09.01.2017

Новости по ИБ за новогодние праздники (Гризлигейт)

По традиции выкладываю список событий, имеющих отношение к ИБ и произошедших за новогодние праздники и пару дней, им предшествующих, дабы те, кто уходил в отпуск и просто хорошо отдохнул смогли быстро понять, не пропустили ли они что-нибудь важное.

На первое место я бы поместил событие, которое даже достойно отдельной заметки. Речь идет о введенных против России очередных санкций США в ответ на якобы имевшие место хакерские атаки. В список SDN были включены 4 руководителя ГРУ, 2 уже объявленных (тут и тут) несколько лет назад в международный розыск киберпреступника (единственные "русские" в списке самых разыскиваемых киберпреступников по версии ФБР), а также ФСБ, ГРУ и три компании, оказывающих услуги (по версии США) для российских спецслужб.


Список SDN - самый жесткий из всех "черных списков США". Попасть в него означает лишиться возможности ездить в США (хотя врядли руководство ГРУ туда ездит официально), а также вести любой бизнес с американскими компаниями. Хорошо еще, что список компаний, попавших под санкции, небольшой. У нас любая хоть что-то делающая фирма в области ИБ сотрудничает со спецслужбами и выполняет для них те или иные исследования, работы и контракты. И что, теперь каждую из них обвинять в работе на спецслужбы? Ну такое могут себе позволить только люди, изучающие рынок ИБ по заголовкам желтой прессы, но не специалисты. И вообще, почему в указе Обамы были объединены дипломаты, киберпреступники, давно разыскиваемые ФБР за финансовое мошенничество, и компании, "связанные" со спецслужбами России?

В указе уходящего с поста Президента США Обамы есть ссылка на аналитический отчет JAR, в котором, якобы, представлены доказательства "русского следа". Он странный с точки зрения специалиста. В нем нет доказательств именно "русского" следа. Да, там есть некоторые хеши вредоносных программ. Да, там куча IP-адресов, с которых осуществлялись атаки (на GitHub это все есть в более читабельном варианте). Почему-то эти адреса разбросаны по всему миру (хотя и российские там тоже есть), а часть их них и вовсе принадлежит сети Tor.


Но где нормальная атрибуция? А нет ее, что вызвало закономерную реакцию большого числа ИБ-экспертов, включая и американских. Тот же самый Роберт Ли, медиа-ИБ-персона, активно комментирующая различные инциденты по ИБ, признает, что доказательств именно русского следа в отчете JAR нет. А уж Роберта сложно заподозрить в любви к России - раньше он постоянно приписывал нам атаки на украинскую энергосистему и не только. Но потом поостыл и стал более осторожен в оценках, В частности, на прошедшем 6-го января вебинаре, где он разбирал ситуацию с атаками на демпартию и отчет DHS, он высказался вполне определенно - российская атрибуция достаточно слабая.


По мне, так в отчете американских спецслужб смешаны в кучу все последние крупные или нераскрытые инциденты, которые теперь приписываются российским спецслужбам. Даже недавно мной упомянутый Havex, теперь считается "русским".


На прошедшем 5-го января заседании сенатского комитета по вооруженным силам объединенные разведсилы США прямо назвали высшее руководство России стоящим за последними кибератаками. Осталось только дождаться публикации к 20-му января более полной версии отчета, о которой уже открыто говорят официальные лица. Опубликованная 6-го января аналитическая записка демонстрирует влияние России на выборы в США и вроде как доказывает причастность нашей страны к атакам, но... Доказательств там практически нет - просто давят на логику "А кто, если не Россия?" и сильно ругаются на RT и ее главного редактора Маргариту Симоньян. Но если отложить в сторону геополитическую составляющую и посмотреть серьезно на представленные на данный момент доказательства, то мы увидим, что они все находятся в нижней части так называмой "пирамиды боли" (The Pyramid of Pain), предложенной Дэвидом Бьянко из Mandiant. Эти индикаторы (IP и хеши) проще всего обнаружить и проще все использовать.


Американские специалисты и не заморачивались особо. Кстати, у той же FireEye (а Mandiant, известная своими исследованиями "русских хакеров", была куплена FireEye три года назад) в качестве одной из сигнатур атак используется вот такая последовательность:


Могу выдвинуть версию о столь слабой проработке аналитического отчета JAR - это PR частных ИБ-компаний, желающих сделать себе имя и получить доступ к бюджетам государевых структур (а он в части кибербезопасности немалый). И первым кандидатом тут является CrowdStrike, которая одной из первых (помимо Mandiant/FireEye) стала "кричать" о русском следе и приводить доказательства, не выдерживающие серьезной критики. А потом выясняется, что CrowdStrike - одна из немногих ИБ-компаний, участвующая в комиссии по развитию кибербезопасности при Белом Доме США. Получается, что американские спецслужбы просто доверились данным CrowdStrike о "русской киберугрозе" и не стали их перепроверять, а теперь пытаются сохранить лицо? Надо заметить, что и в России есть такие компании, которые много кричат об "американской угрозе", но никаких (даже в стиле CrowdStrike) доказательств не приводят.

