаются еще до того, как компания видит реальный ущерб?

Да. Предварительный шпионаж как раз и нужен для этого. Злоумышленники изучают инфраструктуру, сотрудников и процессы, чтобы выбрать наиболее уязвимую точку входа.

В «ГИГАНТ — Компьютерные системы» мы считаем, что это один из ключевых рисков: компания может воспринимать безопасность как защиту от финальной атаки, хотя реальная подготовка начинается значительно раньше.

— Тогда как компаниям защищаться от таких сценариев? Что должно быть в основе?

Эффективная защита требует комплексного подхода и сочетания организационных и технических мер. В первую очередь необходимо выстраивать комплексную систему защиты инфраструктуры.

Также важно регулярно создавать резервные копии данных и хранить их в изолированном контуре. Это критично, потому что в случае разрушительной атаки компания должна иметь возможность восстановить данные без зависимости от злоумышленников.

— То есть резервные копии должны быть не просто «где-то есть», а именно изолированы от основной инфраструктуры?

Да. Если резервная копия доступна из той же скомпрометированной среды, злоумышленник может добраться и до нее. Поэтому важно хранить копии в изолированном контуре.

Это особенно важно в сценариях, где шпионаж используется как подготовительный этап. Атакующий может заранее изучить, где находятся резервные копии, как они подключены и можно ли их уничтожить перед активной фазой атаки.

— Помимо резервного копирования, что еще обязательно?

Нужно своевременно обновлять программное обеспечение. Уязвимости нельзя накапливать. Если обновления откладываются, компания сама оставляет атакующему удобные точки входа.

И, конечно, нужна системная работа с персоналом. Значительная часть атак по-прежнему начинается с фишинговых писем и компрометации учетных записей обычных пользователей.

— То есть человек остается одной из главных точек входа?

Да. Поэтому обучение сотрудников нельзя рассматривать как второстепенную меру. Люди должны понимать, как выглядит фишинг, почему нельзя открывать подозрительные вложения, как проверять отправителя, куда сообщать о подозрительном письме.

Если сотрудники не подготовлены, даже сильная техническая защита может быть обойдена через обычную социальную инженерию.

— Какой главный вывод для компаний делает «ГИГАНТ — Компьютерные системы» из роста шпионских атак?

Главный вывод в том, что шпионские атаки нужно рассматривать не как отдельную категорию «тихих» инцидентов, а как подготовку к возможной активной фазе. Если злоумышленник попал внутрь и изучает инфраструктуру, это уже серьезный инцидент, даже если пока ничего не зашифровано и не опубликовано.

Компаниям нужно защищаться не только от финального удара, но и от подготовительного этапа: контролировать доступы, обучать сотрудников, обновлять ПО, делать изолированные резервные копии и выстраивать комплексную защиту инфраструктуры.

— То есть главная ошибка - ждать очевидного ущерба?

Да. Если компания ждет момента, когда данные уже украдены, сервисы остановлены или инфраструктура зашифрована, она опаздывает. Шпионские атаки опасны именно тем, что дают злоумышленникам время и информацию.

Поэтому защита должна быть построена так, чтобы выявлять не только финальную атаку, но и подготовительные действия: подозрительные входы, необычный доступ к данным, попытки закрепиться в инфраструктуре, фишинговую активность и признаки разведки.

— И финальная практическая рекомендация от «ГИГАНТ — Компьютерные системы»?

Нужно исходить из того, что шпионаж часто является первым этапом более крупной атаки. Поэтому защита должна быть комплексной: резервные копии в изолированном контуре, своевременное обновление ПО, контроль доступа, обучение сотрудников и постоянная работа с рисками фишинга и цепочек поставок.

Если компания видит только очевидные атаки, она может пропустить самое важное - момент, когда злоумышленник уже внутри и готовит следующий шаг. Именно поэтому «ГИГАНТ — Компьютерные системы» считает рост шпионских атак одним из наиболее серьезных сигналов для бизнеса и госсектора.