В интервью информагентству Бельгии главный редактор Le Soir добавил, что сейчас они пытаются определить происхождение атаки. Сообщая о нападении на веб-ресурс Le Soir 12 апреля в своем микроблоге, Дидье Аманн добавил, что не видит связи между этой атакой и состоявшимися ранее атаками на французский телеканал TV5 Monde и портал Правительства Валонии (пять южных провинций Бельгии, где наиболее распространенным является французский язык).
Le Soir является частью медиагруппы Rossel, которой принадлежат еще несколько выходящих в Бельгии газет. По данным информационного агентства Belga, кибератака затронула и их веб-ресурсы: так, сайт издания Sudpresse тоже был временно недоступен для читателей.
Ранее, 8 апреля хакеры взломали ресурсы французского телеканала TV-5Monde, вскрыв защиту официального сайта канала и его страниц в социальных сетях. К полуночи было временно прервано и телевещание всех 11 телеканалов, входящих в группу TV-5Monde. В своем комментарии информагентству AFP генеральный директор канала TV-5Monde Ив Биго (Yves Bigot) 8 апреля отметил, что редакция оказалась не в состоянии вести вещание ни по одному из своих каналов. «Наши веб-сайты и социальные сети более не находятся под нашим контролем», — сказал он.
По словам Биго, на странице TV5Monde в Facebook хакеры разместили удостоверения личности родственников французских военнослужащих, участвующих в боевых действиях против «Исламского государства», а также угрозы в адрес самих военных. «Солдаты Франции, держитесь подальше от «Исламского государства», у вас есть шанс спасти ваши семьи», — говорилось в послании. На восстановление полноценной работы и выпуск телепрограмм у TV5Monde ушло более суток, после того, как каналу удалось «вернуть» себе свои ресурсы.
Руководство бельгийской Le Soir заявило, что не видит связи между этой атакой и взломом собственных ресурсов. «Сайт Le Soir был недоступен, но из сообщения не ясно, был ли он взломан или подвергся DDoS-атаке. Если имел место взлом, то возможны разные варианты, — рассуждает CEO компании Appercut Security Рустем Хайретдинов. — Например, с помощью целевой атаки был заражен компьютер одного из системных администраторов, у которого есть необходимые доступы к инфраструктуре, что дало возможность злоумышленникам нарушить работу ресурса изнутри».
«Или же была использована уязвимость одного из веб-сайтов, с помощью которой опять же был получен доступ к инфраструктуре. Причем это необязательно был основной сайт газеты: взлом зачастую идет не «в лоб», а в обход — например, через второстепенный ресурс, который давно не обновляется, но размещается на тех же серверах», — добавляет эксперт.
«Если же это была атака на отказ в обслуживании, то стратегий проведения таких атак опять же много, как с вовлечением больших бот-сетей, нагружающих веб-приложение (например, сложными запросами для поиска материалов), так и с использованием зараженных серверов, которые могут забить физический канал дата-центра, используя по-прежнему популярную технику усиления атаки (так называемые amplifier’ы). К слову, европейские площадки предоставляют весьма ограниченные возможности для зашиты от мощных DDoS-атак».
Согласен с Рустемом Хайретдиновым и эксперт Центра компетенции информационной безопасности «АйТи» Федор Горловский: «Злоумышленники могли воспользоваться уязвимостями в оборудовании и программном обеспечении издания, могли разработать индивидуальный вредоносный код, который не распознается установленными в издании средствами защиты информации, могли провести DDoS-атаку».
«Кибератаки — творческий процесс. Злоумышленники постоянно совершенствуют свое мастерство, изобретая новые способы атаки для достижения своих целей, — добавляет Федор Горловский. — Индустрия информационной безопасности, в свою очередь, изобретает новые средства защиты для противодействия уже известным угрозам и некоторым из неизвестных ранее угроз».
«Агрессивность интернет-среды для веб-сайтов СМИ особенно велика, — отмечает Рустем Хайретдинов. — Ситуация усугубляется тем, что их ресурсы часто обновляются, а каждое такое обновление может содержать ошибки, которые могут использовать для взлома злоумышленники. Поэтому важно сочетать постоянный мониторинг качества динамично меняющегося программного кода всех задействованных сайтов на основе статического (SAST) и динамического (DAST) анализа с активной защитой с помощью WAF и antiDDoS. Наилучший эффект дают автоматизированные сервисы, сочетающие все упомянутые технологии — они не требуют наличия экспертов по ИБ в штате. Все же основная задача СМИ — создавать контент, а не защищать информацию».