Позначка: Кібершпіонаж

Кожен раз, коли я чую чергове “навіщо мене зламувати, в мене нема чого красти”, мені хочеться провести лекцію з таргетингу державних кібероперацій, але я стримуюся. Тепер я буду направляти таких кіберневігласів за посиланням на цей допис.

Трохи передісторії. Foreign Policy опублікував блискуче журналістське розслідування про один з найяскравіших прикладів поєднання розвідувальних заходів у інтернеті та в “реальному житті”. Я наполегливо рекомендую вам ознайомитися з повним текстом.

Схожу історію я розповідаю на початку кожного свого тренінгу для аудиторії з-поза галузі кібербезпеки: розробників програмного забезпечення та топменеджерів технологічних компаній. Насправді це дуже проста вправа з теорії множин. Внаслідок кількох операцій кібершпіонажу, китайська розвідка отримала дані з державних кадрових агенцій (так званий OPM Hack), операторів даних медичного страхування (Anthem Hack), та даних про переміщення осіб (злам мережі готелів Marriott). За допомогою порівняльного аналізу трьох наборів даних їм вдалося визначити перелік персоналу ЦРУ: це держслужбовці, які є у базі даних Anthem (бо це найбільший державний контрактор з медстрахування), та яких немає в базі OPM (бо кадровим діловодством секретних агентів займаються трохи інші установи). А у базах даних дочірніх мереж Marriott можна знайти, як держслужбовці подорожують, після чого озброївшись їхньою кредитною історією, вкраденою в Equifax, можна йти під американське посольство та чатувати на них з пропозицією продати трохи батьківщини за прискорення виплати іпотеки. Проте, підкуп це не єдиний інструмент контррозвідки: деколи викритих шпигунів просто вбивають.

Продовжити читання “Смертельні жертви кібератак”

Техніка атаки примітивна: класичні документи Microsoft Office із макросами. Проте, цілком дієва: фішинг завжди в моді, а користувачі радо погоджуються на пропозиції хакерів завантажити на комп’ютер шкідливі програми.

Цікавий скоріше вектор атаки: поширення файлів через Систему електронної взаємодії органів виконавчої влади (СЕВ ОВВ). Це такий собі файлообмінник з вебінтерфейсом та скриптами за кілька десятків мільйонів гривень, який українські державні установи використовують замість електронної пошти або сервера SharePoint. Система, на хвилиночку, має атестат відповідності КСЗІ від 2019 року.

З усього скидається те, що нападникам вдалося захопити контроль над щонайменше одним суб’єктом системи документообігу. Цікавий нюанс: у пресрелізі РНБО напад класифікують як атаку на ланцюг постачання (Supply Chain Attack). Чи випливає з цього, що було модифіковано програмне забезпечення системи СЕВ ОВВ? Чи йдеться про первинне проникнення в державну установу – суб’єкта документообігу? Про це РНБО змовчує, залишаючи простір для спекуляцій.

Проте, походження атаки сумнівів не викликає. Адже зафіксовані індикатори компрометації однозначно вказують на російську хакерську групу Gamaredon (aka Primitive Bear), яка вже кілька років кошмарить українську госуху. Та й на тлі політичного та військового загострення, викликаного введенням санкцій проти низки проросійських політиків в Україні, така гібридна відповідь виглядає цілком очікувано.

Не клікайте каку.