Утром во вторник, 21 августа, компания «Майкрософт» объявила о том, что на прошлой неделе ей удалось захватить контроль над шестью доменами, принадлежащими группе российских хакеров «Фэнси беар» (Fancy Bear), также известной как APT28. Хакеры использовали эти сайты, чтобы в преддверии выборов в Конгресс проводить фишинговые атаки, подобные тем, которые «Фэнси беар» проводили во время предвыборной кампании 2016 года в США. Это самая известная попытка заранее обнаружить и предотвратить атаку российских хакеров против американских выборов, — и «Майкрософт» находится в уникальном положении, позволяющем ей сделать это.
Захват контроля над сайтами, принадлежащими российским хакерам, осуществил Отдел по борьбе с цифровыми преступлениями (Digital Crimes Unit) компании «Майкрософт», который ранее заявлял о том, что ему удалось предотвратить попытки фишинговых атак во время трех кампаний по выборам в Конгресс. Хотя российские хакеры, как правило, проводят атаки в основном против демократов, в этот раз эксперты «Майкрософт» обнаружили, что многие фишинговые сайты, — выдававшие себя за сайты аналитических центров и странички Сената, — были нацелены против республиканских групп, критикующих связи президента Дональда Трампа с президентом России Владимиром Путиным.
Теперь, когда до выборов в Конгресс осталось всего три месяца, компания «Майкрософт» активно взялась за поиски и блокировку фишинговых сайтов «Фэнси беар», чтобы помешать хакерам. «За последние два года мы воспользовались этим подходом 12 раз, чтобы закрыть 84 поддельных сайта, связанных с этой группой, — написал президент „Майкрософт" Брэд Смит (Brad Smith). — Несмотря на предпринятые на прошлой неделе шаги, мы обеспокоены сохраняющейся активностью, направленной против этих и других сайтов и против избранных чиновников, политиков, политических групп и аналитических центров по всему политическому спектру в США».
Перенаправление на синкхол-серверы
Способность «Майкрософт» наносить эти превентивные удары обусловлена не столько технологическими инновациями, сколько тем судебным иском, который компания подала против «Фэнси беар» в 2016 году и о котором первым сообщило издание The Daily Beast. Поскольку фишинговые сайты «Фэнси беар» имитируют сервисы «Майкрософт», суд предоставил компании право подать жалобу, которая не только послужила основанием для судебного разбирательства в 2016 году, но и подготовила почву для того, чтобы «Майкрософт» смогла получать необходимые судебные разрешения на закрытие вредоносных сайтов.
В частности, «Майкрософт» использовала технологию, названную синкхолингом, — когда траффик перенаправляется с заданного адреса на другой сервер. «Майкрософт» сочетает свою способность наблюдать за миллиардами своих пользователей с достижениями своего Отдела по борьбе с цифровыми преступлениями, чтобы отыскивать фишинговые сайты, подобные тем, которые создавали «Фэнси беар», чтобы получать разрешения на захват этих доменов, а затем перенаправлять весь их траффик в небытие.
«Это не хитрый трюк и не новшество, — сказал Дэвид Кеннеди (David Kennedy), глава фирмы „Бинари дифенс системз" (Binary Defense Systems), который прежде работал в АНБ и в отделе радиотехнической разведки морской пехоты США. — Синкхол-серверы используются для захвата вредоносных доменов, чтобы защитить пользователей. Это очень распространенная практика, которая часто применяется в индустрии обеспечения безопасности».
У «Майкрософт» есть ряд вариантов действий. Хотя ее представители не обнародовали подробности и не ответили на нашу просьбу об интервью, но многие синкхолы перенаправляют траффик, изменяя систему имен доменов так, чтобы интересующий вас домен направлял все на ваш собственный сервер. Компания «Майкрософт» может либо одним махом заблокировать все фальшивые сайты «Фэнси беар», либо без лишнего шума получить контроль над доменами и провести анализ ситуации, прежде чем нанести финальный удар.
Исключительность «Майкрософт»
Другие технологические компании, такие как «Левел 3» (Level 3), которая сейчас принадлежит «СентуриЛинк» (CenturyLink), и «Пало альто нетвёркс» (Palo Alto Networks), использовали технологию синкхолинга для борьбы с ботнетами, которые зачастую связаны с преступными онлайн-сообществами. Между тем многие крупные компании, такие как «Гугл» (Google), у которых есть все средства для выполнения подобной работы, не торопятся реализовывать подобные инициативы. К примеру, «Гугл» не отправляет пользователям «джимейл» никаких предупреждений при появлении признаков того, что некие хакеры, пользующиеся поддержкой властей, пытаются взломать определенные аккаунты. В понедельник, 20 августа, представители этой компании заявили, что они только что разослали тысячи предупреждений, хотя по времени это не было связано с какой-то конкретной атакой.
Между тем «Майкрософт» уже много лет ведет борьбу с хакерами. «У „Майкрософт секьюрити" длинная история реализации синкхол-операций, — отметил Джейк Уильямс (Jake Williams), бывший аналитик АНБ и основатель „Рендишион инфосек" (Rendition Infosec). — Они проделывают огромную работу по изучению угроз». В сотрудничестве с ФБР и другими правоохранительными агентствами эта компания использовала технологию синкхолинга для того, чтобы нейтрализовывать ботнеты. Как и в случае с «Фэнси беар», эта компания и прежде пыталась сначала заложить правовую основу.
«У „Майкрософт" есть специализированная команда, которая уже много лет этим занимается, тесно сотрудничая с американскими правоохранительными агентствами, — сказал Дейв Айтел (Dave Aitel), бывший аналитик АНБ, который сейчас занимает должность главы отдела технологий безопасности в фирме „Сикстера" (Cyxtera). — Особый интерес в недавних сообщениях вызвал тот факт, что хакерские атаки непосредственным образом приписываются России. Возможно, сейчас мы наблюдаем изменения норм, касающихся того, насколько далеко могут зайти частные компании в своих выпадах против целых государств».
Как правило фирмы, занимающиеся разведкой угроз безопасности, стараются не говорить напрямую о том, что им известно, кто совершил ту или иную атаку или какими были мотивы преступников. Зачастую проходят месяцы или даже годы, прежде чем становится известно, кто именно совершил атаку. Однако «Майкрософт» открыто заявила, что за обнаруженными ей фишинговыми сайтами стоит группировка «Фэнси беар».
«„Майкрософт" публично заявила о том, кто это сделал — это совершенно не похоже на эту компанию, — сказал Кеннеди из Binary Defense Systems. — Идентификация — это непростая задача, она требует массы времени и вложений в выслеживание злоумышленников. Однако мы наблюдаем скоординированные попытки государственных и частных групп выяснить, что делают россияне, потому что они являются нашими самыми активными противниками».
Хотя синкхолинг — это популярный и надежный инструмент, при помощи которого можно нейтрализовать вредоносные сайты, он не может помешать противникам бесконечно создавать новые фальшивые сайты и пытаться еще лучше их замаскировать. В результате мотивированные и обладающие достаточным запасом ресурсов хакеры будут продолжать свою работу, совершенствуя инструменты, чтобы продолжать атаки. Компания «Майкрософт» не может справиться с угрозой вмешательства России в выборы в одиночку. Но она, несомненно, способна замедлить хакеров и сделать их атаки менее эффективными.
«У нас не так много стрел в колчане, если говорить о киберполитике, и в этом смысле „Майкрософт" пытается заполнить пробелы, — отметил Айтел из „Сикстера". — Было бы замечательно, если бы мы могли выявлять такие действия иным способом, но пока это все, что у нас есть».
