Можно ли предсказывать атаки или зачем нужно знать, когда празднуется день спецназа ГРУ?

Календарь SecOps

Для начала я бы определился с терминологией. Что такое предсказание? Если точное утверждение о том, что может произойти в будущем, с указанием времени и места, то тогда да, такое маловероятно (если, конечно, не рассматривать вариант с потусторонним, машиной времени или движением информационного поля нам навстречу). Но ровно та же история у нас происходит и с термином измерение. Я свой курс по измерению эффективности ИБ всегда начинаю с трех определений — что такое ИБ, что такое измерение и что такое эффективность. Измерение — это не точная величина; это снижение неопределенности. Так и с предсказаниями — как по мне, так это просто снижение неопределенности относительно будущего и сокращение числа возможных вариантов развития событий. Поэтому предсказывать кибератаки можно.

В свое время я натыкался в Интернете на статью, в которой рассказывалось, что в институте вроде Келдыша научились строить модели предсказания кибератак. Но потом, сколько я ни искал, я так больше и не находил этот материал.

Но что на практике означает «предсказывать кибератаки»? Да, это не, конечно, не точное указание времени и устройства, на котором произойдет утечка информации или будет организована DDoS-атака. Я говорю о другом. Понимая, как думает и действует  злоумышленник, вы можете предположить с высокой точностью, как и каким образом он может вас атаковать.

Например, вы можете с высокой точностью заранее подготовиться к обнаружению взаимодействия с DGA-доменов, так как, зная алгоритм генерации доменного имени, вы уже можете их обнаруживать до их регистрации у регистратора. Или, зная в какой автономной системе располагается инфраструктура хакеров, которые вас атакуют, вы можете заранее настроить свои системы защиты для блокирования или более пристального анализа трафика, исходящего в будущем из этой системы.

Но сегодня я бы хотел поговорить о других предсказаниях, а точнее о тех датах, в которые можно ожидать увеличения атак на вас или ваших клиентов/работников/контрагентов/партнеров. Несмотря на то, что в году целых 365 дней, существуют дни, в которые вероятность атак гораздо выше, чем в другие. И понимание этих дней позволит не попасть нам впросак, заранее подготовиться, оповестить всех заинтересованных лиц, «взвести курки» у наших средств защиты и т.п.

Какие значительные даты вы можете назвать?

У кого? У меня? У государства? У компании? У генерального директора? Хороший вопрос. С него и начинается работа с предсказаниями будущих кибератак. Злоумышленники могут атаковать вас или ваших клиентов в праздники, когда суматоха мешает сосредоточиться и критически оценивать происходящее и приходящее (по e-mail, SMS, мессенджерам или иным каналам коммуникаций). Злоумышленники могут атаковать вас в предверии каких-либо государственных дат, например, сдачи отчетности в налоговую или празднования очередной победы над непонятно кем и единения непонятного с кем. В такие даты обычно государство начинает слать всякую чепуху по почте и под нее можно прекрасно маскироваться. Особой датой может быть и религиозный праздник. Причем не стоит попадать в ловушку и считать, что важны только праздники православные. Ваша компания может иметь свои предпочтения, например, если она располагается в мусульманских регионах. Тогда вам надо знать, когда будет Ураза байрам, Рамадан, Курбан байрам. А для евреев важны Ханука, Пурим, Рош ха-Шана, Песах и Шавуот.

А вы празднуете первый день первой луны (он же китайский новый год) или девятый день девятой луны?

Под Новый год люди начинают планировать год следующий, подбивать свои дела, выполнять обещания, отдавать долги. Этим также могут воспользоваться злоумышленники, которые начинают присылать «дурацкие» статьи на тему «Как не просрать очередной год?», «Как правильно составить список дел на год?», «Скачайте шаблон календаря с важными напоминаниями на год», «Посмотрите на приложение, которое не даст вам забыть о важном» и т.п. А кто-то хочет сказки и с радостью открывает письма с новогодними открытками, особенно если в них есть вот такие приписки в самом низу:

Фрагмент письма с вредоносной новогодней открыткой
Фрагмент письма с вредоносной новогодней открыткой

Выпишите для себя все значительные события в вашей стране, регионе, городе и компании (в день рождения или корпоратив тоже бдительности притупляется) с точки зрения религиозных, исторических, государственных событий.

