О том, как властям США защитить критическую инфраструктуру с учетом растущих угроз, «Голос Америки» поговорил с главой компании по кибербезопасности Unit 221b Лансом Джеймсом.
Российские хакеры против США и Европы
«Голос Америки»: Насколько выросла киберактивность России против США и американских союзников в Европе?
Ланс Джеймс: В российской киберактивности определенно наметилась эволюция, в частности, хакерская группировка APT29, известная как Cozy Bear, начинает эксплуатировать облачную инфраструктуру. Они используют украденные личные данные трафареты для поиска уязвимостей в облачных средах. Таким образом усиливается скрытность, а также возрастают последствия успешных атак, и данные показывают 75-процентный рост числа вторжений в облачные среды.
Интересно, что растет число атак на критически важную инфраструктуру на фоне войны России с Украиной.
— Можно ли говорить, что атаки проводятся хакерами, имеющими прямое отношение к России?
— Да. APT29 действует под эгидой Службы внешней разведки России. Они более сфокусированы на критической инфраструктуре. 90% этих атак ведутся против США и стран-членов НАТО.
Понять, российская кибератака или нет, возможно по используемой хакерами инфраструктуре, типу атаки, коду и самим эксплойтам (программам или фрагментам кода, использующимися для взлома систем через определенные уязвимости в них — Г.А.). Количество этих атак определенно растет.
Кроме того, существуют хакерские программы-вымогатели. Считается, что российские государственные хакеры и хакерские группировки, использующие программы-вымогатели, часто идут рука об руку.
Похоже, что государственные хакеры близки к российским хакерам-оппортунистам и все чаще пересекаются друг с другом.
Это не означает, что все атаки сводятся к непосредственному нападению и отключению критически важной инфраструктуры. Многие из них – это такая «черная книга», когда хакерам удается получить доступ к критически важной инфраструктуре, но не сообщать о том, что они уже находятся внутри системы. Это делается на случай, если в условиях военных действий потребуется использовать эту уязвимость.
Методы хакеров
– Каким образом хакеры тайно проникают в компьютерные системы?
– В основном они используют украденные личные данные, учетные записи, идентификационные данные...
Методы, которые используют киберпреступники, достаточно эффективны: они могут просто купить данные и с их помощью проникнуть в системы.
Они используют эксплойты «нулевого дня» (новая уязвимость для которой еще нет защиты – Г.А.), также большой проблемой является компрометация цепочек поставок программ от третьих сторон, как, например, это произошло с компанией SolarWinds (В 2020 году хакеры использовали модификацию программного обеспечения фирмы SolarWinds для проникновения в компьютерные системы многочисленных государственных и частных организаций во всем мире – Г.А.).
Используют наиболее распространенную и эффективную технику фишинга, которая позволяет им получить учетные данные и доступ к системам, распространяют вредоносное ПО, нацеленное на индустриальные системы управления.
Используют такие программы как BlackEnergy (впервые о вредоносной программе BlackEnergy стало известно еще в 2007 году, она использовалась для генерации ботов с целью организации распределенных атак, DDoS – Г.А.) и KillDisk (вредоносная программа, получившая известность как компонент успешной атаки хакерской группировки BlackEnergy на украинскую энергосистему в декабре 2015 года), которые использовались для кибератак на энергетический сектор Украины, чтобы вызвать отключение электроэнергии.
Хакеры получают доступ к учетным данным пользователей, покупая их на Dark Web, у похитителей личной информации, или с помощью методов грубой силы, brute force (тактика получения несанкционированного доступа к учетным записям пользователей, использующая метод подбора ключей для взлома паролей – Г.А.)
– Российским хакерам приписывают недавнюю демонстративную кибератаку на водоочистную станцию в Техасе. Что об этом известно?
Подобная демонстрация кибервозможностей — это фактически тактика ведения гибридной войны. Даже если они не дестабилизируют работу систем прямо сейчас, они заставляют нас беспокоиться о том, что это происходит.
– Если сравнить российские кибератаки с китайскими, то мотивация Китая во многих случаях достаточно агрессивная, но больше похожа на шпионаж для похищения научных разработок и интеллектуальной собственности.
