Агентство кибербезопасности и безопасности инфраструктуры США (CISA), Федеральное бюро расследований (FBI) и Агентство национальной безопасности (NSA) выпустили совместный рекомендательный документ, посвященный киберугрозам со стороны российских государственных хакеров. Обширное руководство, озаглавленное «Понимание и снижение киберугроз со стороны российского государства для критической инфраструктуры США», содержит подробный разбор тактик, техник и процедур (TTP), а также конкретные меры защиты для организаций.
Документ представляет собой часть продолжающейся миссии американских спецслужб по предупреждению о киберугрозах и помощи сообществу в снижении связанных с ними рисков. В частности, авторы фокусируются на угрозах для американской критической инфраструктуры.
В разделе технических деталей эксперты описывают исторически сложившиеся методы работы российских APT-групп (Условное обозначение для высокопрофессиональных и целевых хакерских группировок). Они отмечают использование как распространенных, но эффективных приемов, таких как целевой фишинг (spearphishing), подбор паролей (brute force) и эксплуатация известных уязвимостей, так и сложных операций. В качестве примеров уязвимостей, которые использовались для получения первоначального доступа, приводятся CVE-2019-19781 в продуктах Citrix, CVE-2020-1472 в Windows Netlogon и цепочка уязвимостей в Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065).
Кроме того, авторы подчеркивают способность этих группировок сохранять скрытый, долгосрочный доступ к скомпрометированным средам, включая облачные инфраструктуры, используя легитимные учетные данные. Отдельное внимание уделено атакам на операционные технологии (OT) и промышленные системы управления (ICS). В документе напоминается о нескольких исторических кампаниях, включая кибератаки на энергетический сектор Украины в 2015 и 2016 годах с использованием вредоносных программ BlackEnergy, KillDisk и CrashOverride.
Основная часть рекомендаций структурирована в соответствии с матрицей MITRE ATT&CK и разбита на три ключевых блока: обнаружение, реагирование на инциденты и внедрение защитных мер (mitigations).
В части обнаружения CISA, FBI и NSA призывают организации критической инфраструктуры перейти к проактивному поиску угроз (threat hunting). Для этого необходимо наладить централизованный сбор и хранение логов, используя как встроенные, так и сторонние инструменты. Специалистам рекомендуется искать поведенческие аномалии, такие как подбор паролей, «невозможные» логины с географически удаленных точек, необычная активность в обычно неиспользуемых учетных записях или подозрительные действия после сброса паролей. В сетях OT/ICS следует обращать внимание на неожиданные перезагрузки контроллеров, задержки в коммуникациях или отсутствие отклика оборудования.
При обнаружении подозрительной активности авторы советуют немедленно изолировать затронутые системы, обеспечить безопасность и проверку резервных копий, собрать все релевантные логи и артефакты. Также рекомендуется рассмотреть привлечение внешних экспертов для гарантированной очистки сети.
Наиболее объемный раздел документа посвящен превентивным мерам. Спецслужбы настоятельно рекомендуют организациям критической инфраструктуры незамедлительно укрепить свою киберпозицию, выполнив четыре первоочередных действия: установить все обновления безопасности, уделив особое внимание известным эксплуатируемым уязвимостям; внедрить многофакторную аутентификацию для всех пользователей без исключений; использовать антивирусное программное обеспечение; а также разработать внутренние списки контактов для реагирования и план усиления поддержки.
Помимо этого, даются развернутые рекомендации по подготовке. Организации должны минимизировать кадровые пробелы в безопасности, особенно в выходные и праздничные дни, когда часто происходят атаки. Также необходимо создать, актуализировать и регулярно отрабатывать планы реагирования на киберинциденты, обеспечения устойчивости и непрерывности бизнеса. Для сетей OT критически важно иметь план действий на случай потери доступа или контроля, прорабатывать взаимозависимости IT/OT сетей и регулярно тестировать ручное управление критическими процессами.
В долгосрочной перспективе эксперты советуют усилить архитектурную защиту. Это включает в себя сегментацию сетей, особенно между IT и OT, чтобы ограничить перемещение злоумышленников. Также рекомендуется внедрять средства обнаружения и реагирования на конечных точках (EDR) для выявления подозрительной активности. Управление уязвимостями и конфигурациями должно быть строгим и регулярным, с приоритетом на закрытие уязвимостей, допускающих удаленное выполнение кода.
Скачать:
- aa22_011a_joint_csa_understanding_and_mitigating_russian_cyber_threats.pdf
- https://www.cisa.gov/uscert/ncas/alerts/aa22-011a