Очевидно, что число атак возрастает перед Рождеством, Новым годом, 23 февраля, 8 марта, когда все ищут подарки и легко попадаются на удочку мошенников, предлагающих распродажи и скидки. Перед длинными майскими, новогодними праздниками и школьными каникулами (они в России определяются по-разному — у кого-то по старинке, у кого-то после каждых 5 недель обучения) может возрасти вероятность спама про горящие путевки и скидки в отелях. Перед сдачей отчетности в ФНС может вырасти вероятность фишинга против бухгалтеров.

Вы же уже предупредили своих работников/служащих/сотрудников о возможных атаках в «Черную пятницу» и «Черный понедельник», а также об атаках, связанных с чемпионатом мира по футболу в Катаре?

Анна Ньюбергер, бывшая первая глава департамента по кибербезопасности АНБ, а ныне заместитель советника президента США по национальной безопасности
Анна Ньюбергер, бывшая первая глава департамента по кибербезопасности АНБ

На фото Анна Ньюбергер, бывшая первая глава департамента по кибербезопасности АНБ, а ныне заместитель советника президента США по национальной безопасности. В одном из своих интервью она говорила, что даже при наличии Blackberry она не всегда доступна даже в режиме 24/6. Сначала я подумал, что в статье ошибка, и речь была о 24/7 (для ее-то должности), но потом оказалось и правда. Она ортодоксальная иудейка и значит с вечера пятницы и в субботу Тора запрещает ей заниматься деятельностью, которую можно отнести к творчеству и созиданию. В Торе за работу в Шаббат предусмотрена даже смертная казнь (хотя это и не практикуется).

И тут всплывает старая шутка «Работает ли поддержка Check Point по субботам?»

Выписывая значимые даты, учитывайте, что атаки могут быть массовыми и целевыми. В первом случае достаточно будет ограничиться общими праздниками и событиями, а во втором вам может понадобиться знание, например, о днях рождения ключевых персон компании, в которые может повышаться вероятность атаки на них.

Но тут главное не доводить до маразма, а то сбор данных по дням рождения сотрудников и их детей, годовщинам свадеб и т.п. превратится в самоцель.

Помимо дат, одинаковых из года в год, существуют и события, которые имеют одноразовое значение или плавающие даты. Выплаты от государства (во время COVID-19 это было популярным мотивом для совершения фишинговых атак), выпуск новой модели iPhone или новой версии ОС, запрет пользования определенными ИТ-сервисами в России в результате санкций (очевидно злоумышленники будут стараться проэксплуатировать желание обойти запреты) и т.п.

Но злоумышленники в определенные даты атакуют не только ваших сотрудников, клиентов или партнеров, но и могут использовать их для обхода системы ИБ, пользуясь тем, что в определенные моменты сотрудники службы ИБ тоже могут быть менее внимательны.

Да-да, ИБшники тоже люди и тоже празднуют Новый год, 23 февраля, 8 марта, 9 мая, 30 ноября и т.п. А еще они ходят на PHDays и The Standoff, оголяя в эти дни свои защитные преграды 🙂

Вообще, злоумышленники, готовя свои атаки, изучают будущие жертвы и их поведение. Помните историю Перл-Харбора? 7 декабря 1941 года, в воскресенье, японцы напали на Гавайи и разнесли вдребезги американский Тихоокеанский флот, что послужило причиной вступления американцев во Вторую мировую войну. Успех японцев был обусловлен тем, что они готовились к атаке и изучали поведение американских военных моряков, офицеры которых выпивали в субботу вечером и в утренние часы воскресенья с трудом могли соображать, чем и воспользовался адмирал Ямомоту Исороку. Но это старая тактика — о ней еще писали гораздо раньше. В киберпространстве тактика не поменялась.

Сражения при Трентоне и Принстоне (1898)
Из дневника офицера штаба Джорджа Вашингтона
Из дневника офицера штаба Джорджа Вашингтона
В Германии очень много празднуют Рождество, и, без сомнения, гессенцы сегодня вечером выпьют много пива и будут танцевать. Завтра утром они будут спать.

А вы, будучи ИБшником, сообщаете в своих соцсетях о том, что вы уходите в отпуск и вас не будет на рабочем месте целых 2 недели и у вас не будет доступа к e-mail? А может вы используете уведомление Out-of-Office для внешних адресатов и все они знают, что вас не будет по причине отпуска? Вы же сами говорите плохим парням: «Эй, ворота открыты, заходите, меня не будет!» А длинные майские праздники? А длинный январский отходняк от Нового года? В эти даты ИБ оголена во многих компаниях, которая не имеет круглосуточного мониторинга. И злоумышленники это прекрасно знают.

