Первый удар – всегда в голову. Оглушить, шокировать, повергнуть в замешательство и, пока противник пытается прийти в себя, наносить ему увечья одно за другим. Старая как мир стратегия хорошо работает на войне и в драке. Именно она и была апробирована проправительственными кибергруппировками наших зарубежных партнеров. Удар был нанесен по федеральным государственным структурам.
Ниже радаров
Обычно столкновения отечественных кибервойск с зарубежными группировками огласке не предаются, однако произошедшая серия атак на органы власти в прошлом году – другое дело. Ласточка была первой и знаковой, а поэтому опыт отражения такой атаки надо тиражировать.
Как отметил заместитель директора Национального координационного центра по компьютерным инцидентам при ФСБ Николай Мурашов, качественно новый инструментарий, принципиально иная тактика, предельно высокая квалификация – все указывает на то, что выявленные киберформирования были уровня иностранных спецслужб. Самая лучшая аналогия – американские «Стелсы», которые невидимы для радаров. Отчет о противодействии с техническими деталями опубликовал Национальный координационный центр по компьютерным инцидентам при ФСБ совместно с компанией «Ростелеком-Солар».
«История началась еще в конце 2019 года и была похожа на сценарий боевика, – рассказывает вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов. – Однажды ночью один из наших инженеров реагирования заметил не то что атаку, а следы прикосновения в сервер кибербезопасности нашего заказчика – то есть одной из государственных структур. Они исчезли в считанные минуты, но ниточку к пониманию произошедшего мы зацепили».
К сожалению, она не сулила ничего хорошего. Как выяснилось, обнаруженная кибергруппировка делала попытки проникновения в информационные инфраструктуры органов исполнительной власти уже с 2017 года, а в среднем за месяц она старалась проникнуть в компьютерную систему еще одной госструктуры.
Жечь напалмом
Особая опасность обнаруженной кибергруппировки – в том, что она была готова применить тактику выжженной земли. У атакующих программ были подгружаемые функционалы, а они позволяли в любой момент запустить разрушающее программное обеспечение и парализовать работу информационной системы госструктуры. Но на каждый очередной «Стелс» найдется отечественный радар и русская смекалка. Применив специальные технологии, наши киберзащитники обратились в невидимок и разыграли целый спектакль.
«Если злоумышленники скрывались от нас, то мы скрывались от злоумышленников, – рассказывает директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков. – Так у злоумышленников было меньше шансов заподозрить, что они уже обнаружены и вот-вот будут выгнаны вон».
Обычно хакерские группировки создают два-три запасных пути отступления, а здесь резервных каналов доступа было от десяти до двенадцати. Плюс сдаваться без боя проправительственное формирование не хотело и при отступлении предприняло колоссальное число попыток возвращения в компьютерную систему госструктуры. Атаки прямые, атаки лобовые, атаки через периметр информационной инфраструктуры, а также через фишинговую рассылку на корпоративную почту и IT-подрядчиков государственного органа.
К национальной киберобороне
К несчастью для врагов внешних и внутренних, то, что нас не убило, сделало нас сильнее. Работа десятков киберзащитников эксклюзивной квалификации в режиме мозгового штурма и в режиме круглосуточном не прошла даром. Все поняли, с чем имеют дело.
«Все это стало значительным шагом в понимании уровня угрозы, с которой мы столкнулись, – констатирует Игорь Ляпунов. – Мы идентифицировали все методики кибернападения, способы проникновения и развития атаки, приемы взаимодействия группировки внутри инфраструктуры, а также собрали образцы программного обеспечения, включая исходные коды. Теперь все это доступно через Национальный координационный центр по компьютерным инцидентам для всего экспертного сообщества. В результате мы значительно повысили уровень защищенности наших систем государственного управления».
Не менее важен и другой урок. Время защищаться каждому самому по себе прошло. Кибероборона теперь должна быть выстроена как единая и комплексная структура – по аналогии с обороной национальной. Такой подход диктует сама информационная система федеральных органов исполнительной власти. Все они тесно друг с другом связаны, а поэтому уязвимость в одном месте подрывает защищенность всей инфраструктуры в целом.