DDоS в каждый дом: как хакеры атакуют операторов и энергосбытовые компании в регионах

В январе — феврале 2024 года сразу целый ряд энергосбытовых компаний и домашних интернет-провайдеров в российских регионах испытывали DDоS-атаки на свои ресурсы, ответственность за которые в том числе взяла ИT-армия Украины. Forbes разбирался, при чем здесь устройства для умного дома, чем чреваты подобные нападения и кто, помимо хактивистов, от этого выиграл

Ума в палаты

Умные бытовые гаджеты наращивают свою востребованность среди россиян. Ретейлеры отчитываются о бурном росте их продаж, а из забавы для отдельных любителей умный дом все больше становится массовым продуктом. Так, в 2023 году спрос на товары для умного дома в объединенной розничной сети "Мегафона" и Yota увеличился на 90%. По их данным, в категории устройств для умного дома наибольшей популярностью у россиян в прошлом году пользовались смарт-розетки и датчики температуры и влажности. Их продажи за год выросли на 52% и 88% соответственно в натуральном выражении. Спрос на центры управления умным домом вырос на 35% за год, на 14% увеличился спрос на приборы умного освещения — лампы и светильники. Вырос интерес и к прочим смарт-устройствам для дома, куда входят датчики движения, протечек и дыма.

Оценки других участников рынка подтверждают тенденцию: вся категория устройств для умного дома объединенной сети "М.Видео — Эльдорадо" выросла в прошлом году на 80%, а на Wildberries продажи таких систем увеличились на 168% в штуках и на 130% по стоимости.

Суммарный объем рынка умного дома в России в 2023 году, если считать системы безопасности, датчики дыма, движения, а также умные колонки и IP-камеры, может составить около 40 млрд рублей — это почти на 50% больше, чем в 2022 году, оценивал ранее директор по развитию систем безопасности и продуктов умного дома МТС Алексей Давыдов. В ближайшие три-пять лет рынок в стране будет расти двузначными темпами, прогнозировал эксперт.

Не самое очевидное последствие такого бурного роста — пристальное внимание злоумышленников к такому росту и их возможность устраивать кибератаки на устройства умного дома. К примеру, в случае взлома приборов киберпреступники могут использовать их для DDoS-атак, объединяя устройства в ботнеты. Участники рынка цифровизации многоквартирных домов даже планируют в этом году вместе с регуляторами сформировать стандарты в области кибербезопасности устройств умного дома.

Похоже, опасения не беспочвенны.

Фиксация нападений

С начала 2024 года ИT-армия Украины (добровольное объединение хактивистов разного уровня подготовки, "заведует" массированными DDoS-атаками, в 2023 году численность членов оценивалась более чем в 600 000 пользователей. — Forbes) проводит массированные атаки на домашних интернет-провайдеров в связке с региональными организациями энергосбыта, рассказали собеседники Forbes в отрасли информбезопасности. Об этом организация в том числе регулярно отчитывается в своем Telegram-канале.

Атаки наблюдались в таких регионах, как Тюмень, Пермь, Новосибирск, Красноярск, говорит источник Forbes в одной из компаний на рынке кибербезопасности. По его словам, перебои наблюдались в работе 40% атакуемых ресурсов энергосбытовых компаний. Объектами DDоS-атак оказались "Красноярскэнергосбыт", "Пермэнергосбыт", новосибирский провайдер "Авантел", подтверждает данные коллег собеседник в другой компании. Перебои в работе сервисов признавал "Красноярскэнергосбыт", о сбоях из-за DDоS-атаки сообщал также "Пермэнергосбыт".

В последние две недели ситуационный центр StormWall фиксировал много DDoS-атак на энергосбытовые компании, согласен CEO и сооснователь компании Рамиль Хантимиров. "Данные атаки являются комплексными, хакеры используют методы атак на уровне L7, уровне приложений, по модели OSI (с ее помощью сетевые устройства могут взаимодействовать друг с другом. — Forbes), — продолжает он. — Зачастую средства защиты, которые используют энергосбытовые компании, не могут быстро справиться с атаками такого типа. Это связано с тем, что атакующие используют обширные ботнеты, которые создают множество "легитимных" с точки зрения защиты соединений, однако их количество в расчете на каждого бота невелико. Таким образом, отделить атаку от трафика пользователей становится крайне сложно".

У некоторых энергосбытовых компаний, подвергшихся нападению, была лишь базовая защита от оператора, который предоставлял им услуги связи, поясняет Forbes заместитель гендиректора Servicepipe Даниил Щербаков. И пока не было атак от IT-армии Украины, этого, по его словам, вполне хватало: "Но когда пошел массированный DDoS, провайдеры видели, что базовый инструмент не выдерживает. Чтобы не пострадали другие клиенты, провайдеры были вынуждены отключать атакованные компании энергосбыта. То есть злоумышленники применяли достаточно распространенную тактику DDоS-атаки, когда хостера или провайдера намеренно вынуждают держать атакуемую организацию "выключенной".

Примечательно, что некоторые организации превентивно отключают свои сервисы в ночное время. К примеру, на вопрос корреспондента Forbes, с чем связаны перебои в работе мобильного приложения и веб-ресурсов "МосОблЕИРЦ" (платежный агент нескольких сотен управляющих и ресурсоснабжающих организаций) вечером и ночью, там ответили: "В период с 23:00 до 07:00 доступ в сервис "Личный кабинет" временно ограничен, это вынужденная временная мера, направленная на повышение надежности работы системы в связи с возможностью деструктивных действий третьих лиц".

