Киберпространство стало полем битвы за критическую инфраструктуру. Правда, на этом поле есть не только кибервойска, но и коммерческие компании, которые также ведут свою игру. Американцы регулярно обвиняют Россию в хакерских атаках, оказывающих влияние на выборы, взломах государственных систем и предприятий критической инфраструктуры. Однако до сих пор на территории США разработка вредоносного ПО остается легальным бизнесом — разрабатывать можно, а применять — нельзя. Так и возникают ресурсы типа «Вымогатели-как-сервис» одним из которых был DarkSide: они якобы только разрабатывают и продают, а применяют их «партнеры» на свой страх и риск. Своеобразный магазин оружия. Впрочем, вначале я хотел рассказать о Неназываемых.
Искусство лёгких касаний Неназываемых
Почему Неназываемые? Потому что я уже несколько лет прошу наши спецслужбы, которые, естественно, знают о группировках, которые атакуют российские объекты критической информационной инфраструктуры, назвать хотя бы одну из них. Но уже несколько лет ответ один — мы не хотим раскрывать подробности. И вот свершилось — на совместной пресс-конференции НКЦКИ и «Ростелеком-Солар» подробности были названы, однако на мой вопрос «как нам называть эту группировку?» был ответ «Сами придумайте». Вот я и исполняю поручение. Пусть теперь эта группировка будет называться Неназываемые.
История обнаружения Неназываемых датируется концом 2019 года, когда по словам Игоря Ляпунова, вице-президента «Ростелекома» по информационной безопасности, были ночью обнаружены быстро исчезнувшие «легкие следы попытки прикосновения к серверам защиты». Расследование привело к обнаружению очень хорошо скрываемого, но достаточно эффективного инструментария проникновения, который был максимально адаптирован к специфике информационных систем российских государственных органов. Разработки Неназываемых не детектировалась стандартными антивирусами, а в некоторых случаях настроенная политика антивируса «Лаборатории Касперского» и информация от его агента администрирования использовалась для корректировки дальнейшего распространения атаки. Вредоносное ПО позволяло с помощью одного запроса в день на один сервер инфраструктуры за месяц заразить всю инфраструктуру и добраться до ее ключевых элементов и конфиденциальной информации.
По оценкам «Ростелеком-Солар» в атаке Неназываемых были задействованы 13 семейств вредоносных программ, а количество уникальных вредоносов превысило 120 штук. Некоторые элементы микро-сервисной архитектуры, которую использовали Неназываемые, датировались 2017 годом. Часть инструментария была разработана с учетом реалий российских государственных информационных систем. Дело в том, что доступ к иностранным облачным сервисам в ФОИВах заблокирован, а российские, хоть и запрещены, но иногда остаются доступными. Поэтому разработчикам Неназываемых пришлось написать две специальные программы-шпиона: Mail-O (программа-загрузчик для работы с «Облаком Mail.ru») и Webdav-O (зомби-агент, работающий через облако Яндекс.Диска). Они позволяли проводить атаки и воровать конфиденциальную информацию.
Нападающие оставляли огромное количество запасных входов — максимальное их число было 12. Для сравнения, коммерческие группировки, типа DarkSide, обычно оставляют не более трёх-четырёх «черных ходов». Кроме того, Неназываемые анализировали полученную информацию и использовали ее для развития атаки. Например, им были известны имена всех администраторов атакуемой системы. По оценкам «Ростелеком-Солар» в атаке принимали участие порядка 120 человек.
Когда инструменты, которые использовали Неназываемые, были определены, эксперты подготовили признаки компрометации для поиска аналогичных инструментов в любых других инфраструктурах. В результате, присутствие Неназываемых обнаружилось в информационных системах нескольких ФОИВов, имена которых по понятным причинам не называются. Начался процесс оценки последствий и изучение действий нападающих. По задумке защитников важно было не спугнуть нападающих — будучи обнаружены они могли просто зашифровали инфраструктуру и уничтожить все следы своего присутствия в системе.
Поэтому искусству лёгких касаний Неназываемых пришлось противопоставить мастерство симметричного ответа. Например, в одном ФОИВе пришлось даже имитировать сбой сервера, чтобы выключить его и снять образ операционной системы для анализа. В результате, была отработана методика очистки инфраструктуры ФОИВов без прекращения работы информационной системы. На текущий момент по заявлению НКЦКИ все следы Неназываемых из всех ФОИВов вычищены и подготовлен подробный отчет о том, какие методы использовали нападающие. Его публичная часть доступна на сайте ведомства. По заявлениям заместителя директора НКЦКИ Николая Мурашова, государственная тайна не пострадала. Ущерб мог быть нанесен только персональным данным и ещё некоторым из 40 существующих видов тайн.
