Хакеры взломали свободу слова

B2BSecurity
Кибератаке подверглась одна из крупнейших газет Бельгии Le Soir. Этот инцидент стал второй крупной атакой на франкоязычные СМИ меньше, чем за неделю. Связь между атаками пока не доказана.

Кибератаке подвергся сайт одной из крупнейших франкоязычных газет Бельгии Le Soir. Около 19:00 вечером в воскресенье, 12 апреля, читатели не могли попасть на сайт газеты, так как он был взломан злоумышленниками. «Le Soir регулярно подвергается атакам, — прокомментировал главный редактор газеты Дидье Аманн (Didier Hamann), — но в этот раз файерволл не сработал как обычно». Для того, чтобы предотвратить распространение атаки, издание заблокировало собственный сайт, сделай публикацию материалов онлайн невозможной. При этом печатный тираж понедельника вышел вовремя, а полноценную работу веб-ресурса удалось восстановить к вечеру понедельника.

В интервью информагентству Бельгии главный редактор Le Soir добавил, что сейчас они пытаются определить происхождение атаки. Сообщая о нападении на веб-ресурс Le Soir 12 апреля в своем микроблоге, Дидье Аманн добавил, что не видит связи между этой атакой и состоявшимися ранее атаками на французский телеканал TV5 Monde и портал Правительства Валонии (пять южных провинций Бельгии, где наиболее распространенным является французский язык).

Le Soir является частью медиагруппы Rossel, которой принадлежат еще несколько выходящих в Бельгии газет. По данным информационного агентства Belga, кибератака затронула и их веб-ресурсы: так, сайт издания Sudpresse тоже был временно недоступен для читателей.

Ранее, 8 апреля хакеры взломали ресурсы французского телеканала TV-5Monde, вскрыв защиту официального сайта канала и его страниц в социальных сетях. К полуночи было временно прервано и телевещание всех 11 телеканалов, входящих в группу TV-5Monde. В своем комментарии информагентству AFP генеральный директор канала TV-5Monde Ив Биго (Yves Bigot) 8 апреля отметил, что редакция оказалась не в состоянии вести вещание ни по одному из своих каналов. «Наши веб-сайты и социальные сети более не находятся под нашим контролем», — сказал он.

По словам Биго, на странице TV5Monde в Facebook хакеры разместили удостоверения личности родственников французских военнослужащих, участвующих в боевых действиях против «Исламского государства», а также угрозы в адрес самих военных. «Солдаты Франции, держитесь подальше от «Исламского государства», у вас есть шанс спасти ваши семьи», — говорилось в послании. На восстановление полноценной работы и выпуск телепрограмм у TV5Monde ушло более суток, после того, как каналу удалось «вернуть» себе свои ресурсы.

Руководство бельгийской Le Soir заявило, что не видит связи между этой атакой и взломом собственных ресурсов. «Сайт Le Soir был недоступен, но из сообщения не ясно, был ли он взломан или подвергся DDoS-атаке. Если имел место взлом, то возможны разные варианты, — рассуждает CEO компании Appercut Security Рустем Хайретдинов. — Например, с помощью целевой атаки был заражен компьютер одного из системных администраторов, у которого есть необходимые доступы к инфраструктуре, что дало возможность злоумышленникам нарушить работу ресурса изнутри».

«Или же была использована уязвимость одного из веб-сайтов, с помощью которой опять же был получен доступ к инфраструктуре. Причем это необязательно был основной сайт газеты: взлом зачастую идет не «в лоб», а в обход — например, через второстепенный ресурс, который давно не обновляется, но размещается на тех же серверах», — добавляет эксперт.

«Если же это была атака на отказ в обслуживании, то стратегий проведения таких атак опять же много, как с вовлечением больших бот-сетей, нагружающих веб-приложение (например, сложными запросами для поиска материалов), так и с использованием зараженных серверов, которые могут забить физический канал дата-центра, используя по-прежнему популярную технику усиления атаки (так называемые amplifier’ы). К слову, европейские площадки предоставляют весьма ограниченные возможности для зашиты от мощных DDoS-атак».

Согласен с Рустемом Хайретдиновым и эксперт Центра компетенции информационной безопасности «АйТи» Федор Горловский: «Злоумышленники могли воспользоваться уязвимостями в оборудовании и программном обеспечении издания, могли разработать индивидуальный вредоносный код, который не распознается установленными в издании средствами защиты информации, могли провести DDoS-атаку».

«Кибератаки — творческий процесс. Злоумышленники постоянно совершенствуют свое мастерство, изобретая новые способы атаки для достижения своих целей, — добавляет Федор Горловский. — Индустрия информационной безопасности, в свою очередь, изобретает новые средства защиты для противодействия уже известным угрозам и некоторым из неизвестных ранее угроз».

«Агрессивность интернет-среды для веб-сайтов СМИ особенно велика, — отмечает Рустем Хайретдинов. — Ситуация усугубляется тем, что их ресурсы часто обновляются, а каждое такое обновление может содержать ошибки, которые могут использовать для взлома злоумышленники. Поэтому важно сочетать постоянный мониторинг качества динамично меняющегося программного кода всех задействованных сайтов на основе статического (SAST) и динамического (DAST) анализа с активной защитой с помощью WAF и antiDDoS. Наилучший эффект дают автоматизированные сервисы, сочетающие все упомянутые технологии — они не требуют наличия экспертов по ИБ в штате. Все же основная задача СМИ — создавать контент, а не защищать информацию».