Перевод ©Dmitry Gaich 2020
И это, возможно, только первая фаза более масштабной атаки.
Келси Атертон, 28 марта 2018 г.
Значимая история о российском вмешательстве потерялась на фоне драматических событий в администрации Трампа и новостей от Сторми Дэниэлс на прошлой неделе: 15 марта правительство США опубликовало доклад с описанием массивной хакерской кампании России с целью внедрения в «критическую инфраструктуру» Америки – электростанции, ядерные генераторы, объекты водоснабжения и тому подобное.
В совместном докладе ФБР и министерства внутренней безопасности утверждается, что российские хакеры получили доступ к компьютерам в целевых отраслях промышленности и собрали конфиденциальные данные, включая пароли, логины и информацию о производстве энергии. Поскольку в докладе не приводится факта выявленного саботажа, взлом можно расценить как подготовку будущих атак, имеющих целью нечто большее, чем просто наблюдения.
На следующий день после публикации доклада, министр энергетики Рик Перри на соответствующем совещании рассказал законодателям, что кибератаки «буквально происходили сотни тысяч раз в день» и завил, что министерству энергетики необходим «офис кибербезопасности и реагирования на чрезвычайные ситуации» для готовности противостоять подобным угрозам в будущем.
Этот доклад очень ценен: в первый раз правительство США публично обвинило российское правительство в атаках на энергетическую инфраструктуру. Открытая привязка атаки к Кремлю означает, что вместо того, чтобы противостоять хакерам, как отдельным лицам, США могут теперь предпринимать ответные меры против России в целом.
Связывая атаки с российскими разведывательными организациями, правительство США может ввести санкции против высокопоставленных членов этих организаций из-за действий их подчинённых. Это сделает дальнейшие хакерские операции более рискованными не только для самих хакеров, но также и для их начальников и правительства, которое дало на это разрешение. Это первый шаг по установлению сдерживания в киберпространстве.
Российские хакеры использовали десятилетиями применявшуюся тактику для получения доступа
В докладе говорится, что Россия атаковала «отрасль энергетики и другую критическую инфраструктуру», это объёмная категория. Но на самом деле это были не первые цели.
Для получения доступа к компьютерам и внутренним сетям электростанций хакеры сперва атаковали более мелкие, менее защищённые компании – такие, например, как те, которые производят запасные части к генераторам или продают программное обеспечение, используемое на станциях.
Российские хакеры позже повторяли некоторые из этих техник снова, чтобы получить доступ к основным целям.
Одним из способов была отправка электронных писем со взломанного аккаунта, которому получатель доверял и с которым ранее взаимодействовал, для того, чтобы получатель письма раскрыл конфиденциальную информацию. Это называется «фишинг». Например, если письмо выглядит так, как будто оно пришло от Боба из отдела маркетинга, то очень вероятно, что Алиса откроет его, даже если на самом деле оно было отправлено Евой из России.
Другой метод, который они использовали, назывался «водопой» (waterholing). Хакеры изменяли веб-сайты, которые представители энергетической промышленности регулярно посещали, чтобы эти сайты могли собирать информацию, такую как логины и пароли, и передавать её обратно хакерам.
Некоторым жертвам предлагалось «скачать интересные документы Word», как об этом указывается в докладе, о системах управления процессами (программах, которые, по сути, контролируют другие программы). Но эти документы оказывались более вредоносными, чем интересными. Открыв их, жертвы запускали программы, которые предоставляли хакерам доступ к компьютеру.
После получения учётных данных, необходимых для входа в компьютер, хакеры создавали аккаунты локальных администраторов (с приоритетными разрешениями, например, на установку программ) и использовали их для внедрения в сети вредоносного ПО.
Код, который они применяли, содержал также меры по скрытию следов проникновения, например, автоматический выход из аккаунтов администраторов каждые 8 часов.
«Плохие новости – это то, что они использовали множество старых методов для входа», — говорит Боб Гоурли, основатель и ведущий специалист по технологиям фирмы технического консалтинга «Крушал Пойнт» и автор книги «Киберугроза».
«Обман, вынуждение людей переходить по ссылкам, другие виды социального инжиниринга, фишинг для получении зацепок, это всё входит те же базовые шаблоны атаки, которые используются на протяжение последних десятилетий», — считает Гоурли. «Только это сейчас обеспечивается большим количеством ресурсов и более целенаправленно, а также у них имелись более сфокусированные разведданные».
Атаки являлись разведкой, не саботажем
Получив доступ к компьютерам основной цели, такой как энергетическая компания, взломщики в первую очередь устанавливали программы для сбора информации. Эти программы делали снимки экрана, записывали информацию о компьютере и сохраняли данные о пользовательских аккаунтах на этом компьютере.
В докладе не говорится, могли ли хакеры контролировать то, как электростанции генерируют энергию. Не вмешиваясь в процесс генерации энергии, взломщики наблюдали и записывали информацию с компьютеров, получающих данные от систем генерации энергии.
По сути, эта атака дала России возможность увидеть, как электростанции США работают и обрабатывают данные. Эта возможность перешла в длительное наблюдение.
