Методичка спецслужб США

Борьба с "русскими хакерами" для "чайников". В США разработан подробный бюллетень, описывающий способы борьбы с русскими хакерами, спонсируемыми государством, и методы защиты от их атак. Документ содержит многочисленные рекомендации по противостоянию «русской киберугрозе» и сообщает о возможности получить до $10 млн за помощь в поимке таких хакеров. Российские власти отрицают любую связь с деятельностью виртуальных злоумышленников.

Борьба с русскими хакерами "для чайников"

Американские спецслужбы разработали детальнейшую инструкцию по противостоянию русскими хакерам, спонсируемыми государством. Документ представляет собой 12-страничную методичку, в котором описаны методы защиты от «российской киберугрозы» и выявления злоумышленников, а также перечислены основные приемы, которыми пользуются хакеры из России.

Над документом трудились специалисты сразу трех американских ведомств. Свой вклад в создание методички внесли работники Агентства по кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA), Федерального бюро расследований (Federal Bureau of Investigation, FBI), а также Агентства национальной безопасности (National Security Agency, NSA). Почему к работе над инструкцией не были допущены другие правительственные и околоправительственные американские организации, например, Центральное разведывательное управление (Central Intelligence Agency, CIA), остается неизвестным.

Документ также содержит информацию о солидном вознаграждении за помощь в поимке иностранных хакеров.

Отметим, что российские власти регулярно отрицают свою причастность кибератакам на американские госструктуры и частные организации.

Базовые рекомендации

Свою методичку авторы назвали «бюллетенем по кибербезопасности (Cybersecurity Advisory, CSA). В нем приведен разбор кибератак, спонсируемых, по утверждению создателей, российским правительством, а также общепринятые тактики, приемы и процедуры хакеров.

Наряду с этим документ содержит действия по обнаружению русских хакеров, руководство по реагированию на инциденты, а также методы по смягчению последствий атак.

Базовых рекомендаций в методичке всего три, и первая из них носит название «Будь готов» (Be prepared). Она включает, помимо прочего, максимально полную укомплектованность штата специалистами по кибербезопасности и подготовку четкого плана реагирования на кибератаки. Также авторы методички рекомендуют разработать план обеспечения устойчивости работы сети и оборудования и план обеспечения непрерывности операций, чтобы можно было продолжать работу критически важных функций и операций, если компьютерные сети и устройства в них будут скомпрометированы, или их по той или иной причине необходимо отключить.

Во второй рекомендации говорится о необходимости следования советам специалистов по настройке и использованию систем кибербезопасности. Третья предлагает постоянно следить за событиями в сфере информационной безопасности, чтобы быть в курсе потенциальных угроз и иметь возможность заранее подготовиться к ним.

РИА "Новости", 11.01.2022, "Спецслужбы США выпустили рекомендации по противодействию хакерам из России": "CISA, ФБР и АНБ призывают сообщество кибербезопасности, особенно тех, кто отвечает за защиту сетей критических инфраструктур, поддерживать состояние повышенной готовности и вести проактивную охоту за угрозами", — сказано в публикации. — Врезка К.ру

Технические подробности

Следующий раздел методички посвящен техническим деталям взлома, за которыми якобы стоят спонсируемые правительством русские хакеры. В нем перечислены их самые излюбленные приемы, включая фишинг, использование уязвимостей и поиск учетных записей и сетей с низким уровнем защищенности.

Здесь же приведены примеры уязвимостей, которые чаще всего используются российскими АРТ-группировками, и перечислены случаи, когда хакеры нападали на субъекты критической информационной инфраструктуры (КИИ).

Не обошли стороной авторы методички и примеры атаки русских хакеров на различные критически важные объекты США, в том числе на военно-промышленную базу, а также на секторы здравоохранения и общественного здравоохранения, энергетики, телекоммуникаций и государственных учреждений. В частности, приводятся примеры нескольких взломов правительственных сетей в период с сентября по декабрь 2020 г. и регулярные атаки на энергетический сектор США, которые АРТ-группировки осуществляли с 2011 г. по 2018 г. включительно.

«Эти спонсируемые российским государством APT-хакеры провели многоэтапную кампанию по вторжению, в ходе которой они получили удаленный доступ к американским и международным сетям энергетического сектора, развернули вредоносное ПО, ориентированное на автоматизированную систему управления технологическим процессом (АСУ ТП), а также собирали и удаляли корпоративные данные и данные, связанные с КИИ», — говорится в методичке.