В случае с Россией это своего рода демонстрация того, что они могут что-то испортить, подобно кибератаке Stuxnet на иранский комбинат по обогащению урана (В 2010 году комбинат по обогащению урана в иранском Натанзе подвергся атаке, вызванной компьютерным вирусом Stuxnet, который мог быть создан США и Израилем – Г.А.) Уровень атаки, конечно, еще не такой как Stuxnet, но они дают понять, что способны это сделать.
Кибератаки, которые Россия совершала еще с начала 2000-х годов, имеют несколько уровней. Один из них – заразить вредоносным вирусом все компьютеры определенных инфраструктурных объектов или военных систем. Они этим уже давно занимаются, как мы знаем.
Кибератаки происходили гораздо раньше, чем многие думают – с момента появления Интернета и цифровых технологий. Но эта тема по-настоящему стала популярна в СМИ только в 2010-е годы.
Подобная демонстрация кибервозможностей — это фактически тактика ведения гибридной войны. Даже если они не дестабилизируют работу систем прямо сейчас, они заставляют нас беспокоиться о том, что это происходит.
Мне кажется, что многие наши системы компьютерной безопасности похожи на защиту рыцарских замков после изобретения пороха. Во времена, когда люди сражались на мечах, использовали луки, замки обеспечивали безопасность, но когда изобрели порох, стены этих замков начали взрывать.
Системы компьютерной безопасности, например, на предприятиях водоочистки, похожи на такие замки – там установлены устаревшие компьютерные системы безопасности. Даже если компании и заинтересованы в их обновлении, все происходит так (медленно), как происходит.
На это также влияет бюрократическая политика, а недостаточное усиление безопасности инфраструктуры может дестабилизировать всю центральную систему. Подобные проблемы дают преимущество России, чтобы совершать такие кибератаки.
Мне кажется, что сейчас они оставляют визитные карточки (на местах преступлений). Но если они начнут буквально разрушать наши компьютерные системы — это станет актом войны. И я думаю, США отреагировали, когда узнали, что они проникли в компьютерные системы водоочистного предприятия, потому что тогда, видимо, возникло подозрение, что они присутствуют во всех наших системах водоочистки?
Защита от хакерских атак
– Способны ли госучреждения и частные компании США эффективно защищаться от таких атак?
Ланс Джеймс: Самая большая наша проблема в борьбе с хакерами – это тот самый замок с тысячами и тысячами строк кода, подключенный к специальному оборудованию. Но иногда происходят взломы систем, как в супермаркетах Target, через систему кондиционирования. (В 2014 году сетевая система отопления, вентиляции и кондиционирования в сети универмагов Target стала точкой входа для взломщиков компьютерной системы, что привело к масштабной утечке данных. Хакерам удалось получить доступ к финансовым системам корпорации, похитив учетные данные стороннего подрядчика – Г.А.).
Проблема в том, что если хакеры какой-то страны хотят провести кибератаку, они пытаются найти плохую строчку кода, уязвимость «нулевого дня» , используют социальную инженерию или пытаются получить клик от какого-либо пользователя, и поэтому защищаться становится очень сложно.
Такое происходит, даже если вы укрепляете системы безопасности, проводите обновления систем, контролируете удаленный доступ, регулярно улучшаете сегментацию сети, проводите регулярное обучение сотрудников, внедряете систему надежного мониторинга и т.д. Это все здорово выглядит, но не значит, что это работает. Битва происходит прямо сейчас.
Обеспечивать компьютерную безопасность сложно. Если хакеры уделяют этому большое внимание, если у них достаточно ресурсов, они найдут способ проникнуть в систему.
Если взглянуть на Агентство Национальной Безопасности США (АНБ), вы не услышите о крупных провалах. В большинстве случаев это были инсайдерские атаки, вроде того же Эдварда Сноудена (бывший сотрудник ЦРУ и АНБ, похитивший 1,7 млн секретных файлов и с 2013 года находящийся в России – Г.А.).
Их отношение к безопасности выглядит так — это стальное здание, как бомбоубежище, и вы не можете просто попасть внутрь.
