Борьба с «русскими хакерами» для «чайников».

Борьба с «русскими хакерами» для «чайников»

Методичка спецслужб США

В США разработан подробный бюллетень, описывающий способы борьбы с русскими хакерами, спонсируемыми государством, и методы защиты от их атак. Документ содержит многочисленные рекомендации по противостоянию «русской киберугрозе» и сообщает о возможности получить до $10 млн за помощь в поимке таких хакеров. Российские власти отрицают любую связь с деятельностью виртуальных злоумышленников.

Борьба с русскими хакерами «для чайников»

Американские спецслужбы разработали детальнейшую инструкцию по противостоянию русскими хакерам, спонсируемыми государством. Документ представляет собой 12-страничную методичку, в котором описаны методы защиты от «российской киберугрозы» и выявления злоумышленников, а также перечислены основные приемы, которыми пользуются хакеры из России.

Над документом трудились специалисты сразу трех американских ведомств. Свой вклад в создание методички внесли работники Агентства по кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA), Федерального бюро расследований (Federal Bureau of Investigation, FBI), а также Агентства национальной безопасности (National Security Agency, NSA). Почему к работе над инструкцией не были допущены другие правительственные и околоправительственные американские организации, например, Центральное разведывательное управление (Central Intelligence Agency, CIA), остается неизвестным.

Документ также содержит информацию о солидном вознаграждении за помощь в поимке иностранных хакеров.

Отметим, что российские власти регулярно отрицают свою причастность кибератакам на американские госструктуры и частные организации.

Базовые рекомендации

Свою методичку авторы назвали «бюллетенем по кибербезопасности (Cybersecurity Advisory, CSA). В нем приведен разбор кибератак, спонсируемых, по утверждению создателей, российским правительством, а также общепринятые тактики, приемы и процедуры хакеров.

Наряду с этим документ содержит действия по обнаружению русских хакеров, руководство по реагированию на инциденты, а также методы по смягчению последствий атак.

Базовых рекомендаций в методичке всего три, и первая из них носит название «Будь готов» (Be prepared). Она включает, помимо прочего, максимально полную укомплектованность штата специалистами по кибербезопасности и подготовку четкого плана реагирования на кибератаки. Также авторы методички рекомендуют разработать план обеспечения устойчивости работы сети и оборудования и план обеспечения непрерывности операций, чтобы можно было продолжать работу критически важных функций и операций, если компьютерные сети и устройства в них будут скомпрометированы, или их по той или иной причине необходимо отключить.

Во второй рекомендации говорится о необходимости следования советам специалистов по настройке и использованию систем кибербезопасности. Третья предлагает постоянно следить за событиями в сфере информационной безопасности, чтобы быть в курсе потенциальных угроз и иметь возможность заранее подготовиться к ним.

РИА «Новости», 11.01.2022, «Спецслужбы США выпустили рекомендации по противодействию хакерам из России»: «CISA, ФБР и АНБ призывают сообщество кибербезопасности, особенно тех, кто отвечает за защиту сетей критических инфраструктур, поддерживать состояние повышенной готовности и вести проактивную охоту за угрозами», — сказано в публикации. — Врезка К.ру

Технические подробности

Следующий раздел методички посвящен техническим деталям взлома, за которыми якобы стоят спонсируемые правительством русские хакеры. В нем перечислены их самые излюбленные приемы, включая фишинг, использование уязвимостей и поиск учетных записей и сетей с низким уровнем защищенности.

Здесь же приведены примеры уязвимостей, которые чаще всего используются российскими АРТ-группировками, и перечислены случаи, когда хакеры нападали на субъекты критической информационной инфраструктуры (КИИ).

Борьба с "русскими хакерами" для "чайников".

