Ложная воздушная тревога в эфире ряда российских телеканалов утром вторника 28 февраля 2023 г. произошла из-за перехвата сигнала со спутника «Ямал-402», принадлежащего холдингу «Газпром космические системы» (входит в группу «Газпром»), сообщил «Ведомостям» собеседник среди партнеров подвергшихся взлому телеканалов и подтвердили два источника, близких к крупному оператору спутникового телевидения.
Сообщения о тревоге с рекомендациями немедленно проследовать в укрытия появились в эфире телеканалов ТНТ4, «Суббота» и 2х2 холдинга «Газпром-Медиа развлекательное телевидение» (ГПМ РТВ). Информацию об инциденте со взломом трансляции подтверждало и МЧС в своем Telegram-канале.
Представитель ГПМ РТВ сказал «Ведомостям», что сообщение о тревоге «не соответствует действительности и появилось в результате атаки на инфраструктуру спутникового оператора», но названия этого оператора он не привел. «Такие атаки на спутник становятся частью наших рабочих будней, – отметил собеседник. – В данный момент наш эфир работает в обычном режиме согласно сетке вещания».
Вскоре после объявления ложной тревоги департамент сопровождения дистрибуции ТВ-каналов ГПМ РТВ разослал письмо своим партнерам, в котором сообщил, что ложная тревога произошла из-за «подмены сигнала» спутника «Ямал-402», вещающего на 55 градусах восточной долготы, рассказал «Ведомостям» источник среди партнеров ГПМ РТВ. «В настоящий момент подмена устранена, но велик риск повторения диверсии», – отмечалось в письме, с текстом которого ознакомились «Ведомости».
Информацию о проблемах в вещании спутника «Ямал-402» «Ведомостям» подтвердили два источника, близких к одному из крупных операторов спутникового ТВ.
«Произошел перехват сигнала со спутника при помощи мощной антенны с Земли», – сообщил один из источников. По его словам, антенна была расположена на территории Украины. Однозначно сказать, откуда именно был перехват сигнала, нельзя – перебить сигнал спутника таким образом можно из любой точки в зоне покрытия аппарата, возразил другой собеседник, близкий к одному из крупных спутниковых операторов.
«Сигнал телеканалов поднимается на спутник с определенными техническими параметрами и мощностью. При этом у спутника отсутствует возможность идентифицировать, из какой точки идет этот сигнал. Соответственно, если при помощи сторонней антенны поднять на спутник сигнал с теми же параметрами, что сигнал телеканалов, но с большей мощностью, то может произойти подмена сигнала», – пояснил он принцип перехвата. По его словам, при должном уровне технической работы такое воздействие на тот или иной спутник может повториться и в будущем.
«Строго говоря, речь идет не о перехвате, а о подмене сигнала», – прокомментировал информацию источников акционер оператора спутниковой связи AlegroSky Сергей Пехтерев. По его словам, спутник работает как зеркало – он принимает сигнал с Земли определенной мощности и транслирует его на всю зону своего покрытия. Международный союз электросвязи (МСЭ) регламентирует мощность таких сигналов, чтобы они не мешали работе других радиослужб. «Если злоумышленники подадут свой, более мощный сигнал, он просто задавит тот сигнал, который передает телецентр, и этот более мощный сигнал распространится на всю зону покрытия спутника», – пояснил эксперт.
По его словам, для защиты сигналы телеканалов шифруются, но с разной степенью шифрования, что и определяет то, насколько сложно подменить их сигнал на спутнике. Но такие акции по подмене сигнала однозначно возможны и в будущем, считает эксперт.
«Для подмены этого сигнала использовалась большая антенна с мощным передатчиком, телепорты с такими станциями расположены и в России, и в соседних странах», – ответил он на вопрос, могла ли подмена сигнала «Ямал-402» осуществляться с территории Украины. Как следует из информации на сайте «Газпром космические системы», зона покрытия «Ямал-402» включает территорию России, а также частично Украины, Белоруссии, Финляндии и стран Прибалтики.
В 2022 г. СМИ оказались в пятерке самых атакуемых структур, сказал советник по вопросам информационной безопасности ФБК и FBK CyberSecurity Андрей Курило. При этом на телеканалах и радиостанциях традиционно плохо реализуются требования по информационной безопасности (ИБ), заметил он. «Там практически нет специалистов, отвечающих непосредственно за реализацию мер по ИБ, их исполняют работники IТ-подразделений, а то и приходящие в режиме аутсорсинга специалисты», – знает Курило.
Наиболее вероятно, что кибератаки на вещательную инфраструктуру достигли цели из-за отсутствия достаточных мер защиты, соглашается с ним ведущий инженер CorpSoft24 Михаил Сергеев. Атаки на телеканалы, по его словам, могут быть реализованы различными способами. Например, злоумышленники могут использовать уязвимости в программах, которые используются для трансляции сигнала, или осуществлять атаки на сетевые устройства, которые управляют его передачей, объяснил он. Также возможен вариант с фишингом или социальной инженерией, когда злоумышленник получает доступ к учетным записям сотрудников телеканала и использует их для взлома системы трансляции, знает эксперт.
Опрошенные «Ведомостями» эксперты соглашаются, что эти атаки носят политический характер и связаны с СВО на Украине. После атак на сайты СМИ атаки на телеканалы и радиостанции были лишь вопросом времени, замечает руководитель центра противодействия киберугрозам Innostage CyberART Антон Кузьмин.
Такие атаки воспринимаются обществом болезненно, так как для многих это основной канал получения информации, добавил директор экспертного центра безопасности Positive Technologies Алексей Новиков. Если организации не выявят причины и способы проникновения и не будут контролировать происходящее в IТ-инфраструктуре, россияне начнут регулярно сталкиваться с недостоверным контентом в системах теле- и радиовещания, который будет сложно отличить от реального, считает Кузьмин.
Среди возможных решений проблемы – усиление контроля за обеспечением кибербезопасности каналов и радиостанций со стороны регуляторов, сказал Сергеев. Кроме того, телеканалы и радиостанции могут использовать более современные методы защиты, такие как системы обнаружения вторжений (IDS), мультифакторную аутентификацию и системы мониторинга безопасности, перечислил он.
«Ведомости» направили запрос в Минцифры.