Все сводится к сегментации как на уровне доступа из Интернета, так и сегментации внутренней сети, рассредоточении операционных технологических сетей – даже если кто-то попадает в их основные IТ-сети, то не сможет попасть в другие операционные сети.
Когда мы оцениваем систему кибербезопасности, первое, что мы делаем, как только оказываемся внутри системы, спрашиваем себя: «Можем ли мы проникнуть в смежные системы?»
Это одна из самых простых вещей, которые можно сделать, потому что компании всегда защищают основную точку доступа, устанавливают многофакторную идентификацию и т.д.
Я думаю, что акцент в кибербезопасности должен делаться на сегментации сети и предотвращении латерального входа (через смежные сети). Необходимо всегда учитывать, что хакеры могут так попасть в сеть, необходимо выявлять уязвимости и закрывать их. Это та область, над которой нам всем нужно работать, – хакеры действуют не напрямую, а через смежные системы и всегда получают доступ к какому-то оборудованию, которое технически не должно касаться стандартных операций IT, но касается.
Например, если хакеры могут попасть на серверы Active Directory, это не значит, что эти серверы должны иметь доступ к операционным системам водоочистных станций.
Причины демонстративных кибератак
– Зачем проводить такие демонстративные кибератаки, ведь США могут ответить тем же?
– Когда вы почитаете Википедию, то увидите, что там, где идет речь об ответе АНБ США на кибератаки, используются правительственные термины – CNE (Сomputer network exploitation), CNO (Computer network operations), Сomputer network attacк, что, вероятно, говорит об активном агрессивном ответе в киберпространстве. Россия делает то, что делает, но даже если мы делаем то же самое, это, скорее всего, засекречено так же, как история Stuxnet, которая выглядела как акт агрессии Запада.
Вопрос в том, делаем ли мы то же самое и есть ли у нас такой же доступ к российским компьютерным сетям? Америка, как и Россия, никогда официально не скажет и всегда будет отрицать, что имеет подобные возможности.
APT29 связана с внешней разведкой России – это что-то вроде киберотдела ЦРУ. Разведки разных стран постоянно бросают вызовы друг другу, о чем хорошо знают разведчики, которые ведут цифровую Холодную войну.
Компании и корпорации также сталкиваются с такими типами атак. Но это своеобразный театр, в котором Америка отрицает это, пока нет реального повода говорить об этом, как после кибератаки на подрядчиков Минюста США (после взлома консалтинговой фирмы, сотрудничающей с Министерством юстиции, произошла утечка информации о программе Medicare и других данных, принадлежащих 341 000 человек – Г.А.), и я не знаю, можно ли считать это кибервойной.
Украина и Россия, создают друг другу электронные помехи, отключают компьютерные системы, что являются частью средств ведения настоящей войны на земле, воздухе, на море, в космосе и киберпространстве.
При противостоянии в космосе мы не сбиваем чужие спутники, но используем их для разведки, планирования и подобного. И мне кажется, что сейчас киберсистемы как раз на уровне своеобразного разведывательного планирования, создания плацдарма внутри этих сетей. И опять же… вероятно, у США есть определенные формы защиты на основе подобных концепций. Это театр Холодной войны в киберпространстве.
– Такие атаки происходят только против США, или их жертвами становятся также европейские государства?
– Да. 90% российских атак за последний год происходило против стран-членов НАТО. Очевидно, из-за того, что НАТО находится в центре внимания России на фоне ее войны против Украины. И некоторые государства-члены альянса и те, которые хотят стать членами НАТО, пытаются понять, как защитить себя от кибератак.
Как известно, задача разведки – обеспечить преимущество в войне или дипломатии. В большинстве случаев хочется надеяться, что разведка будет использоваться для того, чтобы предотвращать войны.
Но есть и другой уровень, на котором, несмотря ни на что, Россия заинтересована в продолжении демонстративных кибератак, поскольку они уже находятся в состоянии войны. Я не думаю, что Путин боится или, по крайней мере, пытается не показывать, что боится европейской войны. Он решился на военное вторжение в Украину и хочет проецировать свою силу, совершая кибератаки. Даже если вам не нравится, он словно говорит: «Я это делаю. Поймайте меня!» Я думаю, он также пытается нащупать границы терпения Европы или Америки. И это для него форма разведки, потому что так он тестирует пределы своей агрессивности.