Излюбленные уязвимости русских хакеров Не обошли стороной авторы методички и примеры атаки русских хакеров на различные критически важные объекты США, в том числе на военно-промышленную базу, а также на секторы здравоохранения и общественного здравоохранения, энергетики, телекоммуникаций и государственных учреждений. В частности, приводятся примеры нескольких взломов правительственных сетей в период с сентября по декабрь 2020 г. и регулярные атаки на энергетический сектор США, которые АРТ-группировки осуществляли с 2011 г. по 2018 г. включительно.

«Эти спонсируемые российским государством APT-хакеры провели многоэтапную кампанию по вторжению, в ходе которой они получили удаленный доступ к американским и международным сетям энергетического сектора, развернули вредоносное ПО, ориентированное на автоматизированную систему управления технологическим процессом (АСУ ТП), а также собирали и удаляли корпоративные данные и данные, связанные с КИИ», — говорится в методичке.

Отдельным примером стоят атаки русских хакеров на украинскую КИИ в 2015 и 2016 гг.

«Русская служба ВВС», 12.01.2017, «Эксперты: причина декабрьского блэкаута в Киеве — хакерская атака»: Эксперты в области безопасности пришли к выводу, что причиной декабрьского инцидента, когда несколько районов Киева остались без электроэнергии, была хакерская атака. Инцидент произошел в ночь с 17 на 18 декабря. Без электричества оказались несколько кварталов на севере и северо-западе города, а также Киевская гидроаккумулирующая электростанция (ГАЭС). В 1:05 по местному времени работа подстанции была восстановлена.

Специалисты по кибербезопасности из компании Information Systems Security Partners (ISSP) связали этот инцидент с кибератакой, совершенной в 2015 году, в результате которой без света оказались 225 тысяч человек. Департамент внутренней безопасности США позже официально обвинил хакеров в отключениях подачи электроэнергии на Украине. Американские специалисты тогда высказали мнение, что следы этой кибератаки с большой вероятностью вели в Россию.

ISSP также усматривает связь между этими и другими хакерскими нападениями на инфраструктуру Украины. В декабре 2016 года «Укрэнерго» сообщило, что в ночь с 17 на 18 декабря была полностью обесточена подстанция «Северная». […] Украинская компания ISSP, расследующая для «Укрэнерго» декабрьский инцидент, указывает на взаимосвязь между нападениями. По утверждению компании, хакерские нападения на электроснабжение 2015 и 2016 годов взаимосвязаны, а также связаны с аналогичными нападениями в декабре на другие объекты инфраструктуры, в том числе и на управление железных дорог, некоторые министерства и национальный пенсионный фонд. — Врезка К.ру

Также авторы привели примеры ряда стратегий и способов, примененных киберпреступниками для выполнения успешных атак.

Борьба с "русскими хакерами" для "чайников".

Общие тактики и методы, используемые российскими спонсируемыми государством АРТ-группировками

Рекомендации по обнаружению и защите

В документе за авторством АКБИ, ФБР и АНБ указано, что русские хакеры, за которыми стоит государство, умеют поддерживать постоянный и долгосрочный доступ к скомпрометированным ими корпоративным и облачным средам. В связи с этим создатели методички настоятельно советуют выполнять две базовые рекомендации для выявления «русского следа».

Первый их совет заключается в регулярном сборе и надлежащем хранении журналов работы сетей и сервисов. «Без возможности централизованного сбора журналов и мониторинга организации имеют ограниченные возможности по расследованию инцидентов или обнаружению действий злоумышленников, описанных в этом бюллетене», — предупреждают авторы.

Также они советуют искать «следы» и «поведенческие свидетельства», указывающие на пребывание в их сети русских хакеров, на основе перечисленных в методичке примеров их действий. «Чтобы обнаружить попытку подбора паролей, просмотрите журналы аутентификации на наличие сбоев при входе в систему и приложения для действительных учетных записей. Ищите несколько неудачных попыток аутентификации в нескольких учетных записях», — рекомендуют авторы.

