За DDoS-атакой на РЖД стоят проукраинские злоумышленники

Сайт и мобильное приложение РЖД 5 июля работали со сбоями. Ресурсы открывались, но купить билеты через них было нельзя, убедился корреспондент «Ведомостей». «Стараемся как можно быстрее восстановить их работу. Кассы на станциях и вокзалах функционируют штатно, продажа билетов осуществляется в обычном режиме», – сообщила РЖД в Telegram-канале. «Ведомости» направили запрос в компанию.

РЖД сообщила о восстановлении работы сайта и мобильного приложения только вечером 5 июля. Но в заявлении компании говорится о продолжении массированной атаки. «В связи с этим, а также с повышенной нагрузкой на информационные ресурсы компании еще могут наблюдаться отдельные затруднения», – указано в сообщении РЖД.

По симптоматике то, что происходит с РЖД, похоже на DDoS-атаку, говорит источник «Ведомостей» в компании-разработчике решений по информбезопасности (ИБ). Он также напомнил, что это уже не первая успешная атака на ресурсы компании после начала спецоперации на Украине. Уже 26 февраля 2022 г. представитель РЖД сообщал, что из-за серьезной DDoS-атаки на сайт компании он работает со сбоями. Тогда компании пришлось увеличить количество работающих касс на вокзалах, чтобы все пассажиры смогли купить билеты.

С тем, что ресурсы РЖД подверглись именно DDoS-атаке, согласен и эксперт инжинирингового центра SafeNet «Национальной технологической инициативы» Игорь Бедеров. DDoS-атаки имеют разные векторы и делятся на уровни от 1 до 7 (L1-L7), начиная от простых атак через отказоустойчивость и заканчивая атаками, воздействующими непосредственно на серверное оборудование или ПО, которое управляет внешним сайтом, системой или сервером, объяснил он. По словам источника «Ведомостей» в компании на рынке кибербезопасности, атака происходит именно на уровне L7, то есть злоумышленники атакуют не хостинг-провайдера, а конкретный сайт и конкретное приложение.

Источник «Ведомостей» в компании-разработчике ИБ-решений говорит, что защитой ресурсов РЖД занимается компания «РТК-Солар». Эту информацию подтвердил собеседник в другой компании на рынке кибербезопасности. «РТК-Солар» не предоставила комментарий к моменту публикации материала.

Представитель Positive Technologies сказал «Ведомостям», что в данный момент компания оказывает РЖД необходимую консультационную и технологическую поддержку в соответствии с ее обращениями. Представитель РЖД уточнил, что компания не привлекала Positive Technologies по данной ситуации. Он дополнительно сказал «Ведомостям», что в компании построена комплексная эшелонированная система защиты от подобных атак и «РТК-Солар» не единственная компания, защищающая РЖД. Источники атаки, по его словам, были рассредоточены по всему миру.

В 2022 г. доля продаж билетов РЖД в электронном виде в дальнем следовании составила 74%, докладывал гендиректор компании Олег Белозеров президенту России Владимиру Путину во время встречи в Ново-Огарево 6 февраля 2023 г. Всего в прошлом году РЖД перевезла 1,136 млрд пассажиров, в том числе 108,3 млн в дальнем следовании. Таким образом, по подсчетам «Ведомостей», через интернет за прошедший год продано более 80 млн билетов на поезда дальнего следования.

Статистику по пригородным поездам глава монополии не приводил.

После начала спецоперации поезда дальнего следования стали ключевым способом для поездок на юг России, в том числе на популярные курорты. 11 южных аэропортов закрыты из соображений безопасности, и долететь до побережья Черного моря можно только через аэропорт Сочи (Адлер). Единственный гражданский аэропорт Крыма в Симферополе также закрыт.

Но именно с начала июля российские туристы массово направились в Крым, что привело к многочасовым пробкам на автотрассе перед Крымским мостом. Эта ситуация даже стала предметом разбирательства на уровне президента страны: министр транспорта Виталий Савельев 4 июля докладывал Путину о том, как обстоят дела на подъездах к мосту, на совещании с членами правительства. 5 июля сообщалось, что пробка рассосалась. Но проблем с железнодорожным сообщением с Крымом во время заторов не отмечалось.

«Атака в очередной раз оказалась успешной, потому что, как это обычно бывает с крупными корпорациями, РЖД готовилась к "прошлой войне", – объясняет источник в компании-разработчике ИБ-решений. – Методы, которые помогали снизить симптоматику в феврале 2022 г., например блокировка трафика из-за рубежа по GeoIP, сейчас совершенно неэффективны».

DDoS-атаки на сайты российских компаний участились после начала военной операции на Украине. По данным компании StormWall, в 2022 г. количество таких атак на все секторы увеличилось на 74%. Основной удар DDoS-атак пришелся на финансовую индустрию, на эту сферу была нацелена почти треть всех атак (34%), говорилось в исследовании компании.

В связи с ростом числа и интенсивности атак в начале прошлого года многие ресурсы начали ограничивать доступ для всех IP-адресов, кроме российских, пытаясь блокировать вредоносный трафик из других стран. Но к осени 2022 г. эта мера перестала быть надежной защитой: злоумышленники начали организовывать ботнеты внутри России, писали «Ведомости» в конце февраля.

Нередко государственные информационные системы (ГИС) имеют целый ряд уязвимостей, добавил коммерческий директор компании «Аванпост» Александр Санин. Например, их могут допускать разработчики компаний, выигрывающих тендеры, продолжил он. «Наименьшая стоимость услуг, дающая право на победу, зачастую имеют обратную сторону – создание ГИС осуществляется на низком уровне, без учета требований безопасной разработки», – считает эксперт. 

По словам двух источников «Ведомостей» в компаниях на рынке кибербезопасности, атака была организована так называемой «ИТ-армией Украины». Пост об атаке на РЖД появился и в Telegram-канале этой команды. Ее создание в феврале 2022 г. в своем Twitter-аккаунте анонсировал министр цифровой трансформации Украины Михаил Федоров. Авторы канала регулярно публикуют списки «жертв» и размещают подробные инструкции по тому, как проводить DDoS-атаку, чтобы сделать это могли даже пользователи без специальных технических знаний. 

По словам Бедерова, атака вряд ли продлится дольше трех дней. Длительное поддержание неработоспособности внешнего ресурса стоит денег, кроме того, жертва адаптируется, начиная блокировать IP-адреса, исследовать характер атаки, анализировать действия ботов и т. д., пояснил он. Ресурсы заработают, но DDoS-атаки часто сопровождаются взломами, поэтому не исключены попытки кражи персональных данных и другой конфиденциальной информации, предупредил эксперт. Утечки данных, взлом и подобные действия возможны, если параллельно идут другие атаки, а DDoS используется как прикрытие, пояснил источник в одной из компаний на рынке кибербезопасности.

Кроме того, следует остерегаться последующих действий злоумышленников, начиная от оперативного создания фейковых сайтов РЖД и приложений до мошеннических звонков с целью выманивания учетных данных якобы для «решения недавних технических неполадок», сказал руководитель отдела аналитики «Серчинформ» Алексей Парфентьев.

Уточнение. Уже после публикации материала представитель «РТК-Солар» сказал, что компания защищает сайт РЖД с помощью сервиса WAF, который блокирует атаки на само веб-приложение. Но в данном случае, по его словам, злоумышленники реализовали DDoS уровня каналов связи, безопасность которых обеспечивается другими компонентами защиты РЖД.