У ЦРУ дела идут не очень хорошо: в последние несколько лет утечки информации из организации сыпались как лесной пожар. Самой известной из этих утечек стала инцидент с Убежищем 7 , когда несколько документов агентства были обнаружены неожиданно, раскрывая передовые методологии, инструменты и платформы взлома, которые могут поставить под угрозу множество устройств по всему миру.
Новая утечка, произошедшая 22 июня 2017 года, показала, что он может не только заражать компьютеры в сети, но даже по своему желанию проникать в изолированные системы, используя пару хитрых тактик и флэш-накопитель USB.
Почему вы хотите заразить системы с воздушным зазором?
Воздушный зазор уже несколько лет используется в качестве мощной линии защиты от внешнего проникновения. Поскольку сети становятся более ориентированными на удобство, они становятся более уязвимыми. Чтобы противодействовать этому, некоторые компании и государственные учреждения полностью удалили конфиденциальные системы из своих сетей, используя их только как автономное хранилище, доступ к которому имеют только избранные сотрудники.
Как показали новые утечки информации ЦРУ, это высокоэффективный метод защиты… пока он уже не исчез.
Поскольку ни одна организация на самом деле не хочет тратить непомерное количество ресурсов на обслуживание систем, которые ей не нужны, можно с уверенностью сказать, что те, которые у нее есть, полны секретных данных, к которым они не хотят, чтобы кто-либо имел доступ. Эта информация обычно состоит из коммерческих тайн, военных стратегий, нераскрытых технологий и всего остального, что важнее пары номеров кредитных карт.
Как работает инструмент
Инструмент ЦРУ известный как Брутальный кенгуру основан на «прыжковом режиме» — методе репликации, при котором вирус записывает себя и любую соответствующую информацию на новую платформу. Идея здесь состоит в том, чтобы заразить сетевой компьютер, подождать, пока сотрудник вставит USB-накопитель, записать себя на платформу, дождаться, пока USB-накопитель будет вставлен в изолированный компьютер, а затем получить любую интересующую информацию из системы. Как только USB-накопитель снова будет вставлен в сетевой компьютер, вирус передаст информацию «контроллеру», что позволит ему увидеть с высоты птичьего полета все компьютеры, изолированные от сети.
Как предотвратить атаку
После заражения ваших систем невозможно «отменить отправку» проходящих данных. Еще раз, профилактика имеет ключевое значение. Я бы рекомендовал подвергнуть каждую сетевую систему процедуре очистки, при которой каждое отдельное изменение проверяется и учитывается (т. е. регистрировать каждое действие в каждой сетевой системе, а затем просматривать журнал непосредственно перед передачей в изолированную систему).
В дополнение к этому, если можете, запустите свою изолированную систему на чем-то другом, кроме Windows (Brutal Kangaroo работает только в этой операционной системе). Если вы храните просто базу данных и ничего больше, в Linux вы вполне справитесь. Только не успокаивайтесь: Linux не является волшебным оружием против хакеров.
Сведите к минимуму количество сотрудников, которым разрешено прикасаться к изолированной системе, и по возможности шифруйте файловую систему. Воздушный зазор сам по себе является лишь одним из многих инструментов в вашем арсенале. В идеале его следует использовать в сочетании с рядом других процедур и политик безопасности, которые не позволят вашей организации выглядеть как нечто, сделанное из яичной скорлупы.
Что еще могут сделать организации для предотвращения проникновения воздушного зазора? Расскажите нам об этом в комментарии!
