Что такое кибератака и как она коснулась сервисов Хабра

Наши устройства подвергаются разным модификациям и обновлениям со стороны производителей, но самым неприятным явлением, от которого не застрахована ни одна технологическая компания, является кибератака.

Совсем недавно в сети появилась информация, что ботнет под названием Mēris 8 сентября атаковал сервис Хабр. Об этом сообщают представители Qrator Labs.

Этот напад длился всего 90 секунд, но этого хватило для не самых приятных последствий. Правда, сотрудникам Qrator Labs удалось сделать так, чтобы обычные пользователи ничего не заметили. Об атаке стало известно уже после ее завершения. Если вам также интересна сфера программирования и вы хотели бы решать подобные задачи, как эксперты Qrator Labs, рекомендуем начать обучение с курсов DevEducation.

Некоторые представители организации предполагают, что максимальной мощностью этой кибератаки могло быть 3.5 миллионов RPS, если делать выводы из количества посланного ботнетом трафика.

После начала кибератака защитными механизмами Хабра было заблокировано более 20 тысяч зараженных гаджетов, которые находились в РФ, США, Польше, КНР, Камбоджи, Индонезии, Ираке, Бразилии, Украине, Колумбии, Индии.

В сегодняшней статье разберемся, как происходит кибератака.

Хотя специфика отдельных атак может различаться, стоит выделить семь фаз кибератаки. Это обеспечивает общую основу для понимания того, как и когда возникают угрозы, чтобы можно было оптимизировать бдительность, предотвращение и эффективное реагирование.

Что такое кибератака и как она коснулась сервисов Хабра

Фазы кибератаки

  1. Обнаружение цели для взлома.На этапе разведки хакеры идентифицируют уязвимую цель и исследуют, как ее использовать. Первоначальной целью может быть любой сотрудник компании. Злоумышленникам для начала нужна только одна точка входа. Целевые фишинговые сообщения электронной почты часто используются как эффективный метод распространения вредоносных программ на этом этапе.Вся суть в том, чтобы узнать цель. На этом этапе хакеры задаются вопросом, кто такие важные люди в компании, с кем они ведут бизнес и какие общедоступные данные о целевой организации доступны. Веб-сайты компаний и онлайн-ресурсы для контактов, такие как Linkedin, являются двумя очевидными источниками для исследования ключевых людей в организациях. Выявление поставщиков и клиентов может включать «социальную инженерию», когда хакер делает фиктивные коммерческие звонки в компанию.
  2. Вооружение информации о компании.На этапе создания оружия хакер использует ранее собранную информацию для создания способов проникновения в сеть цели.Это может включать создание правдоподобных электронных писем с адресным фишингом, которые выглядят как электронные письма, которые цель потенциально может получить от известного поставщика или другого делового контакта.Еще одна хакерская тактика — создание «водопоев», поддельных веб-страниц, которые выглядят идентично веб-странице поставщика или банка. Это нацелено на захват имен пользователей и паролей или на предложение бесплатной загрузки зараженного вредоносным ПО документа или чего-то еще, представляющего интерес.Последнее действие злоумышленника на этом этапе — собрать инструменты для успешного использования любых уязвимостей, которые он может найти, когда позже получит доступ к сети цели.
  3. Осуществление атаки.Атака начинается на этапе доставки. Отправляются фишинговые сообщения электронной почты, веб-страницы с «водопой» размещаются в Интернете, и злоумышленник ожидает поступления всех необходимых данных.Если фишинговое электронное письмо содержит вложение с оружием, злоумышленник ждет, пока кто-нибудь откроет вложение и вредоносная программа в нем «позвонит домой» хакеру.
  4. Использование бреши в системе безопасности.На этапе эксплуатации хакер начинает пожинать плоды подготовки и проведения атаки.По мере поступления имен пользователей и паролей злоумышленник пробует их в системах электронной почты в Интернете или в соединениях виртуальной частной сети (VPN) с сетью компании. Если были отправлены зараженные вредоносным ПО вложения, злоумышленник получает удаленный доступ к зараженным компьютерам.Хакер исследует целевую сеть и получает лучшее представление о потоке трафика в ней, о том, какие системы к ней подключены и как их можно использовать.
  5. Установка постоянного бэкдора.На этапе установки злоумышленник обеспечивает постоянный доступ к сети.Для этого хакер установит постоянный бэкдор, создаст учетные записи администратора в сети и отключит правила брандмауэра. Они могут даже активировать доступ к удаленному рабочему столу на серверах и других системах в сети.Намерение хакера на этом этапе состоит в том, чтобы быть уверенным в том, что он останется в системе столько, сколько необходимо для достижения их целей.
  6. Осуществление командования и контроля.Теперь у них есть неограниченный доступ ко всей сети и учетным записям администратора, есть все необходимые инструменты для этапа управления и контроля.Злоумышленник может смотреть на что угодно, выдавать себя за любого пользователя в сети и даже отправлять электронные письма от генерального директора всем сотрудникам.Теперь, получив контроль, хакер может заблокировать ИТ-пользователей компании от доступа ко всей сети организации, если они захотят, возможно, потребовав выкуп за восстановление доступа.
  7. Достижение целей хакера.Теперь начинается фаза действий по достижению целей. Это может включать в себя кражу информации о сотрудниках, клиентах, дизайне продуктов и т. Д. Или злоумышленник может начать нарушать работу целевой компании.

Итоги

Не всем хакерам нужны коммерческие данные или компрометирующие электронные письма, которые они могут опубликовать. Некоторые просто хотят вызвать хаос или причинить боль компании. Если компания получает онлайн-заказы, хакер может, например, закрыть систему заказов или удалить заказы. Они даже могли создавать заказы и отправлять их клиентам компании.

Если хакер получает доступ к промышленной системе управления, он может выключить оборудование, ввести новые уставки и отключить сигнализацию.