А еще есть версия, что таким "детским" отчетом американские спецслужбы хотят заставить своих оппонентов думать, что они ничего не могут. Это как в истории со Сноуденом, которого некоторые эксперты рассматривают как пример стратегии киберсдерживания, которую используют США. Ну и конечно же вполне возможна версия, что это просто отписка уходящей администрации, которой дали задание "сделять бяку Путину". Ну и американские официальные лица решили перед Рождеством не сильно напрягаться и сварганили нечто, что должно было выглядеть как результат усилий одних из лучших (как все думают) спецслужб мира. Чиновники разных стран одинаковы и думают, что "пипл схавает" и что на фоне патриотической риторики ("русские атакуют") свои собственные эксперты не будут придираться к мелочам. Ан нет, придрались (например, тут или тут).


В середине прошлой недели было озвучено, что опубликована была неполная версия доказательств, а их публичный вариант. Оставшиеся две версии содержат более серьезные доказательства, которые, возможно, американские спецслужбы не хотят раскрывать, боясь сдать свои источники информации и методы ее добычи. Что опять же не является чем-то странным - спецслужбы многих стран, включая и Россию, не любят светить свои методы работы. Есть западные эксперты, которые поддерживают эту версию. Они попытаются повторить ход мыслей американских спецслужб, которые на базе опубликованных индикаторов компрометации делают вывод о "русском следе". По их версии получается, что большая часть IP-адресов принадлежит российскому оператору связи Yota, который, как известно, принадлежал бывшему заместителю министра связи Денису Свердлову, что может означать близость Yota российским властям. А значит дыма без огня не бывает... Ну тоже версия, ничего не скажешь. Как и версия с французским следом (многие IP-адреса в IoC принадлежат провайдеру французскому OVH). Правда, одной из причин ухода Свердлова с гражданской службы явилось наличие у его супруги собственности во... Франции :-)

Кстати, в СМИ часто обвиняют американские спецслужбы, которые не смогли предотвратить атаки "русских" хакеров на государственные информационные системы США. Но причем тут они? Разве они занимались защитой WADA или сайта Демпартии? Нет. Как и во многих странах мира. Как и в России. Они вырабатывают требования по безопасности и они могли участвовать в расследовании. Но если у жертв не был поставлен процесс сбора данных для последующего расследования, то даже именитые спецслужбы тут ничего поделать не могли. И они также бессильны, если у пострадавших не было никакой системы защиты. На самом же деле американские спецслужбы даже в расследовании взлома Демпартии не участвовали, как утверждают ее представители, чьи сервера пострадали одними из первых. За прошедшие с момента взлома полгода со стороны спецслужб так и не возникло желания ознакомиться со взломанными серверами и ФБР/ЦРУ положились на данные CrowdStrike, которая якобы и провела расследование.

Задам риторический вопрос - почему спецслужбы не проводили такого расследования и просто обвинили Россию во взломе и вмешательстве в выборы США, за чем и последовали последние в деятельности Обамы на посту президента санкции? И почему в отчете спецслужб, в самом его начале, написано, что он выпускается по принципу "как есть" и Министерство национальной безопасности (DHS) не дает никаких гарантий относительно приведенной в отчете информации? В чем тогда ценность отчета, если за него никто не несет ответственности?

А вот что мне в отчете спецслужб понравилось, так это раздел с рекомендациями, что делать и как противостоять будущим атакам "русских" хакеров. То есть не просто "ой, ужас, ужас", а еще и конкретные первоочередные меры по нейтрализации этого ужаса для тех, кто не читал NISTовскую специальную серию публикаций по кибербезопасности.

ЗЫ. Вот тут дан неплохой взгляд на якобы русские кибератаки с точки зрения международного права.

ЗЗЫ. Остальные новогодние новости я рассмотрю в следующей заметке.

1 коммент.:

Александр Германович комментирует...

После пробирки с белым порошком странно ожидать от наших "партнеров" каких-то серьезных доказательств. Есть политическая цель и есть простой способ ее достичь. Причем тут какие-то доказательства?