ru
ru en

Вебинар US-CERT по активности «русских хакеров»: обзор

23 июля Министерство внутренней безопасности США (Department of Homeland Security) совместно с Группой реагирования на чрезвычайные компьютерные происшествия (US-CERT) провели вебинар «Обзор киберактивности российского правительства, направленной на энергетику и прочие секторы критической инфраструктуры» (Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors), посвященный так называемой активности хакерских групп, ассоциируемых с правительством России. ЦПС публикует обзор вебинара от эксперта по информационной безопасности Алексея Иванова («Экра»).

Несмотря на пафосное название, краткие комментарии и имена файлов с раздаточными материалами носили названия «Russian Activities» — «Русская активность».

В мероприятии приняло участие огромное количество специалистов по информационной безопасности со всего мира, что вызвало периодические зависания сервиса и перерывы в звуковой трансляции. По этому поводу американские коллеги не преминули оставить в чате язвительные комментарии в стиле «Мы платим налоги, а вы не можете обеспечить даже нормальное соединение за наши деньги» или «Русские атакуют презентацию». Несмотря на технические неполадки, трансляция продолжилась.

 

Вебинар состоял из 3 частей: выступление специалиста по информационной безопасности, обзор активности Национального центра кибербезопасности и объединения коммуникаций (NCCIC, National Cybersecurity and Communications Integration Center) и секция вопросов и ответов. Презентацию (на англ.), представленную на вебинаре, можно посмотреть здесь.

В ходе первой части вебинара был рассмотрен метод работы «русских хакеров».

В ходе первой части вебинара был рассмотрен метод, с помощью которого работают «русские хакеры»: они ищут сотрудников объектов критической инфраструктуры (преимущественно в энергосекторе) в Интернете, собирают о них как можно больше информации, в том числе с помощью анализа фотографий с рабочих мест и с различных конференций — так как многие фотографии имеют оригинальный размер, становится возможным рассмотреть такие детали, как оборудование или планы помещений. Следующий этап — рассылка писем, содержащих зараженные документы MS Office или PDF, этим сотрудникам. При открытии таких файлов происходит попытка доступа на сервер злоумышленников по протоколу SMB. Таким образом, хакеры получают хеши паролей и логины пользователей. С помощью специального ПО злоумышленники восстанавливают пароли из хешей, после чего переходят к следующему этапу — подключению к корпоративным сетям организаций, владеющих объектами критической инфраструктуры. Делается это с помощью VPN для удаленного доступа сотрудников. Получив доступ в корпоративные сети, злоумышленники загружают продвинутый по версии US-CERT, но на самом деле довольно обычный набор утилит типа mimkatz, hydra и т.д. и начинают сбор учетных данных на конкретных серверах. Из корпоративных сетей «русские хакеры» проникают в сети АСУ ТП, где, опять же, изучают оборудование, ищут инструкции по эксплуатации и мануалы, осваивают принципы работы АСУ ТП. Этот этап, по утверждению специалистов US-CERT длится от нескольких месяц до нескольких лет. Конечный итог — получение доступа к интерфейсам типа человек — машина (HMI), рабочим столам систем управления, где появляется возможность непосредственно отдавать команды различному оборудованию. Вот здесь «русские хакеры» остановились и не стали оказывать влияние на физические объекты, что очень озадачило сотрудников US-CERT. Отмечу, что данный доклад стал разочарованием для многих безопасников: они после слов о SMB-запросах в Интернете начали возмущаться, т.к. ограничение трафика — одна из базовых мер безопасности.

 

Вторая часть презентации пролетела мгновенно, т.к. большая часть аудитории ждала третьей части — секции вопросов и ответов. Я, конечно же, сразу задал организаторам вопрос о доказательствах причастности правительства Российской Федерации к хакерским атакам, но мой вопрос был проигнорирован организаторами, зато коллеги из США меня поддержали, а некоторые даже прокомментировали, что правильный ответ — «Потому что ЦРУ так сказало». Кроме меня, подобные вопросы задавали и другие участники, но и они успешно игнорировались организаторами.

 

Тем не менее, часть аудитории пребывает в уверенности, что за атаками на АСУ ТП объектов ключевой инфраструктуры США стоит правительство России.

В качестве мер защиты предлагалось не разрешать трафик SMB за пределы локальных сетей и использовать многофакторную аутентификацию. Была подчеркнута важность отслеживания аномалий в трафике, мониторинга поведения, изучения логов и защиты коммуникаций с партнерами. Все вышеперечисленное представляет собой набор очевидных мер, из чего можно сделать вывод, что главная цель не укрепление защиты ключевой инфраструктуры, а создание нужного информационного фона и пропаганда русофобии.

Повтор вебинара должен состоятся 25 июля, 30 июля и 1 августа. Материалы о хакерской атаке доступны здесь.


Мнение автора может не совпадать с позицией редакции.

teeeest

(close)