Отдельным примером стоят атаки русских хакеров на украинскую КИИ в 2015 и 2016 гг.

"Русская служба ВВС", 12.01.2017, "Эксперты: причина декабрьского блэкаута в Киеве — хакерская атака": Эксперты в области безопасности пришли к выводу, что причиной декабрьского инцидента, когда несколько районов Киева остались без электроэнергии, была хакерская атака. Инцидент произошел в ночь с 17 на 18 декабря. Без электричества оказались несколько кварталов на севере и северо-западе города, а также Киевская гидроаккумулирующая электростанция (ГАЭС). В 1:05 по местному времени работа подстанции была восстановлена.

Специалисты по кибербезопасности из компании Information Systems Security Partners (ISSP) связали этот инцидент с кибератакой, совершенной в 2015 году, в результате которой без света оказались 225 тысяч человек. Департамент внутренней безопасности США позже официально обвинил хакеров в отключениях подачи электроэнергии на Украине. Американские специалисты тогда высказали мнение, что следы этой кибератаки с большой вероятностью вели в Россию.

ISSP также усматривает связь между этими и другими хакерскими нападениями на инфраструктуру Украины. В декабре 2016 года "Укрэнерго" сообщило, что в ночь с 17 на 18 декабря была полностью обесточена подстанция "Северная". […] Украинская компания ISSP, расследующая для "Укрэнерго" декабрьский инцидент, указывает на взаимосвязь между нападениями. По утверждению компании, хакерские нападения на электроснабжение 2015 и 2016 годов взаимосвязаны, а также связаны с аналогичными нападениями в декабре на другие объекты инфраструктуры, в том числе и на управление железных дорог, некоторые министерства и национальный пенсионный фонд. — Врезка К.ру

Также авторы привели примеры ряда стратегий и способов, примененных киберпреступниками для выполнения успешных атак.

Рекомендации по обнаружению и защите

В документе за авторством АКБИ, ФБР и АНБ указано, что русские хакеры, за которыми стоит государство, умеют поддерживать постоянный и долгосрочный доступ к скомпрометированным ими корпоративным и облачным средам. В связи с этим создатели методички настоятельно советуют выполнять две базовые рекомендации для выявления «русского следа».

Первый их совет заключается в регулярном сборе и надлежащем хранении журналов работы сетей и сервисов. «Без возможности централизованного сбора журналов и мониторинга организации имеют ограниченные возможности по расследованию инцидентов или обнаружению действий злоумышленников, описанных в этом бюллетене», — предупреждают авторы.

Также они советуют искать «следы» и «поведенческие свидетельства», указывающие на пребывание в их сети русских хакеров, на основе перечисленных в методичке примеров их действий. «Чтобы обнаружить попытку подбора паролей, просмотрите журналы аутентификации на наличие сбоев при входе в систему и приложения для действительных учетных записей. Ищите несколько неудачных попыток аутентификации в нескольких учетных записях», — рекомендуют авторы.

Вместе с этим они предлагают искать в журналах примеры использования одного и того же подозрительного IP-адреса для входа под несколькими учетными адресами и ситуации, когда один и тот же пользователь логинится в сети из-под разных IP-адресов, расположенных на значительном географическом расстоянии. Со слов авторов, данный метод обнаружения русских хакеров не всегда является надежным, так как в настоящее время многие пользуются VPN.

Бюллетень содержит и другие способы выявления киберпреступников. Например, в нем приводится совет по поиску в журналах примеров подозрительного использования учетных записей с повышенными привилегиями после сброса паролей. Также рекомендуется искать нетипично высокую активность в давно не используемых учетных записях.

В качестве рекомендаций по защите от взломов или смягчению из последствий авторы рекомендуют моментально изолировать сети при обнаружении подозрительной активности и докладывать о случившемся в ФБР или АКБИ. Также они советуют регулярно делать резервные копии.

Сдал хакера — стал миллионером

Согласно приведенной в бюллетене информации, любая ценная информация, способствующая поимке хакера, атакующего американской КИИ, способна озолотить того, кто ее предоставит. В первую очередь это касается хакеров, за которыми стоит иностранное правительство, в том числе и российское.

За сведения, позволяющие идентифицировать хакера или определить его местоположение, власти США платят очень хорошо. Обладающий такой информацией человек может получить за нее до $10 млн (748,4 млн руб. по курсу ЦБ на 12 января 2022 г.).