SMUTA 2.0: Лжедмитрий как киберугроза

4 ноября 2018

Русь, Нижний Новгород, 1611 год. По совету земского системного администратора Кузьмы Минина сход правления пригласил на должность директора по безопасности (CISO) князя Дмитрия Пожарского. Первым делом новый глава безопасности запросил информацию по состоянию дел в информационной инфраструктуре Руси.

— Так, Кузьма, да? Давай, обрисуй мне ситуацию в общих чертах. Что там за инцидент с этим, как его, — князь сверился с планшетом, — с «Лжедмитрием»?

— Дмитрий Михайлович, это нельзя назвать инцидентом, их несколько. Там, короче, серия взломов была из-за системной уязвимости, в результате у нас сейчас кромешная смута на серверах… — затараторил Минин.

— Не части. Какие взломы, какая уязвимость. Все по порядку.

— Ну, значит… В используемой нами ОС «Рюриковичи» нашли уязвимость.

— «Рюриковичи»? Варяжская поди? — нахмурился Пожарский.

— Да, она опенсорсная была, ее с какого-то датского, что ли, сервера скачали. Еще в незапамятные времена.

— Какой-то форк Линукса?

— Нет, что вы. Торвальдс-то еще через 350 с лишним лет родится только.

— А, ну да. Продолжай.

— Значит, там после угличского апдейта из-за косяка в системе аутентификации кто угодно может логиниться под кредами царевича Дмитрия. Впервые это обнаружил один хакер где-то между 1602-м и 1605-м. Мы точно не знаем, кто он, но заходил с IP-адреса Гришки Отрепьева. Так вот, залогинился на престол и удалил из админки Василия Шуйского…

— Так, стоп. Как это он с царевичского аккаунта удалил учетную запись с царскими привилегиями?!

— А, так ему Сигизмунд повысил привилегии до царских.

— Намеренно?!

— Да там не поймешь. Есть версия, что сам хотел воспользоваться доступом к московским серверам. А кто говорит, что и его при помощи социальной инженерии заморочили… Пообещали Смоленск…

— Дальше.

— Ну, кое-как с ним справились, в 1606-м. Хотя там у админов довольно варварские методы были. Кремлевский кластер они вроде запатчили, но привилегии у акка остались царские. И уже в 1607-м другой хакер под теми же кредами скомпрометировал серверы Тулы, Можайска, еще там многие… Вплоть до тушинского маршрутизатора. Чтобы различать, мы присвоили ему кодовое имя «Лжедмитрий II».

— Сурово. Дальше.

— Ну, этого тоже кое-как дисконнектнули. Значит, потом хакер Сидорка попытался залогиниться на псковский сервер. Разумеется, тоже под логином царевича Дмитрия. Этого мы обозвали «Лжедмитрий III».

— Это уже третий? — изумился князь.

— Да это еще что! Там одновременно на астраханском сервере была попытка логина четвертого такого же, — махнул рукой Кузьма.

— А как их система одновременно двоих под одним логином пустила?! На Псков и Астрахань?!

— Да я ж говорю — система дырявая. Там, во-первых, связь между серверами была нестабильная. Ну и, честно-то говоря, «Лжедмитрия IV» дисконнектнуло быстро.

— Понятно, что еще?

— Дальше вроде поняли они, что под этими кредами совсем тупо продолжать — не хакинг уже, а лицедейство. Но оказалось, что пока они на московских серверах сидели, кучу бэкдоров оставили. Туда разные польские и литовские хакеры понабежали. Ну и, как итог, на московском сервере зловредов теперь — уймища.

Дмитрий Михайлович Пожарский погрузился в размышления.

— Да, Кузьма. Нет у тебя стратегического видения. Это не «серия взломов» и не «изолированные инциденты». Несколько лет столичные серверы скомпрометированными оставались. Это называется APT, Advanced Persistent Threat. Про атрибуцию говорить рано, но думаю, что не ошибусь, если скажу, что атака спонсирована правительством соседней страны.

— Дак было бы у меня стратегическое видение и опыт, я бы и сам CISO был, — развел руками гражданин Минин.

Пожарский достал берестяную перфокарту и набросал на ней план действий.

— Смотри сюда, Кузьма, — сказал князь. — Я мыслю, действовать надо так:

  • Во-первых, ты собирай респонс-команду, и придется нам с тобой идти в московскую серверную и вручную там все чистить.
  • Во-вторых, с этой опенсорсной уязвимой ОС «Рюриковичи» пора завязывать. У нее стабильного релиза уже давно не было. Предлагаю поручить земскому собору подобрать новую ОС. Желательно проприетарную. И с русскоязычной поддержкой.
  • Далее будем развивать десепшн-технологии. Надо разработать ханипот, чтобы заманивать хакеров в ловушку. Кто там у тебя из разрабов самый толковый? Сусанин из костромского RnD-центра? Ему поручи.
  • Ну и главное, везде накатим грамотное защитное решение. С технологиями проактивной защиты от смуты и порухи.