На початку цього року на конференції з безпеки BSides Exeter інженер програмного забезпечення Microsoft Росс Бевінгтон (Ross Bevington) – самопроголошений «голова відділу обману» компанії – описав захоплюючий процес, за допомогою якого Microsoft обманює шахраїв і запобігає фішинговим атакам.
Як повідомляє BleepingComputer, для залучення кіберзлочинців Microsoft використовує реалістичних «орендарів» з доступом до Azure. Потім компанія збирає дані про їхні шаблони атак у цих віртуальних «медових горщиках» (honeypot), щоб отримати глибше розуміння того, як працюють складні фішингові операції, і як краще пом’якшити злочинні кампанії.
Що таке honeypot?
Дослівно honeypot перекладається як «горщик з медом». Поряд з ханіпотом використовується вираз honey trap – «медова пастка». Ці образи прийшли зі світу шпигунства: Мата Харі та інші шпигуни зав’язали романтичні стосунки з чоловіками, щоб дізнатися секретну інформацію. Часто скомпрометованих ворожих агентів шантажували, і вони повідомляли все, що знали.
У комп’ютерному світі під терміном honeypot маються на увазі пастки для хакерів. Це системи, які заманюють кіберзлочинців у пастку. Зловмисники атакують приманку, а фахівці користуються цим, щоб зібрати інформацію про методи угруповання або відволікти його від інших цілей.
Аналізуючи вхідний трафік пастки, можна:
- з’ясувати місцезнаходження кіберзлочинців;
- оцінити ступінь загрози;
- вивчити методи зловмисників;
- дізнатися, які дані або додатки їх цікавлять;
- оцінити ефективність заходів, що використовуються для захисту від кібератак.
Як працює honeypot?
Пастка імітує комп’ютерну систему з програмами та даними, а кіберзлочинці приймають її за справжню. Наприклад, ханіпот може імітувати систему виставлення рахунків клієнтам компанії. Це популярна ціль серед кіберзлочинців, які хочуть отримати номери кредитних карток. За хакерами, які потрапили в пастку, можна спостерігати для вивченням їхньої поведінки, щоб створити більш ефективні способи захисту реальних систем.
Щоб зробити пастки більш привабливими для зловмисників, їх навмисно роблять вразливими. Наприклад, вони використовують порти, які можна виявити скануванням або слабкими паролями. Вразливі порти часто залишають відкритими, збільшуючи шанси на те, що приманка спрацює, а злочинець відвернеться від захищених реальних мереж.
Пастка – це не антивірус і не брандмауер, вона не допомагає вирішити конкретні проблеми з безпекою. Скоріше, це інформаційний інструмент, який допомагає вивчати існуючі загрози та виявляти нові. Використовуючи зібрані дані, можна розставити пріоритети проблем і правильно розподілити ресурси інформаційної безпеки.
Як Microsoft заманіє хакерів в пастку?
У своїй презентації Росс Бевінгтон навів приклад вже непрацюючого веб-сайту Microsoft code.microsoft.com, який використовувався для збору даних про всі види зловмисників – від окремих акторів до державних груп, що націлилися на інфраструктуру Microsoft.
Щоб зробити ці ханіпоти максимально реалістичними, Бевінгтон і його команда забезпечили, щоб у них відбувалися всі види діяльності, навіть створивши тисячі штучних облікових записів користувачів, які спілкувалися один з одним і обмінювалися файлами без належного захисту.
Концепція honeypot не нова, але Microsoft спритно передала ці «горщики з медом» хакерам замість того, щоб просто чекати на них, і зробила це, змусивши фальшиві облікові записи користувачів активно відвідувати веб-сайти, які широко відомі як фішингові загрози. Це привернуло увагу шахраїв до облікових записів користувачів, а згодом привело їх до цих лазівок.
Успішність Microsoft honeypot
За даними Microsoft, компанія щодня відстежує 25 000 фішингових веб-сайтів, і 20 відсотків з них отримують дані доступу, які допомагають honeypot збирати важливу інформацію про поведінку кіберзлочинців.
Близько 5 відсотків зловмисників потрапляють у пастку «медового горщика» і в кінцевому підсумку відстежуються та реєструються корпорацією Microsoft на кожному кроці. В середньому зловмисникам потрібно близько 30 днів, щоб зрозуміти, що вони потрапили у фальшиве середовище і не мають доступу до реальних даних користувачів.
За словами Бевінгтона, Microsoft змогла заманити у свою пастку не лише дрібних гравців, але й «велику рибу», таку як російська хакерська група Midnight Blizzard (NOBELIUM). Завдяки цьому компанія має змогу розробляти сильніші стратегії проти спроб фішингу всіх видів.