Главная новость недели — первая кибератака США против России: Пентагон и АНБ смогли проникнуть в сети петербургской «фабрики троллей» Евгения Пригожина. Для этого американцам не понадобилось никакого секретного кибероружия — хватило методов социальной инженерии и халатности сотрудников организации Пригожина. Такой инструментарий характерен для большинства взломов.
The Bell составил мини-руководство по кибербезопасности, используя информацию, полученную The Washington Post от киберкомандования США, данные анонимного источника Би-би-си в «фабрике троллей» и официальную версию ФАН.
По свидетельству ФАН, первый удачный взлом произошел благодаря фишинговому письму, якобы содержавшему ценную информацию о выборах в США. На деле во вложении была троянская программа.
Сотрудник агентства открыл письмо и запустил троян, но хакерам не удалось закрепить успех — компьютер жертвы был отрезан от локальной сети, и за его пределы выйти оказалось невозможно. Но если бы сотрудник имел базовое представление о работе с почтой, а на компьютере был бы установлен антивирус, доступ к компьютеру получить не удалось бы.
Один из самых популярных векторов атаки — подключение устройства с трояном. Для этого подбрасывают флешки, организуют продажу б/у смартфонов, прошитых нестандартным способом, заражают ноутбук, с которым сотрудник приходит на работу.
Неизвестно, использовало ли киберкомандование США эти способы, но для получения результата им этого не потребовалось.
В рассказе ФАН описывается взлом компьютера, подключенного только к локальной сети. Сотрудник подключил к нему iPhone, с помощью которого «получен доступ в интернет со стороны ОС Windows».
Скорее всего, сотрудник подключил iPhone как модем к компьютеру, который не был подключен к интернету и, возможно, не имел последних обновлений. Для атакующих было трудно придумать лучший подарок — у компьютера были широкие права доступа в локальной сети (и именно поэтому такие компьютеры отключают от Сети).
Большое число сотрудников Пригожина каким-то образом оставили в незащищенном доступе достаточный объем личных данных, чтобы их можно было однозначно идентифицировать с псевдонимами, использовавшимися троллями.
Если жертва заходит в личный и рабочий аккаунт с одного и того же устройства, это позволяет, взломав менее защищенную личную почту или профиль, получить доступ к более защищенным. Такое возможно, например, если сотрудник заходит в рабочую учетную запись с домашнего компьютера во время болезни или проверяет рабочую почту с личного смартфона.
Именно массовое пренебрежение советом позволило киберкомандованию США посылать личные электронные сообщения, всплывающие окна и SMS сотрудникам ФАН.
Именно такой совет, по данным The Washington Post, пытались дать до спецоперации американские хакеры российским троллям.
Смешно, но это действительно очень полезный совет. Его игнорирование может привести к двум неприятным последствиям. Во-первых, иностранное государство может начать следственные действия — оказать давление на хостеров или задержать сотрудников.
Во-вторых, что самое важное, уголовное преследование касается конкретных лиц, а не организаций. Поэтому за ошибки в кибербезопасности или в отношениях работодателя с властями других государств придется расплачиваться конкретному сотруднику как физическому лицу.
Это направление атаки тоже было использовано — обвинение в обмане США предъявлено главбуху ФАН Елене Хусяйновой, а 8 ноября в аэропорту был задержан главред USA Really Александр Малькевич.
Эта статья была изначально написана для технорассылки The Bell Tech. Вы можете бесплатно подписаться на нее здесь.