Що означає кібератака на грузинські вебсайти

У понеділок, 28 жовтня, в результаті кібератаки були недоступними кілька тисяч вебсайтів у Грузії, в тому числі сайт Президента країни, державних відомств і неурядових організацій, ресурси місцевих інформаційних агентств і телестанцій. Зокрема, на сайті Президента на головній сторінці відображалася фотографія колишнього президента Грузії Михайла Саакашвілі на тлі грузинського прапора і з написом I'll be back.

Атака була проведена на хостінгову компанію Pro-Service, яка здійснює підтримку постраждалих веб-сайтів.

- Як ми бачимо, це була не скоординована атака на окремі веб-сайти, а проникнення в інфраструктуру ІТ-сервіс провайдера. Це типовий приклад supply-chain-атаки, тобто атаки через підрядника, - каже Роман Сологуб, генеральний директор ISSP. - Компанії, що надають послуги в сфері цифрових технологій, завжди залишаються ласою ціллю для кібератак. Якщо ми згадаємо NotPetya, то ця атака також починалася з проникнення в інфраструктуру розробника програмного забезпечення, яким користувалися сотні тисяч інших компаній в Україні.

​

- Важливо розуміти, що будь-яка атака складається з багатьох етапів, включаючи проникнення, дослідження і захоплення інфраструктури, і інших, які можуть тривати від кількох тижнів до кількох місяців. В кінцевому рахунку настає етап кульмінації атаки, - каже Мая Гогуадзе, керуючий директор ISSP в Грузії. - Якщо в даному випадку дефейсінг вебсайтів був кінцевою метою зловмисників, якщо це можна вважати кульмінацією, тоді не варто переоцінювати цю атаку. Зараз найважливіше - щоб хостінг компанія Pro-Service провела оцінку всієї своєї IT-інфраструктури та вивчила, які ресурси були скомпрометовані, чи залишаються ще зловмисники в мережі. Це дозволить оцінити всю картину ушкоджень, побачити слабкі елементи в системі кібербезпеки, щоб в подальшому їх посилити і знешкодити зловмисників.

​

Олексій Ясинський, керівник лабораторії ISSP і експерт з великим досвідом розслідування кібератак, пояснює, що сьогодні зловмисникам простіше отримати доступ в незахищену підрядну компанію, використати її облікові записи для доступу в інші організації і проникнути в них уже через «легальний» доступ.

​

- Кожна компанія, незалежно від її розміру і сфери діяльності, повинна задавати собі питання: наскільки ми цікаві зловмисникам як проміжна ланка при атаці на інші компанії? - пояснює Олексій Ясинський. - Тоді як великий бізнес може дозволити собі сучасні тренди в сфері інформаційної безпеки, малий і середній бізнес не готовий інвестувати в SIEM, DLP, Endpoint Protection і подібні рішення і таким чином стає мішенню атак для зловмисників. Коли хакери атакують організації через інфраструктуру компаній-підрядників або постачальників IТ-рішень, це дозволяє їм знизити поріг «шуму» під час проникнення і таким чином нівелюються практично всі засоби захисту.