Доклад МВБ и ФБР осторожен с выводами о результатах воздействия, в нём только лишь утверждается, что эта кампания «затронула многочисленные организации в энергетике, ядерной отрасли, водоснабжении, авиации, строительстве и в критических производственных секторах».
Но как они их затронули? На самом деле, мы не знаем. В докладе не приводятся названия компаний, и им разрешено оставаться анонимными в публичных релизах об атаках – таким образом, компании могут иметь общий доступ к докладам о взломах с другими организациями, не опасаясь, что опубликование информации об атаках испугает инвесторов или клиентов.
В докладах нет ничего, что бы говорило о саботаже или порче оборудовании. Но если взломщики смогли получить доступ к компьютерам таким образом, как они это организовали в этой разведывательной миссии, и легко изменить код на этих компьютерах, так как они это сделали, то нет причин сомневаться, что они смогут выполнить очередную атаку.
Доклад также указывает, что хакеры пытались замаскировать свидетельства взлома, и предупреждает, что компании-жертвы должны принять меры предосторожности, в случае, если какой-то вредоносный код остался.
Уверены ли мы, что это была Россия, и какова была цель?
МВБ и ФБР характеризуют эту атаку, как русскую, считая, что это часть многолетней кампании, запущенной в марте 2016 г. «киберагентами» российского правительства.
В октябре 2017 г. в докладе, опубликованном Symantec, цитируемом в правительственном расследовании, утверждается, что «некоторые участки кода вредоносных программ были написаны на русском языке. Хотя, некоторые также были на французском, что указывает на то, что один из этих языков может быть ложным следом».
Когда министерство финансов США 15 марта объявило о новых санкциях против нескольких россиян и организаций, оно указало данные кибератаки как одну из причин этого решения. В заявлении министерства финансов в качестве предмета санкций конкретно указываются лица, связанные с российским Агентством интернет-исследований и ГРУ, органом военной разведки России, но конкретные указания на связь лиц из этого списка с последней хакерской кампанией отсутствуют.
Бывшие представители и аналитики разведки, опрошенные Cipher Brief относительно этого доклада, пришли к одному выводу: взлом выглядит как разведывательная миссия, которая много объясняет нам о том, какая информация собиралась и ничего не объясняет, что Россия собирается делать со всей этой информацией.
Крис Инглис, бывший заместитель директора Национального агентства безопасности, вкратце сказал: «Это не просто оппортунистический набег со стороны русских. Похоже, они пытаются попасть в критическую инфраструктуру, они не попали туда просто потому, что пошли наугад».
А вот что Россия собирается делать, получив доступ к критической инфраструктуре, сказать сложнее.
Что могут сделать Соединённые Штаты?
Доклад МНБ и ФБР включает предположения, в том числе специальные коды для компаний-жертв по устранению подобных проблем и пошаговые инструкции по обнаружению и ликвидации вредоносного ПО.
Помимо этого, имеется список с инструкциями по кибербезопасности и общие советы, такие, как установка ограничений на действия обычных пользователей, имеющих допуск к компьютеру и передача других функций защищённым аккаунтам администраторов. Это минимизирует ущерб, который хакер может нанести, взломав аккаунт обычного пользователя.
В докладе также есть рекомендации по «установке политики паролей, требующей сложных паролей для всех пользователей» (то что нужно каждому- ещё один сложный пароль, содержащий буквы, цифры и символы, которые меняются каждый месяц). Как бы это не раздражало, есть причины, по которым такие сложные пароли являются общей рекомендацией после кибератак: не все ими пользуются, а установка в качестве пароля слова «пароль» просто отрывает хакерам парадный вход.
Для защиты от подобных атак в будущем Гоурли, основатель и ведущий специалист по технологиям «Крушал Пойнт», рекомендует, чтобы компании использовали мультифакторную аутентификацию для снижения рисков при краже логинов и паролей. Это означает, что вместо простого входа в систему по паролю, пользователю надо будет ввести также дополнительный код, который он получит в текстовом сообщении, или подключить ключ идентификации к считывающему устройству на компьютере.
Все эти дополнительные меры подтверждения личности пользователя усложняют взломщику возможность использования необходимых учётных данных и подключения к сети.
Добро пожаловать в новую эру кибервойны
Самой большой проблемой является то, что страны в мире всё больше понимают, насколько важную или даже прибыльную информацию они могут получить в хакерских атаках и постоянно изобретают новые способы обойти меры безопасности, которые встают у них на пути.
Санкции по отношению к тем, кто замешан в таких неавторизованных атаках, конечно, наказывают виновных. Но это ничего не стоит – треть из лиц, упомянутых в последних санкционных списках, уже подвергались санкциям со стороны США – и, очевидно, это не остановило их от новых атак. Это значит, что устрашающий или репрессивный эффект только от санкций вовсе не такой, как этого бы хотелось.
Но кибератаки, подобные этой, попадают в тёмную область между сетевой безопасностью, шпионажем и преступлениями, что затрудняет ответную реакцию на них методами, реально действенными. Эти вторжения не несли характера саботажа или военных действий, однако, это не значит, что нам это должно нравится.
Келси Атертон – журналист, специализирующийся на оборонных технологиях из Альбукерке, штат Нью-Мехико, её адрес в Twitter @athertonkd.
