Хакер-игры: как Олимпиада в Италии стала мишенью для кибератак

Олимпиады всегда уязвимы

Крупные глобальные спортивные мероприятия, такие как чемпионат мира по футболу или Олимпийские игры, были и остаются заманчивыми целями для хакеров из-за вероятных сбоев и дурной славы, которая может возникнуть в результате таких атак. Жертвами могут стать не только спортсмены, зрители и организаторы, но и поставщики Олимпиады.

Один из громких скандалов произошёл на зимних Олимпийских играх в Пхёнчхане в 2018 году, когда перед самой церемонией открытия с помощью зловреда Olympic Destroyer была атакована ИТ-инфраструктура организаторов. Это привело к сбоям в интернет-сетях, проблемам с доступом к официальному сайту и билетам, а также затруднило работу сетей связи и Wi-Fi вокруг объектов соревнований. Напряжённая ситуация была и на парижской Олимпиаде-2024 — французские власти зафиксировали более 140 кибератак. В 22 случаях злоумышленникам удалось получить доступ к информационным системам. Многие из этих атак вызывали простои сервисов, зачастую в результате атак типа отказ в обслуживании (DoS). Однако эти инциденты в целом не нарушили проведение соревнований.

«С учётом трёх миллиардов телезрителей и более чем миллиона болельщиков на трибунах Олимпиада представляет собой идеальную площадку для хактивистов и продвинутых акторов, стремящихся к максимальной публичности. Срыв работы потокового телевещания, платформ продажи билетов или других ключевых цифровых сервисов гарантировал бы немедленное глобальное внимание», — заявил представитель Итальянского национального агентства по кибербезопасности (ACN) Джанлука Галассо.

По его словам, ожидается, что хакеры до последнего дня Олимпиады будут использовать различные тактики, включая фишинговые письма с применением ИИ и дипфейк-имитации олимпийских чиновников, чтобы получить доступ к инфраструктуре Игр. Операционный директор Игр Андреа Франсиси заявил, что Италия готова к этому вызову «благодаря совершенству своих правоохранительных органов и силе межучрежденческого сотрудничества».

Векторы атак на спортивные мероприятия

За два дня до начала Олимпиады власти Италии сообщили о предотвращении серии кибератак, нацеленных на объекты Министерства иностранных дел, включая посольство в Вашингтоне, а также на сайты, связанные с Играми, и отели в Кортине-д’Ампеццо.

Также в числе жертв — один из крупнейших университетов Европы Ла Сапиенца. После атаки он отключил свой сайт и ряд компьютерных систем. Доступ к сервисам постепенно восстанавливают, используя резервные копии, которые не были затронуты инцидентом. Всего под атаку попали 120 различных целей. Западные СМИ сообщили, что ответственность за произошедшее взяла на себя пророссийская хакерская группа NoName057.

Похожие обвинения звучали перед летними Играми 2024 года во Франции. Тогда местные власти и корпорация Microsoft также утверждали, что «российские хакерские группы» ведут против Олимпиады информационную кампанию, создавая фейковый контент о проблемах с безопасностью и организацией соревнований. Правда, доказательств вмешательства российских хакеров предъявлено так и не было.

Подразделение Palo Alto Networks, которое специализируется на исследованиях в области кибербезопасности и разведке угроз, UNIT 42 выделило несколько хакгрупп с подтверждёнными возможностями. Аналитики ждут угрозы именно от них:

• Muddled Libra (также известная как Scattered Spider, UNC3944) замечена в атаках на государственные структуры, розницу, страховой и авиационный секторы, связана с масштабными инцидентами 2025 года, включая атаки на M&S, Harrods, Co-op, JLR, Victoria’s Secret и Adidas;
• Insidious Taurus — китайская проправительственная группировка, стремится к компрометации и удержанию постоянного доступа к критической инфраструктуре;
• Salt Typhoon — китайская группа, также, как считается, поддерживается государством. Направление — разведывательный кибершпионаж. Известна тем, что компрометирует телекоммуникационные компании по всему миру с целью ведения наблюдения.

Фишинг и онлайн-мошенничество остаются одними из наиболее распространённых киберугроз для болельщиков таких мероприятий, отмечают эксперты. По данным кибербез-компании ZeroFox, до начала спортивных соревнований был выявлен целый ряд фишинговых ресурсов, имитирующих официальные аккаунты Олимпийских игр. Такие домены часто остаются неактивными месяцами. Однако их ценность возрастает по мере роста общественного интереса, когда болельщики начинают искать расписание, билеты и информацию о поездках.

Не менее популярно мошенничество с билетами на соревнования, объявлениями о размещении. Эти схемы не требуют сложного вредоносного ПО. Они строятся на выборе правильного момента, эмоциях и доверии. Мошенники часто действуют через социальные сети, поисковую рекламу и фальшивые онлайн-витрины, выдавая себя за легитимных продавцов или предлагая «выгодные» условия.