Это как ведение асимметричной партизанской войны, когда, как писали в шестидесятых, повстанцы имеют больше шансов на победу против больших армий, потому что могут совершать самостоятельные действия.
Так и кибервойна — это ассиметричная партизанская война, во время которой пули активно не летают, а происходят скрытые атаки в стиле снайперских, когда противник, затаившись выжидает удобного момента.
Участвуя в подобной кибервойне, Путин стремится учитывать психологические аспекты, чтобы определить уровень нашего терпения. К тому же, во время успешных кибератак Россия получает разведданные.
– Как России удается использовать западных хакеров для кибератак на западные интересы?
– Некоторые из таких англоговорящих прокси-хакеров действовали еще до появления новых вирусов-вымогателей типа AlphV/Black Cat. (атака хакеров-вымогателей на медицинскую компанию Change Healthcare стала одной из самых разрушительных за последние годы. Пострадали многочисленные аптеки в США, в том числе и в больницах, а доставка рецептурных препаратов по всей стране была серьезно затруднена в течение 10 дней – Г.А.). А сейчас появились еще и возможности искусственного интеллекта, который, вероятно, является лучшим переводчиком в мире, потому что хорошо владеет всеми языками.
Мы проводили тренинги по искусственному интеллекту и перевели наш доклад об анализе вредоносного ПО на зулусский язык, и получилось идеально.
А однажды я разговаривал с помощью искусственного интеллекта со своим арабским другом на арабском, как на английском, и он сказал: «Я слышу твой голос», хотя это был перевод. Переводчик с искусственным интеллектом открывает большие возможности для хакеров.
Противостояние в киберпространстве началось после окончания Холодной войны, Путин дал это понять еще тогда – и он по-своему мстит Западу, а мы должны были это предвидеть.
Можно вспомнить времена хакеров группировки Anonymous, которым удалось даже получить некоторую секретную информацию, правда, агенты ФБР многих из них арестовали.
Люди совершают определенные поступки, причиной которых могут быть деньги, идеология, принуждение, эго, месть и т.д. У Anonymous идеология была смешана с эго. И есть мнение, что Россия использовала хакеров Anonymous, которые даже не подозревали об этом, устанавливая с ними отношения и передавая им определенную информацию, чтобы они взломали и создали хаос. Потому что цель России – подтолкнуть Запад к хаосу.
И это все часть российских психологических операций и кибератак, которые мы наблюдали еще в 2016 году.
Если посмотреть на то, что происходит сейчас, когда существуют такие группировки хакеров-вымогателей, как AlphV/ Black Cat, то понятно, что их существование – в интересах России.
Трудно определить разницу между киберпреступниками и государственными хакерами, потому что Путин может специально прятаться за ними, демонстрируя видимость борьбы с ними. Россия технически находится в состоянии опосредованной войны с Западом, хотя реальная агрессивная война и происходит на востоке Европы, но она начиналась с информационных психологических операций и кибератак.
Если смотреть на события с точки зрения военных действий, то все будет происходить быстрее, потому что программы-вымогатели (ransomware) – это разрушительные программы, действующие как средства электронной борьбы для создания электронных помех, только в киберпространстве. Чем больше вы помех создаете, тем больше отвлекаете противника и создаете благоприятные условия для наступления.
Поэтому российские власти взаимодействуют с молодыми англоязычными киберпреступниками. Эта молодежь – золотая жила для российских операций. Играя на их психологических проблемах, Россия будет только активнее использовать их в качестве прокси.
И это только начало. Помните историю, когда американской группой белых националистов из-за границы фактически руководил человек связанный с Россией?
Россия хорошо умеет разделять и властвовать и проделала большую работу, чтобы втянуть нас в раздор друг с другом.
Я считаю, что Конгресс США технически скомпрометирован, потому что желание нравиться для некоторых законодателей важнее, чем служба стране. И эта уязвимость абсолютно точно может быть использована Россией. Потому что именно русские изобрели информационные психологические операции и успешно проводят их. И если учесть, что в киберпространстве нет границ, то они могут проводить информационные операции круглые сутки. Думаю, что мы сталкиваемся с новым уровнем угроз.
