Февраль 2020 года. Охад Зайденберг впервые начал замечать вредоносные электронные письма, замаскированные под информацию о Covid. Охад — исследователь кибербезопасности из Израиля, и с подобными письмами он сталкивается постоянно. Обычно это безобидные сообщения, с помощью которых кто-то пытается заразить ваш компьютер или украсть пароль от карты. Но с недавних пор Зайденбергу всё чаще стали попадаться письма, где мошенники использовали страх перед новым коронавирусом как рычаг, который должен был заставить людей кликнуть на фишинговую ссылку. Зайденберг открыл письмо с вложенным PDF-файлом «Меры безопасности», прочитал сообщение, что-то в духе: «Эта небольшая мера может вас спасти», — и пометил как спам. Тогда он ещё не слишком задумывался об этом, ведь случаи коронавируса ограничивались только Китаем и не было никаких предпосылок к тому, что вирус станет глобальной пандемией.
Прошло чуть больше месяца, Охад пошёл ужинать, и это был последний вечер перед локдауном в Израиле. Возвращаясь домой, он думал о том, как внезапно всё это оказалось таким опасным. Бывший офицер израильской разведки Зайденберг покинул армию с глубокой верой в работу на благо мира. «Коронавирус — это война», — подумал он. Затем он вспомнил о вредоносных письмах, которые отправил в спам месяц назад. Но теперь ему в голову пришло кое-что ещё: что, если бы таким образом кто-то попытался взломать больницу?
Так уже было три года назад. В мае 2017 года компьютеры по всему миру начали отображать сообщение, требующее заплатить $300 в биткоинах за восстановление доступа к файлам. Атака программы-вымогателя WannaCry прошла волной по миру и заразила более 200 000 компьютеров в 150 странах. Пострадали в том числе и больницы, особенно те, в которых использовались более старые, более уязвимые операционные системы Windows. Как только червь проникал в систему, он быстро перескакивал с компьютера на компьютер, зашифровывая по ходу все файлы. Перестала работать электронная почта. Врачи не могли получить доступ к картам пациентов. Вышли из строя анализаторы крови и сканеры МРТ — медики были вынуждены отменять операции и не могли назначать лечение.
Зайденберг боялся и подумать, как подобное нападение может сейчас повлиять на больницы, которые и так не справляются с наплывом больных коронавирусом. В этих условиях даже небольшая атака могла стать разрушительной, на кону были жизни людей.
Подобный случай произошёл и совсем недавно, в конце сентября, когда большинство больниц уже работали в более-менее штатном режиме. Из-за кибератаки на Университетскую клинику Дюссельдорфа скончалась пациентка. Вирус-вымогатель DoppelPaymer парализовал работу врачей, и клиника просто не смогла принять пациентку в тяжёлом состоянии. Её отправили в другую больницу, но потеряли много времени, и женщина умерла.
В один из мартовских дней Зайденберг увидел новость о кибератаке на вторую по величине больницу Чехии. Врачи на какое-то время лишились доступа к своим компьютерам, и пришлось отменить некоторые операции. К счастью, в то время в стране было не более 300 случаев коронавируса, и больница не была перегружена, но это был один из крупнейших в Чехии центров тестирования на Covid, и атака задержала получение результатов на несколько дней.
Зайденберг понял, что его опасения не напрасны. Он понимал, что его знания о кибербезопасности могут помочь предотвратить атаки подобные той, что произошла в Чехии. Охад поставил себе цель придумать способ, чтобы предупреждать любую больницу в любой точке планеты о том, что они уязвимы, прежде чем произойдёт атака.
В тот же день Зайденберг увидел, что Нейт Ворфилд, специалист по безопасности в Microsoft, с которым он недавно познакомился, пишет в «Твиттер» о том же самом.
Мы, как профессионалы в области информационной безопасности, обладаем навыками, которых нет у врачей. Я призываю всех вас сделать всё возможное в своих сообществах и регионах, чтобы помочь защитить их.
Нейт Ворфилд
Зайденберг сразу же написал ему сообщение и рассказал об идее создать группу исследователей для работы над угрозами, связанными с безопасностью больниц. Менее чем через минуту Ворфилд ответил: «Я обязательно буду участвовать».
