[...] Продолжение истории о массовых попытках взлома в июле 2025 года: из каких стран, с каких интернет-компаний, с каких IP-адресов в сентябре – и это уже закономерности

Дополнено... Да, рассказ о продолжительных попытках взлома и массовой кибератаке в июле месяце на сайт, выложенный в его статейно-новостном разделе, всё же получил своё продолжение. Очень мы надеялись, что что-то подобное всё-таки не повторится. Но как бы не так. В период после тех июльских событий до 9 сентября затем были лишь одиночные "поползновения". 9 и 10 сентября атаки продолжились тем же самым образом, что и в июле. Затем наступил период "фронтового" затишья, а 20 сентября попытки возобновились несколько в ином уже ключе на период в восемь дней. И что оказалось интересным: это были почти те же сетки IP-адресов, те же хостинги, интернет-провайдеры и интернет-компании, те же территории государств. И это уже говорит больше о "ручном" характере данных кибератак.

В этот раз мы не будем останавливаться на многочисленных теоретических вопросах – о них можно прочитать в первой статье, ссылка на неё – в предыдущем абзаце. Отметим важное фактическое обстоятельство изменения: в этот раз характер попыток взлома стал другим – не непрерывно в течение трёх дней (как в июле), а сериями в разное время суток в течение восьми дней. С другой стороны, неизменным осталось другое обстоятельство: злоумышленники (или ботнет) всё так же на прямом взломе используют всё те же "тупые" логины: admin, Admin, manager, editor и т.п. Довольно грубая и странная работа, не правда ли? Неужели они думают, что владельцы веб-сайтов уж совсем такие простачки, так глупы и безалаберны, что допускают такие уж совсем непрофессиональные промахи? Но, тем не менее, в компьютерной прессе в последний месяц продолжились публикации о безответственности работников отделов информационной безопасности российских компаний – например, вот и вот. Хотя именно безалаберность в логинах и паролях – это самый первый уровень уязвимостей. И для простого пользователя, и для контент-редактора большого серьёзного веб-сайта.

У этой "глупости" в применении взломщиками простых логинов может быть только одно объяснение: это проба сил, проба уязвимостей, проба ответственности. Это – разведка. Всё как на войне. Не работаете со своими уязвимостями, не закрываете наши атакующие IP-адреса, не собираете статистику о наших атаках, – значит, мы однажды нанесём вам реально сильный и серьёзный удар и сломаем, положим, заразим вашу ИТ-систему, подчиним её себе, загрузив в неё ботнет или какой-то другой нужный и выгодный нам функционал или сценарий. В кинофильме "Сноуден" главному персонажу и действующему лицу, когда тот работал в так называемом "Региональном центре управления секретными операциями по обеспечению безопасности" (англ. RSOC) на Гавайях (или это филиал АНБ в Оаху, Гавайи?), однажды по телесвязи говорит его друг, учитель и наставник по АНБ (выдуманный персонаж) Корбин О'Брайен (актёр Рис Иванс): "Да, 200 выявленных китайских IP – это действительно результат". Ибо, как мы упоминали в первой статье, – взломщики, обнаружив серьёзное сопротивление, обычно уходят.

Хакерские взломы не беспредельны, не безграничны. У них тоже есть свой ресурс, ограничения, граничные условия и различные обстоятельства. Они не ведутся из ниоткуда, у них всегда есть источник. Или, по крайней мере, последнее звено источника, которое как раз и выходит на конкретный веб-сайт или ИТ-систему. Выходит с определёнными параметрами, признаками и свойствами, которые и фиксирует панель управления вашей ИТ-системы. И вот с этими данными и необходимо работать.

Собирайте и изучайте статистику этих данных – это поможет выстроить ваши сценарии безопасности и предотвратить многие нежелательные события. Придумайте сложные логины и пароли. Регулярно меняйте их. Никогда и ни при каких условиях не пользуйтесь логинами типа admin, editor – этим вы на порядок облегчите взломщикам выполнение их задачи. Обязательно храните предыдущую пару логина-пароля – при восстановлении системы со старым паролем вы можете его и не помнить. Ведите дневник изменения контента сайта. При резервной его архивации всегда фиксируйте число файлов в очередной копии – это практически 100%-способ отслеживания появлений посторонних элементов в системе, своего рода контрольная сумма сайта. Один важный нюанс, который вообще не учитывают множество ИТ- и ИБ-специалистов: практически каждодневно вычищайте в CMS сайта так называемый кэш сайта – в нём могут оставаться всякие неведомые и непредсказуемые элементы. Кроме того, компьютер в офисе, с которого специалист занимается с сайтом, не должен быть "общественным компьютерным местом".