– Насколько успешна Россия в использовании новых технологий, таких как клонирование голосов политиков, для ведения информационных психологических операций против США?
– Трудно утверждать наверняка, что некоторые подобные операции совершены Россией, хотя тенденция и методы характерны для российского киберпространства.
Меня беспокоит, что WikiLeaks был леволиберальным проектом. Но потом взломали сервер Национального комитета Демократической партии и сайт Wikileaks опубликовал почти 20 тысяч электронных писем с сервера. И после этого взлома WikiLeaks вдруг становится другом республиканцев. Республиканская партия, для которой Россия всегда была «красным врагом», вдруг изменила свое мнение в отношении России в президентство Трампа. Это своего рода окончание определенной эпохи американской политики, наступившее практически в одночасье.
И подобных атак происходит все больше, например, пугающий случай заражения компьютеров компании MGM Resorts вирусом-вымогателем (хакерская группа AlphV/Black Cat взяла на себя ответственность за взлом компьютерных систем компании MGM Resorts, владеющей сетями отелей, курортов и казино. Инцидент привел к отключению многих компьютерных систем компании, включая сайты крупнейших отелей Лас-Вегаса и Нью-Йорка, системы бронирования и некоторых услуг в казино – Г.А.).
Интересно, как сейчас выглядит криминальный мир киберпреступников России. Он был традиционно антисемитским, там использовали много нацистской символики, шутки вроде In fraud we trust («Мы верим в мошенничество») и подобные вещи, что иногда было просто позерством.
Интересно, что произойдет, если российский киберпреступный мир начнет сотрудничать с киберпреступным миром США, с этими молодыми хакерами, и АРТ29, видимо, уже сотрудничают.
Я точно знаю, что с 2000-2003 года российские спецслужбы использовали этих 17-летних или 16-летних хакеров для кодирования и создания вредоносных программ. Они платили им деньги, но при этом устанавливали с ними личные взаимоотношения.
И сейчас хакеры находятся в своеобразной криминальной «серой зоне», где группировка AlphV смешивается с группами подростков, пропагандирующих насилие в Telegram.
Сложно получить доказательства, что государственные хакеры совершают киберпреступления, они не заявляют об этом онлайн, в Telegram или где-то еще на публичных каналах, но дело в том, что миры киберпреступности начинают сливаться.
Трудно сказать, чем мотивированы киберпреступники в России, но они могут быть мотивированы государством, а создаваемый киберпреступниками хаос выгоден России.
Киберпреступления совершаются такими группировками, как AlphV с их программами-вымогателями, и прочими группами молодых хакеров.
Например, группировка Scattered Spider начинает серьезно влиять на кибербезопасность компаний (хакерская группа, состоящая из молодых американских и британских киберпреступников, получила известность после взлома Caesars Entertainment и MGM Resorts International – двух крупнейших казино и игорных компаний в США. – Г.А.)
Люди начинают активно реагировать, когда им страшно, что тоже дает определенное преимущество для России.
Раньше за кибератаками всегда искали Россию, а теперь атаки происходят и из США, и хакеры используют ранее неизвестные методы, поэтому они обходят сложную киберзащиту.
У них есть англоговорящие социальные инженеры, и в этом тоже кроется опасность, возможности клонирования голоса с помощью искусственного интеллекта и т.д.
Вы знаете, у банков есть отпечаток вашего голоса, когда вы звоните им, и хакеры, вероятно, тоже могут получить доступ к этим данным, о чем банковские специалисты по кибербезопасности даже не подозревают, возможно, учитывая, насколько легко хакеры получают информацию о вашем банковском счете.
И если какие-то хакеры действуют коллективно, то в какой-то момент они просто могут умышленно создать большой хаос.
Сейчас это пока отголоски хаоса, и люди нервно противодействуют разрозненным кибератакам, но это напоминает, что можно выиграть все битвы, но проиграть войну.
– Вы считаете, что сейчас Россия и США находятся в состоянии Холодной кибервойны?