Вместе с этим они предлагают искать в журналах примеры использования одного и того же подозрительного IP-адреса для входа под несколькими учетными адресами и ситуации, когда один и тот же пользователь логинится в сети из-под разных IP-адресов, расположенных на значительном географическом расстоянии. Со слов авторов, данный метод обнаружения русских хакеров не всегда является надежным, так как в настоящее время многие пользуются VPN.

Бюллетень содержит и другие способы выявления киберпреступников. Например, в нем приводится совет по поиску в журналах примеров подозрительного использования учетных записей с повышенными привилегиями после сброса паролей. Также рекомендуется искать нетипично высокую активность в давно не используемых учетных записях.

В качестве рекомендаций по защите от взломов или смягчению из последствий авторы рекомендуют моментально изолировать сети при обнаружении подозрительной активности и докладывать о случившемся в ФБР или АКБИ. Также они советуют регулярно делать резервные копии.

Сдал хакера — стал миллионером

Согласно приведенной в бюллетене информации, любая ценная информация, способствующая поимке хакера, атакующего американской КИИ, способна озолотить того, кто ее предоставит. В первую очередь это касается хакеров, за которыми стоит иностранное правительство, в том числе и российское.

За сведения, позволяющие идентифицировать хакера или определить его местоположение, власти США платят очень хорошо. Обладающий такой информацией человек может получить за нее до $10 млн (748,4 млн руб. по курсу ЦБ на 12 января 2022 г.).


  • Текст составлен по материалам сети Интернет. Нашими источниками являются крупнейшие интернет-издания и соцсервисы, в том числе которые размещают сведения как о событиях, так и информацию (в т.ч. компромат, скандалы) про политиков, госслужащих и бизнесменов, их биографии, информацию об их деятельности и деятельности подконтрольных им организаций. Подтверждение всем размещенным у нас материалам можно найти в сети.
  • Приглашаем к сотрудничеству по размещению новостей и рекламы всех заинтересованных лиц. Подробнее в разделах РЕКЛАМА и РАЗМЕЩЕНИЕ НОВОСТЕЙ.

Борьба с «русскими взломщиками» для «чайников».

 

Борьба с «русскими взломщиками» для «чайников»

Методическое пособие спецподразделений США

В США разработан детализированный бюллетень, который описывает методы борьбы с русскими взломщиками, которые спонсируются страной, и способы защиты от их нападений. Документ содержит бессчетные советы по противоборству «российской киберугрозе» и рассказывает о возможности получить до $10 млн за помощь в поимке таковых взломщиков. Властные структуры России опровергают всякую связь с работой виртуальных преступников.

Борьба с русскими взломщиками «для чайников»

Разведывательные службы США разработали подробнейшую аннотацию по противоборству русскими взломщикам, которые спонсируются страной. Документ представляет из себя 12-страничную методичку, в каком описаны способы защиты от «российской компьютерные угрозы» и выявления преступников, также указаны наиболее важные приемы, которыми пользуются кибервзломщики из Российской Федерации.

Над документом трудились спецы сходу 3-х американских органов. Собственный вклад в создание методические пособия занесли сотрудники Агентства по информационной безопасности и безопасности инфраструктурных объектов (Cybersecurity and Infrastructure Security Agency, CISA), ФБР (Federal Bureau of Investigation, FBI), также Агентства государственной безопасности (National Security Agency, NSA). Почему к работе над аннотацией не были допущены остальные правительственные и околоправительственные американские организации, к примеру, Центральное разведывательное управление (Central Intelligence Agency, CIA), остается неведомым.

Документ также содержит данные о приличном вознаграждении за помощь в поимке зарубежных взломщиков.

Стоит отметить, что властные структуры России часто опровергают свою причастность хакерским атакам на американские государственные структуры и коммерческие компании.

Базисные советы

Свою методичку создатели назвали «бюллетенем по информационной безопасности (Cybersecurity Advisory, CSA). В нем приведен разбор взломов, которые спонсируются, согласно заявлению создателей, российским кабинетом министров, также принятые стратегии, приемы и процедуры взломщиков.

