Единый поставщик — единая точка взлома
Накануне Дня Победы хакеры атаковали телегиды (Electronic Program Guide, EPG, — прим. ред.) нескольких операторов платного телевидения. Об этом сообщила Национальная ассоциация телерадиовещателей (НАТ) в своем Telegram-канале. Вместо программы телепередач транслировались антивоенные лозунги. Отмечается, что такие факты были зафиксированы зрителями в Бурятии, на Камчатке и в Приморском крае в сетях операторов МТС, «НТВ-Плюс» и «Ростелеком». В интернете об аналогичных случаях рассказывали пользователи из Подмосковья, Саратова, Тюмени и Екатеринбурга. В НАТ предположили, что был взломан крупнейший в России агрегатор телепрограмм «Сервис-ТВ», передающий EPG-контент OTT- и IPTV-операторам, телеканалам и сайтам.
Электронный телегид — это экранное меню, в котором отображается расписание телепрограмм и есть возможность интерактивной навигации по контенту. У каждого пункта телепрограммы есть краткая аннотация.
Пользователи сообщили, что антивоенный текст также отображался вместо парада, посвященного Дню Победы, в расписаниях «Первого канала» и «России-1», размещенных в сервисе ТВ-программ «Яндекса». В пресс-службе «Яндекса» заявили, что получают данные для телепрограммы от единого поставщика, они обновляются в автоматическом режиме. Компания отключила обновление данных «сразу после сигнала от поставщика об их некорректном содержании». В «Яндексе» подчеркнули, что собственные сервисы компании не были взломаны.
Слабые звенья цепочки доставки
В «Лаборатории Касперского» пояснили, что цепочка доставки медиаконтента состоит из нескольких крупных компаний: производитель, вещатель, дистрибьютор, платформа доставки и оператор. Кроме того, в нее входит большое количество мелких субподрядчиков. В случае со взломом электронного телегида поставщиком для большого числа медиаресурсов была сторонняя компания. У зрителей могло сложиться впечатление, что атаке подверглись телеканалы, хотя целью хакеров стала именно небольшая компания в конце цепочки, поставляющая EPG-контент. В этой ситуации ни вещатели, ни операторы не могли предотвратить нарушение информационной безопасности (ИБ).
«Современные кибератаки отличаются агрессией и многовекторностью — использованием всех возможных точек входа в инфраструктуру. Поэтому и защищаться необходимо комплексно, сочетая технологический аспект (а именно, современное надежное ПО для каждого элемента инфраструктуры) и работу с человеческим фактором. Ведь зачастую слабым звеном кибербезопасности компании становятся именно сотрудники, которые могут просто оставить свои данные по ссылке из фишингового письма или открыть вредоносный файл из-за невнимательности и недостатка киберграмотности», — рассказал эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов.
В «Газинформсервисе» (отечественный разработчик ПО и оборудования для информационной безопасности) считают, что операторы, пострадавшие в результате майского взлома, уже ликвидировали все уязвимости, несмотря на сложность атаки.
«Атаку на телевещание подготовить намного сложнее, чем на сайт медиаресурса. Медиаресурс — это сервер и сайт. Проще всего атаковать сайт, так как он находится на поверхности атаки. Немного сложнее атаковать веб-сервер (конечно, если он правильно настроен). А вот сетку телевещания, которая скрыта в недрах инфраструктуры, атаковать намного сложнее. Скорее всего, после первых атак все закрыли бреши в обороне, поэтому мы не видим результатов новых атак», — рассказал «Телеспутнику» главный специалист отдела комплексных систем защиты информации «Газинформсервиса» Дмитрий Овчинников.
В компании Group-IB назвали отрасль телекома одной из приоритетных для прогосударственных хакерских групп: скомпрометировав оператора, злоумышленники получают возможность развивать атаки на его клиентов с целью шпионажа или саботажа.
«Плюс к этому активизируются группы хактивистов, которые проводят DDoS-атаки (атака типа распределенный отказ в обслуживании, — прим. ред.) и взломы сайтов СМИ или госучреждений для публикации на них собственных воззваний и радикальных текстов. Весной мы действительно фиксировали большое количество успешных атак, но потом их количество пошло на спад, в том числе благодаря тому, что российские компании усилили меры безопасности», — отметили в пресс-службе Group-IB.
В первой половине года в «Лаборатории Касперского» наблюдали небывалый всплеск кибератак на все российские компании, в том числе на телевещателей. При этом ландшафт киберугроз был разнообразным: DDoS, целевые атаки, программы-шифровальщики, социальная инженерия. В них участвовало много хактивистов, которые стремились таким образом высказать свою позицию, нанести компаниям максимальный ущерб даже без попыток получить от этого какую-либо финансовую выгоду. «Данную волну атак удалось отразить благодаря оперативным действиям: например, эксперты “Лаборатории Касперского” работали в несколько смен в этот период. Согласно прогнозам, через какое-то время волна кибератак пошла на спад, но можно ожидать, что до конца года активность злоумышленников останется на высоком уровне», — считает Дмитрий Галов.
После начала спецоперации российские СМИ и медиаресурсы регулярно подвергаются кибератакам. Так, в июне 2022 года хакеры взломали платформу для просмотра телеканалов ВГТРК «Смотрим», а также сайт vesti.ru. На них были размещены материалы с призывом остановить боевые действия на Украине и частично был ограничен просмотр видео и потоковых трансляций. Работа платформ была восстановлена меньше чем за час. Доступа к серверам и контенту «Смотрим» и vesti.ru злоумышленникам получить не удалось, говорится в Telegram-канале «Смотрим».
Отечественный софт против бэкдоров
Получается, что сейчас важным фактором защиты от нападения хакеров стало наличие актуального программного обеспечения систем информационной безопасности. После ухода зарубежных вендоров из РФ и отказа в обслуживании российских клиентов выполнить эту задачу в любой компании, в том числе в сфере телевещания, может только ПО отечественных разработчиков.
«Многие зарубежные ИБ-поставщики в начале года ушли с рынка: в одних случаях их решения просто перестали работать, в других — существенно потеряли в эффективности из-за отсутствия обновлений и поддержки. В итоге некоторые российские компании оказались в ситуации, когда срочно необходимо переходить на другие ИБ-продукты или вовсе перестраивать систему защиты. И все это на фоне резко выросшего количества кибератак. Сейчас для поддержания устойчивости бизнеса важно выбрать поставщиков, которые могут гарантировать бесперебойную работу своих решений по кибербезопасности», — считает Дмитрий Галов.
С этой точкой зрения согласны и в «Газинформсервисе». Эксперты компании тоже видят преимущество во внедрении отечественных решений в области информационной безопасности.
«Применение отечественного ПО серьезно снизит вероятность использования злоумышленниками бэкдоров (дефект алгоритма, который позволяет получить несанкционированный доступ, — прим. ред.) и незадокументированных возможностей. Во всем остальном это будут такие же операционные системы и программное обеспечение, которые надо правильно настраивать и эксплуатировать, своевременно обновлять, устранять ошибки и обнаруженные уязвимости», — резюмировал Дмитрий Овчинников.