IT-дирекция РИА Новости: агентство стало объектом системных кибератак

- 7 августа были взломаны неосновные твиттер-аккаунты РИА Новости — Международного мультимедийного пресс-центра и RIA Novosti Deutsch. Как хакерам удалось это сделать?

— Мы в РИА впервые столкнулись с подобной угрозой. Думаю, к ней оказались не готовы сами социальные сети. Вряд ли они предполагали, что это выйдет на такой уровень, когда взлом аккаунтов может оборачиваться для их владельцев серьезными репутационными и, возможно, даже финансовыми рисками. Самый громкий случай — взлом в апреле этого года твиттер-аккаунта Associated Press и размещение в нем сообщения о взрыве в Белом доме и ранении Барака Обамы. Взлому подвергались аккаунты агентства France-Presse, BBC, al-Jazeera, The New York Times. Так что это общая и очень большая проблема.

Что касается нашего случая, то 7 августа на нашем немецкоязычном канале был опубликован пост, в котором была распространена лживая информация о Михаиле Горбачеве. Этот пост заметили блогеры, а один из них, Олег Кашин, даже написал, что дозвонился до Горбачева — то есть, по сути, написал опровержение. Тем не менее после этого пост был опубликован злоумышленниками еще и на нашем русскоязычном канале Международного мультимедийного пресс-центра, где традиционно размещаются анонсы мероприятий, но не новости. Несмотря на то, что ни в ленте новостей РИА, ни на сайте агентства ria.ru ничего подобного опубликовано не было, некоторые СМИ все равно растиражировали эту фейковую новость.

Скорее всего, выбор аккаунтов был связан с кражей пароля каким-то нелегитимным способом. По мере обнаружения провокационных постов они удалялись, а пароли аккаунтов менялись.

Сейчас мы ищем уязвимые места, через которые хакеры смогли получить логины и пароли наших каналов. Также мы резко ограничиваем число сотрудников, владеющих аккаунтами наших каналов в социальных сетях, существенно сокращаем срок жизни пароля.

- Это ведь не первый случай, когда РИА Новости становятся объектом подобных атак?

— Мы почувствовали интерес со стороны хакеров примерно полтора года назад. С тех пор давление нарастало, мы все чаще фиксировали попытки вмешательства в нашу работу. Сейчас можно констатировать, что РИА Новости стало объектом системных кибератак. Причем не очень понятно, политический это заказ или чьи-то бизнес-интересы, которые мы задели по мере развития бренда РИА Новости и наших продуктов.

Инциденты, с которыми мы сталкивались, можно разделить на два типа. На наши ресурсы с определенной периодичностью совершаются разнообразные DDoS-атаки. С основным сайтом ria.ru это случается, как правило, под какое-то громкое событие. Атакуют и другие наши или партнерские сайты. Был случай, когда DDoS-атаке подвергся наш азербайджанский проект, а через неделю — армянский. Судя по всему, хакеры, которым заказали взлом азербайджанского проекта, получили заказ атаковать и армянский. Мы научились с этим бороться. Сейчас мы активно готовимся к Олимпиаде и, соответственно, все наши олимпийские проекты переведены под защиту от DDoS-атак.

Второй тип атаки связан с подбором пароля к нашим редакторским системам и корпоративной почте. После подобных инцидентов на корпоративном уровне был разработан регламент, по которому мы часто, но с разной периодичностью меняем пароли пользователей для входа в систему и доступа к нашим внутренним корпоративным ресурсам. Одновременно мы повысили уровень сложности паролей.

Параллельно с попытками получения доступа к сайтам наших СМИ возникают проблемы, связанные с баннерообменными сетями. Здесь речь также идет либо о взломе аккаунтов, либо о получении нелегитимными способами логинов и паролей к этим сетям. Нас это частично коснулось — мы фиксировали случаи, когда от нашего имени в обменной сети публиковались не наши баннеры. Но мы решили и эту проблему. С какими-то баннерными сетями нам удалось договориться, и они усилили меры своей внутренней безопасности. От кого-то мы просто отказались. В редакциях, которые являются администраторами или активно пользуются баннерными сетями, были модифицированы процессы управления, введена строгая парольная политика. Примерно через полгода это дало свой результат. Сейчас такие угрозы обходят нас стороной.

- Не так давно некоторые СМИ, в том числе РИА Новости, получили по электронной почте поддельное письмо якобы из аппарата правительства, в котором говорилось об отставке главы ОАО РЖД Владимира Якунина. Что сейчас делают технические службы агентства, чтобы этого не повторилось?

- Этот тип атаки относится к так называемому социнжинирингу. Тогда многие средства массовой информации получили это фейковое письмо. Очень хорошо подделанное — и с точки зрения внешнего вида, и адресаты были те же, что обычно при такого рода рассылках. Формат внутреннего документа и техническая составляющая были на высоте, достаточно хорошо сымитирована работа легитимного почтового сервера, от которого, как правило, приходят такие рассылки. Все крупнейшие новостные агентства, в том числе иностранные, выпустили это сообщение на свои ленты. Но мы первыми выявили несоответствия и первыми дали опровержение с техническими параметрами, которые указывали на то, что это подделка. После этого мы разработали и внедрили систему автоматической проверки входящих писем. С ее помощью оценивается, с правильного или неправильного сервера пришло письмо. И при получении электронного письма мы информируем редакцию, заслуживает оно доверия или нет. Это помогает оперативно и более безопасно использовать ту информацию, которая приходит по открытым каналам связи.

- Как вы считаете, атаки на РИА Новости будут продолжаться?

— Как я уже сказал, нам не до конца ясны цели тех людей или структур, которые заказывают эти атаки. Но происходящее в последнее время свидетельствует о том, что давление на РИА Новости будет усиливаться, а попытки дискредитировать агентство и нанести ему репутационный ущерб будут продолжаться. Технологии черного пиара перешли из офлайна в онлайн. Как я уже говорил, атаки на наш флагманский сайт ria.ru, как правило, приурочены к каким-то важным событиям. В начале сентября в Санкт-Петербурге пройдет саммит G20. А сразу после этого, в единый день голосования состоится целая серия региональных выборов, в том числе выборы мэра Москвы, к которым приковано особое внимание. Поэтому мы готовимся к новым атакам и информационным провокациям.

Мы сделаем все, чтобы сайты Группы РИА Новости работали бесперебойно, а входящие в ее состав СМИ не становились объектами информационных провокаций. Мы плотно сотрудничаем с правоохранительными органами, оперативно направляем им всю имеющуюся у нас информацию об атаках или попытках взлома наших систем. Ведь неправомерный доступ к компьютерной информации — это вообще-то уголовное преступление. И мы уверены, что соответствующие службы способны эффективно бороться и с хакерами, и с заказчиками взломов и фальсификаций, какие бы цели они ни преследовали. Последний пример — обвинительный приговор людям, заблокировавшим на несколько дней систему оплаты и приобретения электронных билетов на сайте «Аэрофлота». Хакеры получили по 2,5 года колонии. Я думаю, если подобные преступления будут раскрываться чаще, то и желающих заработать на блокировке или взломе компьютерных систем станет меньше.