Вместе с этим документ содержит деяния по обнаружению российских взломщиков, управление по реагированию на происшествия, также способы по смягчению последствий нападений.

Базисных советов в методическому пособию всего три, и 1-ая из них носит заглавие «Будь готов» (Be prepared). Она включает, кроме остального, очень полную обеспеченность штата спецами по информационной безопасности и подготовку точного плана реагирования на хакерские атаки. Кроме того создатели методические пособия советуют создать план обеспечения стойкости работы сети и оборудования и план обеспечения непрерывности операций, чтоб можно было продолжать работу критически принципиальных функций и операций, если компьютерные сети и устройства в них будут дискредитированы, либо их по той либо другой причине нужно отключить.

Во 2-ой советы сообщается о необходимости следования советам профессионалов по настройке и использованию систем информационной безопасности. 3-я дает повсевременно смотреть за событиями в сфере кибербезопасности, чтоб быть в курсе возможных угроз и иметь возможность заблаговременно приготовиться к ним.

СМИ, 11.01.2022, «Спецподразделения США выпустили советы по противодействию взломщикам из Российской Федерации»: «CISA, ФБР и АНБ призывают общество информационной безопасности, в особенности тех, кто отвечает за защиту сетей критичных инфраструктур, поддерживать состояние завышенной готовности и вести проактивную охоту за угрозами», — сообщается в публикации. — Врезка К.ру

Технические детали

Последующий раздел методические пособия посвящен техническим деталям взлома, за которыми будто бы стоят спонсируемые кабинетом министров российские кибервзломщики. В нем перечислены их самые любимые приемы, в том числе интернет-мошенничество, внедрение незащищенностей и поиск учетных записей и сетей с низким уровнем защищенности.

Тут же приведены примеры незащищенностей, которые почаще всего употребляются российскими АРТ-группировками, и перечислены случаи, когда кибервзломщики нападали на субъекты критичной информационной инфраструктурных объектов (КИИ).

Борьба с "русскими взломщиками" для "чайников".

Любимые незащищенности российских взломщиков Не обошли стороной создатели методические пособия и примеры атаки российских взломщиков на разные критически принципиальные объекты США, также на военно-промышленную базу, также на секторы здравоохранения и публичного здравоохранения, энергетики, телекоммуникаций и муниципальных заведений. А именно, приводятся примеры нескольких взломов правительственных сетей во время с сентября по декабрь 2020 г. и постоянные нападения на энергетический сектор США, которые АРТ-группы производили с 2011 г. по 2018 г. включительно.

«Эти спонсируемые российским страной APT-кибервзломщики провели многоэтапную кампанию по вторжению, в процессе которой они получили удаленный доступ к американским и межгосударственным сетям энергетического сектора, развернули вирусное программное обеспечение, направленное на автоматическую систему управления технологическим действием (АСУ ТП), также собирали и удаляли корпоративные данные и данные, которые связаны с КИИ», — сообщается в методическому пособию.

Некоторым примером стоят атаки российских взломщиков на украинскую КИИ в 2015 и 2016 гг.

«Русская служба ВВС», 12.01.2017, «Специалисты: причина декабрьского блэкаута в Киеве — кибервзлом»: Специалисты в области безопасности сделали вывод, что предпосылкой декабрьского происшествия, когда несколько районов города Киев остались без электрической энергии, была кибервзлом. Происшествие случилось ночью с 17 на 18 декабря. Без электро энергии оказались несколько районов на севере и северо-западе города, также Киевская гидроаккумулирующая электростанция (ГАЭС). В 1:05 по местному времени работа подстанции была восстановлена.