В заключение приведём обновлённый список интернет-компаний и стран, откуда исходят киберугрозы. В нём появились два-три-четыре новых европейских "фигуранта" (страны указаны), но сохранились и предыдущие (страны не указаны). Что довольно характерно, ожидаемо и объясняемо. И что как раз и говорит больше о ручном характере кибератак, чем о вездесущих "ботнетах". А по сему, лучше выявляемых и купируемых. Можете сравнить данный список с тем списком, который присутствует в первой статье. Напомним, ссылка на неё – в начале статьи. Отметим, самый "борзый" из них в прошлый раз – французский OVH SAS – почти отсутствовал в этот. Возможно, поняли, что от них ловить у нас больше нечего. В общем, у нас тоже – и своя – война.

• M247 Europe SRL
• Cogent Communications (Datacamp Limited)
• SURF B.V.
• Blix Solutions
• Fibergrid (Orion Network Limited)
• GleSYS Internet Services AB (GleSYS AB)
• 1337 Services GmbH – Нидерланды, Польша
• NFOrce Entertainment B.V. – Нидерланды
• Zencurity ApS – Дания
• AltusHost B.V. – Швейцария, Люксембург

Что ж, имеет смысл добавить некоторые дополнительные сведения и выводы. Ещё одну отдельную публикацию оформлять нецелесообразно, новую важную и значимую информацию лучше просто добавить. Вот так, прямо в исходном тексте, с маркером о дополнении/обновлении. Итак, продолжительная атака, о которой речь шла выше, была купирована блокировкой IP-адресов и прекратилась 29 сентября. После этого панель управления (ПУ) зафиксировала пять одиночных попыток взлома-доступа в ПУ: 4, 6, 13, 28 и 29 октября. И наши изложенные выше предположения подтвердились: теперь это были совершенно новые по IP-принадлежности сетки адресов и интернет-компании. Страны в этот раз: те же ушлые Нидерланды, Норвегия. Появилась Индонезия (её ранее не было вообще). Но именно интернет-компании и дата-центры – совсем другие. Иными словами, взломщики ищут новые IP-источники для своих кибератак. Что как раз и укладывается в сделанный выше вывод (а также в первой публикации): серии "рядом стоящих" IP-адресов кибератак, коллеги, следует закрывать один за другим и не лениться. В какой-то момент взломщики бросают эти диапазоны и более не тратят на них своё время и усилия, предполагая их полную диапазонную блокировку.

Подтверждая также наши опасения, продолжаются в компьютерной прессе публикации о нарастающих киберугрозах для веб-сайтов и ИТ-систем российских бизнес-компаний. Вот здесь специалисты пишут, что "один из ключевых инструментов – веб-фаервол (WAF), который позволяет фильтровать вредоносный трафик, блокировать попытки эксплуатации уязвимостей и предотвращать атаки до того, как они достигнут серверов". Собственно, его разновидность мы и пытаемся применить в защите сайта от взлома. Здесь поддерживается наша точка зрения о том, что это проба сил и разведка: "подобные атаки кратковременны и длятся не более 15 минут. Они используются хакерами для разведки, с целью определения реакции систем защиты, уровня автоматизации и "порогов срабатывания". С другой стороны, в публикациях по данной теме присутствуют сожаления о недостаточной степени ответственности ИТ- и ИБ-специалистов: "малый и средний бизнес сегодня максимально не подготовлен и не защищён от кибератак и кибермошенничества, так как не имеет ресурсов и системных знаний для оперативного реагирования". Что ж, коллеги, всё же не ленитесь и пытайтесь применять вышеизложенные методики, средства и возможности. Таким образом мы сможем коллективно противостоять данным киберугрозам и сводить их уровень к минимальным значениям – это попросту настоящая кибервойна, и она уже конкретно наша.