О волне туристических мошенничеств, связанных с поездками на Игры, сообщили и власти Италии. Одновременно злоумышленники всё чаще используют ИИ для генерации убедительных фишинговых сообщений, поддельных приложений и синтетического контента, имитирующего официальные коммуникации Олимпиады.

«Мошенничество на Играх — это не только про поддельные билеты. Когда вы публикуете в соцсетях, что отправляетесь в поездку, злоумышленники понимают, что вас нет в офисе, и могут связаться с вашей командой, выдавая себя за вас. Если вы жалуетесь в Сети на проблемы с рейсом или отелем, мошенники могут вмешаться, представляясь официальной поддержкой, чтобы украсть учётные данные или платёжные реквизиты», — сказал генеральный директор Wizer, компании по обучению осведомлённости в области кибербезопасности Габриэль Фридлендер.

АРТ-подготовка

Зимние Игры — сложное глобальное мероприятие, которое охватывает несколько городов, тысячи поставщиков, международных вещателей, сторонние приложения, Wi-Fi-сети, различные критические системы. Организация киберзащиты такого масштаба требует выверенных подходов.

Упреждение событий. Архитектор информационной безопасности UserGate uFactor Дмитрий Овчинников выделяет несколько шагов, которые предпринимаются организаторами еще на этапе подготовки к таким событиям:

• Инвентаризация всех информационных систем, их ранжирование по степени опасности
• Организация межсетевого экранирования и сетевая защита. Все подсистемы должны быть максимально сегментированы друг от друга, обновлены и проверены на отсутствие уязвимостей.
• Предоставление удаленного доступа и защита учетных записей с административными привилегиями. Это необходимо, учитывая, что для подобных мероприятий привлекается множество подрядных организаций.

Максимальное сокращение поверхности атаки. Чем меньше систем будут иметь внешние интерфейсы и выход в интернет, тем меньше точек атак для злоумышленников.

Объединение ресурсов. Обеспечение безопасности Олимпиады требует многолетней подготовки и тесной координации между местными и международными органами. ACN начала работать с Организационным комитетом Олимпиады Милан-Кортина более года назад для противодействия киберугрозам. Также агентство взаимодействует с другими международными киберпартнёрами, включая Международный олимпийский комитет, чтобы обеспечить бесперебойное проведение Игр. В обеспечении безопасности мероприятия задействованы и сотрудники Службы иммиграционного и таможенного контроля (ICE) США, американского агентства по киберзащите CISA. Эксперты обмениваются в режиме реального времени разведданными об угрозах от государственных и отраслевых источников.

Военный лагерь. «Защита больших мероприятий базируется на принципе военного лагеря — инфраструктуры, которая объединяет всё: билетные сервисы, системы аккредитации, транспорта, медиа, платежей, подрядчиков, Wi-Fi-сети и отдельные сегменты для критической инфраструктуры площадок», — говорит руководитель отдела исследований безопасности банковских систем Positive Technologies Сергей Белов. Всё это стягивается в единый контур мониторинга и реагирования, где в режиме 24/7 отслеживаются атаки, изолируются узлы, режется трафик и восстанавливаются сервисы по заранее отрепетированным сценариям. При этом уязвимость создаёт не один мастер-сервер, а множество временных интеграций, подрядчиков и учёток, которые появляются перед стартом и живут до закрытия Олимпиады, часто с привилегиями и доступом к данным. Преступникам такие события нравятся по трём причинам: деньги идут потоком, доверие к бренду события запредельное, а цена сбоя высока.

По словам Джанлуки Галассо, подход ACN строится вокруг раннего выявления угроз — обнаружения враждебной активности ещё до того, как попытка проникновения примет конкретную форму. Аналитики мониторят открытый интернет, даркнет и социальные сети, выявляя закономерности и зарождающиеся угрозы. «Наша работа начинается до того, как кто-то пытается войти в систему, — сказал он. — Мы отслеживаем всё, что движется в криминальной экосистеме, чтобы предвосхищать угрозу».

ИИ на страже. Для защиты систем на Олимпиаде активно используется ИИ. «Технологии защиты на основе ИИ дают значительные преимущества в среде, где важна каждая секунда. В конечном итоге AI позволяет защитникам действовать с той же скоростью и в том же масштабе, на которые всё чаще опираются злоумышленники», — сказал Галассо. Кстати, ИИ применялся и на Олимпийских играх в Париже для защиты критически важных информационных систем, обеспечения безопасности конфиденциальных данных и повышения осведомлённости внутри экосистемы мероприятия. Тогда же был запущен пилотный проект, допускающий использование алгоритмического видеонаблюдения. Из-за законодательства о защите персональных данных применять биометрическую идентификацию или автоматическое сопоставление данных было невозможно. Вместо этого ИИ анализировал видеопотоки на предмет определённых сценариев: оставленные без присмотра сумки, наличие оружия, необычные перемещения людей и т. д.