Незадолго до этого Ворфилд обнаружил несколько уязвимостей в аппаратном обеспечении NetScaler, которое помогает распределять трафик между несколькими серверами и повсеместно используется при построении корпоративных сетей (таких как больницы, университеты, госструктуры и пр.). Эта уязвимость делала десятки тысяч компаний незащищёнными от удалённых атак. Увидев новости из Чехии, Ворфилд стал разбираться, нет ли среди этих компаний медучреждения. К утру он обнаружил 76 непропатченных, потенциально уязвимых устройств NetScaler и ещё сотню других уязвимостей в больницах по всей Америке. Среди них была даже больница, в которой лечился сам Ворфилд.
Он потратил почти час, пытаясь выяснить, как можно связаться с командой по сетевой безопасности своей больницы. Единственный способ, который он нашёл, это написать в LinkedIn человеку, который, казалось, там работает и попытаться за 1900 символов (максимальная длина сообщения незнакомому человеку в LinkedIn) объяснить, кто он такой и что он обнаружил.
Но ответа не последовало.
Тогда Ворфилд отправил этот список уязвимостей своему коллеге из Microsoft Крису Миллсу. Он надеялся, что Миллс лучше знает, как связаться с больницами. Так получилось, что Миллс знал людей из Центра обмена и анализа медицинской информации (ISAC). ISAC — это независимая некоммерческая организация, которая отслеживает всевозможные угрозы, характерные для определённых секторов экономики. Сегодня есть ISAC для всего, от мира развлечений до сектора розничной торговли и морского судоходства. Миллс полагал, что в ISAC знают, как связаться с нужными людьми в нужных больницах.
К этому моменту Зайденберг создал группу в Slack и назвал её Cyber Threat Intelligence League (CTI League — «Лига разведки киберугроз»). Ворфилд, Миллс и Зайденберг стали привлекать сторонников. Ворфилд пригласил своих давних знакомых исследователей присоединиться к ним, а Зайденберг и Миллс привлекли Марка Роджерса, человека, который обеспечивает безопасность крупнейшего в мире хакерского съезда Defcon и, кажется, знает практически всех в мире кибербезопасности.
Всего за несколько дней CTI League собрали команду исследователей для поиска уязвимостей в медсекторе. Но была одна проблема.
Для того чтобы лигу воспринимали серьезно, CTI League нужно было сотрудничать с авторитетными организациями, которые могли бы служить гарантами для больниц и проводниками для киберисследователей. Поэтому кибермстители обратились к здравоохранению и другим ISAC за постоянной официальной поддержкой в распространении информации в медицинских учреждениях. Представители ISAC дали все необходимые контакты, от правоохранительных органов до местных чиновников по всей стране, которые теперь были доступны, чтобы помочь лиге распространять информацию о киберугрозах.
Всего через неделю после того, как Зайденберг отправил сообщение Ворфилду, Лига принимала десятки запросов в день от новых участников, каждый предлагал новые идеи. Один из участников разработал бота, который извлекал данные из поисковой системы Shodan в режиме реального времени, сканируя интернет на наличие уязвимого оборудования, работающего в медицинских сетях, и автоматически отправлял геолокацию и сетевые данные в специальный канал Slack. Кто-то другой создал бота для отслеживания изменений BGP. BGP — это основной протокол маршрутизации для трафика в интернете, и большие изменения могут указывать на то, что кто-то захватил кучу IP-адресов.
В течение месяца к группе присоединилось больше тысячи человек, каждый из которых проходил проверку личности и навыков: состоят ли они в какой-нибудь другой известной группе по кибербезопасности? Может ли кто-то из лиги за них поручиться? К группе присоединялись администраторы больниц и команды CERT (computer emergency response team — «Компьютерная группа реагирования на чрезвычайные ситуации») из разных стран. И когда несколько европейских CERT захотели узнать, есть ли способ видеть только информацию об угрозах в их собственных странах, разработчик из CTI League создал программу для автоматического создания и рассылки еженедельных отчётов по конкретной стране.
Каждое утро Ворфилд лежал в постели и смотрел, как на его телефон приходили сообщения, подтверждающие, что исправления были применены. В конце концов он получил сообщение о том, что и в его больнице, с которой у него не получилось связаться в самом начале, устранили уязвимость NetScaler.