– Да, это мое мнение. Я думаю, что мы находимся в состоянии цифровой Холодной войны уже очень долгое время, примерно до 2001 или 2002 года.
После нашей победы в Холодной войне и крушения СССР россияне стояли в очередях за хлебом. Технически образованные люди просто пытались пробиться и в условиях коррупции искали способ заработать деньги.
Тогда технология фишинга стала популярным инструментом компьютерных мошенников в России. В начале 2000-х годов этим занимались многие пользователи Интернета, это были довольно агрессивные кампании. В моей первой компании мы отслеживали такие атаки. Почти всегда это были компьютерные мошенники из России и иногда Румынии. Сейчас фишинг превратился в тактику, а тогда это был образ жизни.
Моя работа в начале 2000-х была посвящена противодействию российским киберпреступлениям, и меня не удивляет то, как российские хакеры ведут себя сейчас.
Я думал, что Россия начнет использовать в своих кибероперациях англоязычных людей и ресурсы немного раньше, а сейчас искусственный интеллект делает это намного проще.
Например, недавний взлом Банка Бангладеш, который якобы осуществила Северная Корея, через лазерный принтер (в 2016 году северокорейские хакеры совершили кибератаку на Центральный банк Бангладеш и почти достигли успеха, едва не украв $1 млрд. Там все началось со сломавшегося принтера – Г.А.).
Хакеры стремятся атаковать бизнес компаний, занятых в цепочках поставок. Они находят поставщика, который хорош в своем бизнесе. Например, во время атак программами-вымогателями Gameover Zeus и Cryptolocker в 2013 году, хакеры атаковали центр распространения продукции и заразили компьютеры программой-вымогателем, и сказали: «Мы заразили вирусом несколько ваших компьютеров, платите или мы их заблокируем» (CryptoLocker – тип вредоносного ПО, которое шифрует файлы на компьютерах под управлением Windows, а затем требует выкуп в обмен на ключ для расшифровки. Впервые он появился в сентябре 2013 года в результате продолжительной атаки, которая продолжалась до мая следующего года. – Г.А.).
Сегодняшние дети живут со скоростью Интернета, и в этом некого винить, это поколение TikTok. Очевидно, что в нашем мире все происходит очень быстро и эту скорость, вероятно, можно использовать.
В буквальном смысле слова, время внимания людей составляет от 20 до 60 секунд. Я бы с удовольствием посмотрел на неврологическое МРТ людей из восьмидесятых годов и наших современников. Мне кажется, что когда люди всегда живут в быстром темпе, их гораздо легче побудить совершить определенные действия.
Это называется «теорией рефлексивного контроля» и «теорией рефлексивного управления».
Когда российские акторы привлекают внимание публики в социальных сетях определенными заголовками – это использование рефлексивного контроля. Большинство людей даже не читают статью целиком, а видят заголовок и делают умозаключения. Их эмоциональная реакция – «быстрее, быстрее». Поэтому фишинг в наши дни так просто использовать.
У меня есть инструменты, которые я не выпускаю, с помощью которых можно скомпрометировать мессенджеры Signal, WhatsApp и прочие, основанные только на пользовательском интерфейсе. И это страшно, потому что внешне он ничем не отличаются от мессенджера человека, с которым вы уже разговариваете, и вы можете использовать его для перехвата чужих сообщений. Я не выпускаю этот инструмент, так как не хочу, чтобы им кто-то начал пользоваться, потому что к этому очень легко приспособятся. И это тоже проблема сегодняшнего дня: даже индустрия безопасности изменилась, мы не можем выпускать инструменты так же, как раньше. Раньше мы создавали что-то и думали, что это круто, а теперь мы не говорим об этом публично. Честно говоря, я не хочу делать свою работу и чувствовать себя виноватым.
Примечание: интервью было записано до крупномасштабного технического сбоя систем на базе решений Microsoft 19 июля, который привел к серьезным нарушениям в работе авиалиний, банков, государственных служб и компаний во всем мире, произошедшего из-за проблемы с обновлением антивирусной программы компании-подрядчика CrowdStrike. Интервью публикуется с сокращениями.