Невидимая рука DarkSide
В пятницу 7 мая нефтетранспортная компания Colonial Pipeline подверглась атаке шифровальщика-вымогателя, который зашифровал биллинговую систему компании. Сотрудники компании были вынуждены приостановить работу информационных систем своей компании, в том числе и отвечающих за перекачку нефтепродуктов. Это вызвало задержки в поставках топлива по восточному побережью США и привело к временному удорожанию цен на нефтепродукты. Появилась информация о том, что Colonial Pipeline подверглась атаке разработчиков вредоносного ПО DarkSide, «партнеры» которой похищают данные жертв, шифруют их инфраструктуру и требуют деньги как за расшифровку данных, так и за их неопубликование. У компании даже есть даже кодекс чести и ресурс DarkSide Leaks, где продаются похищенные данные тех, кто не заплатил.
Николай Мурашов назвал DarkSide платформой для торговли вредоносным ПО, однако я бы не использовал для схемы этого бизнеса такой популярный термин. В свое время уже была аналогичная схема бизнеса, которая тогда называлась Partnerka. Тогда разработчики вредоносов так называли свой бизнес по созданию зомби-сетей. Появление «партнерок» — это переход бизнеса на новый этап, когда предел рынка достигнут на первый план выходят SLA, PR и другие бизнес-сервисы. Видимо, вымогатели его достигли, и уже началась борьба за формирование и передел рынка «партнерок-вымогателей». DarkSide уже объявила о своем самороспуске. Это означает, что через некоторое время появится несколько альтернативных площадок «вымогателей-как-сервис», каждая из которых будет стремиться привлекать максимальное количество «партнеров» и минимальное количество правоохранительных органов. Разработка вредоносов, скорее всего, продолжится, и невидимая рука рынка со временем стабилизирует ситуацию, как это случилось на рынке зомби-сетей.
Если сравнивать истории Неназываемых и DarkSide, то можно отметить, что последняя является коммерческой компанией. Это означает получение максимальной прибыли при минимальных расходах. Разработчики DarkSide использовали наработки трех разных семейств вредоносных программ, но и их детище — массовый продукт. Он известен антивирусным компаниям. Например, выгнанный с американского рынка «Антивирус Касперского» определяет вредонос как Trojan-Ransom.Win32.Darkside. В отличии от продукции Неназываемых, такую атаку можно было остановить антивирусом и не допустить серьезного ущерба.
В то же время, разработка Неназываемых уникальная и до недавнего времени не была зарегистрирована ни в одной антивирусной базе. Причем она сопровождалась разработчиками, которые являлись частью команды Неназываемых. Это означает, что атака на российские ФОИВы была организована группировкой как минимум наемников на службе какого-то государства, а как максимум — штатными кибервойсками. При этом, в отличии от прекращения подачи нефтепродуктов, серьезного ущерба эта атака не нанесла. Информационные системы ФОИВов были вычищены от соответствующих вредоносов, а многочисленные попытки Неназываемых вернуть контроль над инфраструктурой не увенчались успехом. Причем, благодаря НКЦКИ и ГосСОПКА теперь и все остальные субъекты КИИ могут проверить по показателям компрометации наличие в своей инфраструктуре признаков компрометации Неназываемых и также вычистить свои информационные системы.
«Русские хакеры»
Следует отметить, что криминализация разработки вредоносного ПО хороша для российских компаний, но плоха для имиджа России. Дело в том, что она означает монопольное право российского государства на разработку вредоносов. Это как с разработкой и торговлей оружием. В России этим бизнесом могут легально заниматься только компании, входящие в государственные корпорации, а разработка вредоносов — может вестись только под контролем спецслужб. В результате, любой код, который может быть атрибутирован как разработанный на территории России, автоматически считается разработанным российским государством. То есть достаточно в инструменте DarkSide найти хотя бы один компонент, разработанный с тайм-кодами в рабочее время по Москве, как возникает возможность обвинить Россию в его разработке. Если же вредоносы, наоборот, разрабатываются на территории США, то достаточно одного «партнера» из России, чтобы опять же объявить в атаке именно нашу страну. Ведь разработка оружия и вредоносных программ по закону США не преследуется, но преследуется их применение. Поэтому где бы не разрабатывались вредоносы — в России или в США — все-равно в атаке всегда можно будет обвинить именно «русских хакеров».