Спецслужбы США выпустили инструкцию по борьбе с русскими хакерами. Что они советуют?
В США разработан подробный бюллетень, описывающий способы борьбы с русскими хакерами, спонсируемыми государством, и методы защиты от их атак. Документ содержит многочисленные рекомендации по противостоянию «русской киберугрозе» и сообщает о возможности получить до $10 млн за помощь в поимке таких хакеров. Российские власти отрицают любую связь с деятельностью виртуальных злоумышленников.
Борьба с русскими хакерами «для чайников»
Американские спецслужбы разработали детальнейшую инструкцию по противостоянию русскими хакерам, спонсируемыми государством. Документ представляет собой 12-страничную методичку, в котором описаны методы защиты от «российской киберугрозы» и выявления злоумышленников, а также перечислены основные приемы, которыми пользуются хакеры из России.
Над документом трудились специалисты сразу трех американских ведомств. Свой вклад в создание методички внесли работники Агентства по кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA), Федерального бюро расследований (Federal Bureau of Investigation, FBI), а также Агентства национальной безопасности (National Security Agency, NSA). Почему к работе над инструкцией не были допущены другие правительственные и околоправительственные американские организации, например, Центральное разведывательное управление (Central Intelligence Agency, CIA), остается неизвестным.
Документ также содержит информацию о солидном вознаграждении за помощь в поимке иностранных хакеров.
Отметим, что российские власти регулярно отрицают свою причастность кибератакам на американские госструктуры и частные организации.
Базовые рекомендации
Свою методичку авторы назвали «бюллетенем по кибербезопасности (Cybersecurity Advisory, CSA). В нем приведен разбор кибератак, спонсируемых, по утверждению создателей, российским правительством, а также общепринятые тактики, приемы и процедуры хакеров.
Наряду с этим документ содержит действия по обнаружению русских хакеров, руководство по реагированию на инциденты, а также методы по смягчению последствий атак.
Базовых рекомендаций в методичке всего три, и первая из них носит название «Будь готов» (Be prepared). Она включает, помимо прочего, максимально полную укомплектованность штата специалистами по кибербезопасности и подготовку четкого плана реагирования на кибератаки. Также авторы методички рекомендуют разработать план обеспечения устойчивости работы сети и оборудования и план обеспечения непрерывности операций, чтобы можно было продолжать работу критически важных функций и операций, если компьютерные сети и устройства в них будут скомпрометированы, или их по той или иной причине необходимо отключить.
Во второй рекомендации говорится о необходимости следования советам специалистов по настройке и использованию систем кибербезопасности. Третья предлагает постоянно следить за событиями в сфере информационной безопасности, чтобы быть в курсе потенциальных угроз и иметь возможность заранее подготовиться к ним.
Технические подробности
Следующий раздел методички посвящен техническим деталям взлома, за которыми якобы стоят спонсируемые правительством русские хакеры. В нем перечислены их самые излюбленные приемы, включая фишинг, использование уязвимостей и поиск учетных записей и сетей с низким уровнем защищенности.
Здесь же приведены примеры уязвимостей, которые чаще всего используются российскими АРТ-группировками, и перечислены случаи, когда хакеры нападали на субъекты критической информационной инфраструктуры (КИИ).
Не обошли стороной авторы методички и примеры атаки русских хакеров на различные критически важные объекты США, в том числе на военно-промышленную базу, а также на секторы здравоохранения и общественного здравоохранения, энергетики, телекоммуникаций и государственных учреждений. В частности, приводятся примеры нескольких взломов правительственных сетей в период с сентября по декабрь 2020 г. и регулярные атаки на энергетический сектор США, которые АРТ-группировки осуществляли с 2011 г. по 2018 г. включительно.
«Эти спонсируемые российским государством APT-хакеры провели многоэтапную кампанию по вторжению, в ходе которой они получили удаленный доступ к американским и международным сетям энергетического сектора, развернули вредоносное ПО, ориентированное на автоматизированную систему управления технологическим процессом (АСУ ТП), а также собирали и удаляли корпоративные данные и данные, связанные с КИИ», – говорится в методичке.
Отдельным примером стоят атаки русских хакеров на украинскую КИИ в 2015 и 2016 гг. Также авторы привели примеры ряда стратегий и способов, примененных киберпреступниками для выполнения успешных атак.
Рекомендации по обнаружению и защите
В документе за авторством АКБИ, ФБР и АНБ указано, что русские хакеры, за которыми стоит государство, умеют поддерживать постоянный и долгосрочный доступ к скомпрометированным ими корпоративным и облачным средам. В связи с этим создатели методички настоятельно советуют выполнять две базовые рекомендации для выявления «русского следа».
Первый их совет заключается в регулярном сборе и надлежащем хранении журналов работы сетей и сервисов. «Без возможности централизованного сбора журналов и мониторинга организации имеют ограниченные возможности по расследованию инцидентов или обнаружению действий злоумышленников, описанных в этом бюллетене», – предупреждают авторы.
Также они советуют искать «следы» и «поведенческие свидетельства», указывающие на пребывание в их сети русских хакеров, на основе перечисленных в методичке примеров их действий. «Чтобы обнаружить попытку подбора паролей, просмотрите журналы аутентификации на наличие сбоев при входе в систему и приложения для действительных учетных записей. Ищите несколько неудачных попыток аутентификации в нескольких учетных записях», – рекомендуют авторы.
Вместе с этим они предлагают искать в журналах примеры использования одного и того же подозрительного IP-адреса для входа под несколькими учетными адресами и ситуации, когда один и тот же пользователь логинится в сети из-под разных IP-адресов, расположенных на значительном географическом расстоянии. Со слов авторов, данный метод обнаружения русских хакеров не всегда является надежным, так как в настоящее время многие пользуются VPN.
Бюллетень содержит и другие способы выявления киберпреступников. Например, в нем приводится совет по поиску в журналах примеров подозрительного использования учетных записей с повышенными привилегиями после сброса паролей. Также рекомендуется искать нетипично высокую активность в давно не используемых учетных записях.
В качестве рекомендаций по защите от взломов или смягчению из последствий авторы рекомендуют моментально изолировать сети при обнаружении подозрительной активности и докладывать о случившемся в ФБР или АКБИ. Также они советуют регулярно делать резервные копии.
Сдал хакера – стал миллионером
Согласно приведенной в бюллетене информации, любая ценная информация, способствующая поимке хакера, атакующего американской КИИ, способна озолотить того, кто ее предоставит. В первую очередь это касается хакеров, за которыми стоит иностранное правительство, в том числе и российское.
За сведения, позволяющие идентифицировать хакера или определить его местоположение, власти США платят очень хорошо. Обладающий такой информацией человек может получить за нее до $10 млн (748,4 млн руб. по курсу ЦБ на 12 января 2022 г.).