Выбор целей

Cистемы типа "умный дом" — это устройства учета и передачи телеметрии у потребителей, серверы, которые обеспечивают сбор, хранение этих данных и управление устройствами, и интерфейсы доступа к ним. Техническая возможность существует для атаки каждого из компонентов, рассуждает менеджер продукта Qrator Labs Георгий Тарасов.

"Сервер управления, к которому подключаются датчики, счетчики и другие умные устройства, может размещаться у управляющей компании с подключением через оператора "последней мили" либо у самого оператора связи, — объясняет Тарасов. — Успешная DDoS-атака на ресурсы местного оператора связи может привести к потере доступа к серверам умного дома для всех их абонентов, это могут быть дома, жилые комплексы или целые предприятия". То есть оператор может не получить нужную ему телеметрию и сигналы от устройств об ошибках или авариях, принять решение и контрмеры на основе этих данных, а потребители рискуют потерять управление через свои личные кабинеты и приложения. По совокупности это "наиболее серьезный риск", считает Георгий Тарасов: "Зачем атаковать одного клиента, если можно атаковать сервер, за которым клиентов сотни или тысячи?"

Таким образом, для атак небольших региональных провайдеров у хакеров есть серьезные причины, поясняют эксперты. Домашние интернет-провайдеры обеспечивают интернет в многоквартирных домах, фактически "дотягиваются кабелем" до каждой квартиры, поясняет Даниил Щербаков. По его словам, зачастую именно эти провайдеры обеспечивают каналы сбора информации между энергетическими компаниями и конечным потребителем, а также управление ею: "Широкое использование так называемых smart-счетчиков, которые позволяют регулировать, например, теплопотребление прямо на объекте и значительно экономить, может быть одной из причин массированных атак на домашних интернет-провайдеров хактивистами. Недоступность сервисов провайдеров или даже сбои в работе могут привести к некорректному сбору телеметрии и работы умных счетчиков, что, в свою очередь, может повлечь за собой весьма негативные последствия — например, нарушения работы в котельной, что в морозные зимы может быть критично".

По сути, атаки на ресурсы энергосбытовых компаний и на региональных интернет-провайдеров — звенья одной цепи, признает Щербаков. В своем Telegram-канале IT ARMY of Ukraine злоумышленники прямо пишут, что прямые атаки на инфраструктуру запрещает Красный Крест, говорит он: "Атака же на интернет-провайдера, из-за которой может прекратиться поступление тепла в дом, под этот запрет не попадает, но решает ту же задачу. Неспособность энергосберегающей компании принимать платежи из-за атаки и угроза выключения света также не попадает под понимание атаки на инфраструктуру". Более того, анализ целей ближайших планируемых злоумышленниками атак показывает, что и региональные интернет-провайдеры, и энергосбыт по-прежнему в сфере интересов злоумышленников, резюмирует Даниил Щербаков.

Умные устройства все чаще становятся частью атакующего ботнета, нежели его целями, говорит руководитель направления защиты на уровне веб-приложений DDoS-Guard Дмитрий Никонов. "Важно менять заводские пароли и проводить соответствующие настройки, чтобы минимизировать риски, — продолжает он. — Чтобы потом не удивляться, что какой-нибудь датчик потребляет столько трафика, как будто через него круглосуточно идет трансляция футбольного матча".

Стимул для роста

Число, мощность и длительность DDоS-атак растет в мире с каждым годом, и 2023 год не исключение. В России, на которую приходится 7,3% от общего количества нападений (седьмое место в мире), общее число таких инцидентов выросло на 29%, оценивали в Stormwall. Вместе с ростом числа и интенсивности DDoS-атак растет и российский рынок услуг защиты от них. Так, по оценкам МТС Red ("дочки" МТС в сфере кибербезопасности), в 2022 году он составил 762 млн рублей, к 2025 году он может вырасти в 3,5 раза — до 2,7 млрд рублей. В 2023-м рынок увеличится еще примерно на 60%. В числе основных факторов такой динамики в компании в первую очередь указывают на распространенность и рост числа DDoS-атак, а также их широкое распространение в каналах информации и простоту подсчета ущерба от них.

Впрочем, по мнению Дмитрия Никонова из DDoS-Guard, проблему не стоит драматизировать. "Понятно, что с внедрением умных устройств в элементы критической инфраструктуры повышается соблазн для хакеров использовать их в своих целях и проверять системы на прочность. В России же пока только развивается применение умных датчиков и подобных устройств, поэтому говорить о серьезных угрозах в этом плане пока рано", — полагает он, напоминая, как в 2023 году "Росводоканал" стал жертвой DDoS-атаки, которая, по словам представителей организации, никак не повлияла на рабочие процессы. "Защита от DDoS — это уже базовая вещь, которая должна быть в арсенале каждого телеком-провайдера, — размышляет он. — Но заявления ИT-армии Украины о том, что они способны организовать в России коммунальный коллапс с помощью DDoS-атак, звучат неубедительно. Больше похоже на попытку создать впечатление, вызвать у жителей напряжение и опаску".

Как бы то ни было, компании, предоставляющие услугу защиты от DDоS-атак, уже получили целый ряд новых клиентов в области энергосбыта. Так, в Servicepipe сообщили Forbes, что несколько новых клиентов в этой сфере уже обратились к ним за поддержкой.