Спецы по информационной безопасности из компании Information Systems Security Partners (ISSP) связали данный происшествие с кибератакой, которая была совершена в 2015 году, в итоге которой без света оказались 225 тысяч человек. Департамент внутренней безопасности США позднее в официальном порядке обвинил взломщиков в отключениях подачи электрической энергии на Украине. Американские спецы тогда высказали мнение, что следы этой хакерские атаки с большой вероятностью вели в Российскую Федерацию.

ISSP также усматривает связь меж этими и иными хакерскими нападениями на инфраструктуру Украины. В декабре 2016 года «Укрэнерго» сказало, что ночью с 17 на 18 декабря была всецело отключена от электроэнергии подстанция «Северная». […] Организация из Украины ISSP, которая расследует для «Укрэнерго» декабрьский происшествие, показывает на связь меж нападениями. Согласно заявлению компании, хакерские нападения на электроснабжение 2015 и 2016 годов взаимосвязаны, также соединены с такими же нападениями в декабре на остальные объекты инфраструктурных объектов, также и на управление стальных дорог, некоторые ведомства и государственный пенсионный фонд. — Врезка К.ру

Кроме того создатели привели примеры ряда стратегий и методов, которые применялись хакерами для реализации удачных нападений.

Борьба с "русскими взломщиками" для "чайников".

Общие стратегии и способы, которые используются российскими спонсируемыми страной АРТ-группировками

Советы по обнаружению и защите

В тексте документа за авторством АКБИ, ФБР и АНБ обозначено, что российские кибервзломщики, за которыми стоит правительство, могут поддерживать неизменный и длительный доступ к дискредитированным ими корпоративным и пасмурным средам. Поэтому создатели методические пособия убедительно рекомендуют делать две базисные советы для выявления «российского следа».

1-ый их совет заключается в постоянном сборе и соответствующем хранении журналов работы сетей и сервисов. «Без возможности централизованного сбора журналов и наблюдения организации имеют ограниченные возможности по расследованию происшествий либо обнаружению действий преступников, которые были описаны в данном бюллетене», — предупреждают создатели.

Кроме того они рекомендуют находить «следы» и «поведенческие свидетельства», которые указывают на пребывание в их сети российских взломщиков, на базе перечисленных в методическому пособию примеров их действий. «Чтоб найти попытку подбора паролей, просмотрите журналы аутентификации на наличие сбоев при входе в систему и приложения для реальных учетных записей. Отыскиваете несколько провальных попыток аутентификации в нескольких учетных записях», — советуют создатели.

Вместе с этим они дают находить в журналах примеры использования 1-го и такого же подозрительного Айпишника для входа под несколькими учетными адресами и положении, если один и этот же пользователь логинится в сети из-под различных Айпишников, которые находятся на существенном географическом расстоянии. По словам создателей, этот способ нахождения российских взломщиков не постоянно является надежным, в связи с тем, что в текущее время почти все пользуются VPN.

Бюллетень содержит и иные методы выявления хакеров. К примеру, в нем приводится совет по розыску в журналах примеров подозрительного использования учетных записей с завышенными преимуществами после сброса паролей. Кроме того советуется находить необычно высшую активность в издавна не применяемых учетных записях.

В качестве советов по защите от взломов либо смягчению из последствий создатели советуют мгновенно произвести изоляцию сети при обнаружении подозрительной активности и докладывать о произошедшем в Федеральное бюро расследований либо АКБИ. Кроме того они рекомендуют часто делать запасные копии.

Сдал взломщика — стал миллионером

В соответствии с приведенной в бюллетене инфы, неважно какая ценная информация, которая способствует поимке взломщика, который атакует американской КИИ, способна озолотить того, кто её предоставит. Прежде всего это касается взломщиков, за которыми стоит зарубежное правительство, также и российское.

За сведения, которые позволяют идентифицировать взломщика либо найти его положение, американские власти платят сильно отлично. Владеющий этот сведениями человек может получить за нее до $10 млн (748,4 млн руб. по курсу ЦБ на 12 января 2022 г.).