Также есть и иные даты, в которые может быть увеличенное число атак. Например, в рамках геополитических конфликтов кибератаки могут совершаться в важные для атакующих или атакуемых дни. Хотя часто мы об этом узнаем уже пост-фактум:

Вредоносный код на день независимости США
Вредоносный код на день независимости США

Но иногда, нас либо предупреждают заранее, либо мы сами можем предсказать, что нечто может произойти. Как, например, кибератаки в день независимости Украины. Или как это было 7-го апреля 2013-го года, когда хакеры из Anonymous угрожали в Youtube, что «эскадрилья хакеров со всего мира решила объединиться в знак солидарности с палестинским народом против Израиля, чтобы стереть Израиль из киберпространства». Массированная атака на более чем 600 сайтов и 100 серверов пришлась на канун дня памяти жертв Холокоста. Многие израильские компании закрыли свои сайты, чтобы оградить их от кибернападений.

Хакеры из Anonymous объявили кибервойну Израилю
Хакеры из Anonymous объявили кибервойну Израилю

И такие кибератаки на Израиль повторяются 7 апреля из года в год.

Ежегодная кибератака на Израиль
Ежегодная кибератака на Израиль

А отраслевые праздники? Они тоже могут стать той датой, к которой будет приурочена кибератака. Например, 22 декабря на Украине ежегодно празднуется день энергетика. И 23 декабря 2015 года энергосистема Украины была атакована, что привело к массовым отключениям электричества. В Прикарпатье, а также Киевской и Черновицкой областях без электричества остались около 220 000 потребителей электроэнергии (что составляет около 1% всех энергопотребителей страны). Отключение электричества в этих областях продолжалось от 1 до 3 часов. Суммарный недоотпуск электроэнергии составил 73 МВт/час или 0.015% от суточного объёма потребления Украины. Годом позднее в те же даты на Украину была совершена кибератака специализированного вредоносного кода для АСУ ТП CRASHOVERRIDE.

Корейское центрального агентство новостей (2017)
Ким Чен Ын
Ким Чен Ын
Американские ублюдки не будут рады, получив наш подарок на годовщину 4 июля!

Занятная история получается, не так ли? Если посмотреть на многие современные кибератаки и наложить их на календари национальных праздников и знаменательных дат, то часто можно атрибутировать страну, которая стоит за той или иной атакой. Но если от интересных исторических исследований и сопоставлений перейти в практическую плоскость, то я бы порекомендовал следующее:

  1. Оцените, насколько ваши «слабости» видны или предсказуемы снаружи вашей организации? Под слабостями я понимаю очевидные даты, когда ваша служба ИБ или ваши работники/клиента/партнеры могут быть наиболее уязвимы для злоумышленников.
  2. Оцените, насколько вы можете представлять интерес для прогосударственных хакеров? Кто сказал модель нарушителя?..
  3. Составьте список важных и знаменательных локальных и глобальных дат исходя из деятельности вашей организации, учитывая важные даты не только для вас, но и для нарушителей, которым вы можете быть интересными. Учтите выходные и праздники в вашей стране, регионе и городе (возьмите за основу производственный календарь).
  4. Подготовьте сообщения для своих «подопечных» относительно их бдительности и уловок хакеров в преддверии дат из вашего списка.

А вы знаете, когда празднуется день спецназа ГРУ? 24 октября! Как-нибудь посмотрите, какие кибератаки или эпидемии вредоносного кода совершались в этот день в последние года.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Артем

    Лёш, привет! Это ли не есть начало теории прогнозирования и предупреждения атак? Я уже эту тему толкаю года 4:-) еще из ФинЦЕРТ 🙂 что скажешь: реально ли все же на базе ИИ такое сделать?

    Ответить
    1. Алексей Лукацкий автор

      Привет, Артем! Ну DGA спокойно предсказываются. Мутации ВПО тоже, думаю, можно попробовать. С датами тоже история понятная. Так что да, прогнозировать некоторые атаки вполне возможно

      Ответить
  2. Юлия

    https://cyberleninka.ru/article/n/intervalnoe-prognozirovanie-intensivnosti-kiberatak-na-obekty-kriticheskoy-informatsionnoy-infrastruktury/viewer

    Вот из Иркутска исследования, не про то?

    Ответить
    1. Алексей Лукацкий автор

      Спасибо за ссылку. Но там было другое, не Иркутское исследование, и гораздо раньше, до 2004-го года.

      Ответить