В начале июня участник дарк-веб-форума Exploit разместил объявление о продаже доступов к «крупной больнице в ЕС». Через несколько дней этот же пользователь предлагал за $3000 доступ администратора в одной из больниц в США. Киберугрозы, связанные с Covid, не ограничиваются уязвимостями оборудования в больницах или вредоносными электронными письмами со список лекарств. В даркнете продают учётные данные администраторов больниц, кстати, как настоящие, так и поддельные данные пациентов, предлагают купить таблетки и вакцины от Covid.
Они меняют свою бизнес-тактику на то, что сейчас актуально. И сейчас самый популярный товар — это Covid.
Шон О'Коннор, участник CTI League
Первоначальная идея заключалась в том, чтобы просто помочь защитить больницы, но к этому моменту у лиги уже были эксперты во всем: от сложных постоянных угроз до анализа вредоносных программ. Участники команды были разбросаны почти во всех часовых поясах.
Мы видим атаки из каждой страны, во все страны, фишинговые электронные письма почти на всех языках, известных человеку. Я назвал это почти мировой кибервойной.
Марк Роджерс
Вместо того чтобы просто искать уязвимости в системах здравоохранения, они анализировали вредоносное ПО, выслеживали вредоносные веб-сайты, просматривали репозитории фишинговых атак и прочесывали даркнет в поисках скомпрометированных учётных данных медучреждений.
Чем глубже мы копаем, тем больше находим областей, где можем помочь.
Нейт Ворфилд
С самого начала Роджерс знал, что хочет привлечь к участию в лиге правоохранительные органы. Работая многие годы с полицией в качестве главы службы безопасности на съезде хакеров Defcon, он убедился, что хакеры и правоохранительные органы должны работать вместе, а не против друг друга. Он знал, что лига рано или поздно столкнется с угрозами, которые также расследуются правоохранительными органами.
Роджерс связался с агентами ФБР, которых знал по Defcon, и с некоторыми контактами в Министерстве внутренней безопасности. Оба агентства сразу же взялись за дело. Затем Лига разослала приглашения правоохранительным органам по различным официальным и неофициальным каналам. Сегодня в состав группы входят правоохранители со всего мира: от ФБР и Интерпола до местных офицеров на Фарерских островах.
Участник CTI League из Израиля отслеживал форумы в даркнете, когда увидел сообщения на Exploit, предлагающие доступ к больницам в ЕС. Прикинувшись заинтересованным покупателем, он написал продавцу и спросил, где находится больница. Когда пришёл ответ — Польша, — он опубликовал информацию в Slack канале лиги, где были правоохранители из Польши, чтобы те могли отреагировать на угрозу.
Благодаря международным правоохранительным органам, CERT, ISAC, ИТ-командам больниц и экспертам по кибербезопасности из 80 разных стран каналы Slack, связанные с лигой, быстро стали глобальным центром обмена информацией обо всех видах вредоносных действий и угроз, возникающих во время пандемии. Одна из команд нашла в даркнете мошенников, продающих флаконы с «лекарством» от вируса за $ 25 000.
Только за первый месяц работы они обнаружили больше 2000 уязвимостей ПО для здравоохранения в 80 странах. Выявили около 400 вредоносных файлов, которые вряд ли можно остановить обычным антивирусом. Пометили почти 3000 веб-доменов на удаление. Эти сайты варьировались от хитроумных, выдающих себя за ВОЗ и ООН, до поделок, созданных оппортунистами в надежде хоть немного заработать на кризисе.
Текущая ситуация с вирусом смещается от экстренной к более устойчивой, поэтому возникает вопрос, что будет дальше. За лето лига стала чуть более формализованной организацией. В июле Зайденберг возглавил хакатон CTI League, чтобы разработать более совершенные каналы для обмена информацией и новых ботов, а также подумать о том, как группа будет выглядеть по мере нормализации обстановки в мире и дальше.
Роджерс и его коллеги считают, что их инициатива сохранится, возможно, в уменьшенной форме, отслеживая угрозы в разных областях, а затем начнет работать на полную во время следующего кризиса. Некоторые участник покидают лигу, потому что ситуация в их регионе нормализуется, но другие продолжают вносить свой вклад, поскольку считают, что здравоохранение по-прежнему будет нуждаться в поддержке безопасности даже после того, как пандемия пройдёт.
В будущем однозначно будут и другие события, которые приведут к натиску киберугроз: выборы, Олимпиады и пр., поэтому «кто-то должен быть готов к работе.
Охад Зайденберг