Осло, Норвегия. Телефон зазвонил в 4 часа утра. Торстейн Гимнес Аре ответил на предрассветный звонок с пробивающимся сквозь сонливость страхом. И после первых слов собеседника страх только усилился.

«Похоже, нас атакуют», — сказал звонивший ИТ-специалист Norsk Hydro, одной из крупнейших в мире алюминиевых компаний. На некоторых из ее 170 заводов остановились производственные линии. Другие объекты перешли с компьютерного управления на ручное.

В диспетчерской экструзионного завода в Норвегии. Hydro временно приостановила производство на нескольких заводах в Европе и США после нападения.

Плохие новости. А потом стало еще хуже.

Произошедший в марте прошлого года взлом системы безопасности в итоге затронул каждого в Norsk Hydro: 35 тысяч сотрудников в 40 странах. Оказались заблокированными файлы на тысячах серверов и персональных компьютеров. Финансовый ущерб приблизился к 71 млн долл.

Все это началось тремя месяцами ранее, когда один из сотрудников открыл зараженное электронное письмо от клиента, которому доверял. Это позволило хакерам проникнуть в ИТ-инфраструктуру и тайно внедрить свой вирус.

Повесив трубку, Гимнес Аре, отвечающий за информационную безопасность Norsk Hydro, немедленно позвонил начальнику службы подготовки к чрезвычайной ситуации и назначил экстренную встречу на то же утро.

«Это была чрезвычайная ситуация масштаба всей компании, — вспоминает Гимнес Аре. — ИТ-специалисты уже отключили сеть и серверы, чтобы избежать дальнейшего распространения. Но мы не вполне понимали, что происходит».

Вскоре стало известно название вируса: LockerGoga, один из вариантов программы-вымогателя. Он шифровал файлы на настольных компьютерах, ноутбуках и серверах по всей компании и выводил на экран сообщение с требованием выкупа.

«Приветствуем! — гласило сообщение. — Ваши файлы зашифрованы с помощью самых сильных военных алгоритмов. Только у нас есть декодер для расшифровки ваших данных».

В сообщении у компании требовали выкуп в биткойнах и предупреждали: «Окончательная цена зависит от того, как быстро вы свяжетесь с нами».

На экстренном собрании руководство Norsk Hydro приняло три оперативных решения: выкуп не платить, вызвать команду кибербезопасности Microsoft, которая поможет восстановить работу систем, и быть полностью открытыми относительно этого инцидента.

Третье из этих решений высоко оценили эксперты по безопасности со всего мира, потому что оно пошло в разрез с обычной практикой многих организаций, скрывающих информацию о взломах.

Старшие должностные лица ежедневно проводили веб-трансляции и отвечали на вопросы. Руководители давали ежедневные пресс-конференции в штаб-квартире в Осло, публиковали новости в Facebook, приглашали журналистов на производственные объекты и даже запустили новый веб-сайт компании в течение первой недели после обнаружения атаки.

Обращение вымогателей, атаковавших Norsk Hydro.

«Прозрачность — основа культуры Norsk Hydro», – говорит Халвор Молланд, старший вице-президент по связям со СМИ. Честно и оперативно публикуя информацию о происходящем, компания стремилась, в частности, нарушить теневую тактику киберпреступников и, возможно, предотвратить аналогичные угрозы.

«Мы хотели помочь другим извлечь уроки из нашего опыта, — сказал Молланд. — Так люди смогут лучше подготовиться к подобным ситуациям и не проходить через то, что пришлось пройти нам».

В первые часы инцидента Norsk Hydro обратилась за помощью к группе обнаружения и реагирования Microsoft (Detection and Response Team, DART), которая выезжает на места происшествий для поддержки компаний, подвергающихся нападению, и проводит дистанционные расследования.

«Этому делу был назначен уровень «максимальная серьезность», – говорит Джим Меллер, член DART и специалист по реагированию на кибератаки. Меллера отправили в Венгрию, в небольшой город недалеко от Будапешта, где расположен один из крупнейших алюминиевых заводов Norsk Hydro. Производство там осталось без доступа к сетевым сервисам.

Одна из многих пресс-конференций Hydro, проведенных во время атаки.

Меллер провел в Венгрии три недели, создавая команду из региональных инженеров и архитекторов. По его словам, первоначальная задача команды заключалась в том, чтобы помочь компании восстановить и возобновить бизнес-операции и работу сервисов. Другие члены DART вылетели в Осло. «Под нашим руководством Norsk Hydro смогла устранить брешь, с помощью которой атакующий смог начать атаку», — говорит Меллер.

Они изучили вирус-шифровальщик LockerGoga, который также атаковал инженерно-консалтинговую компанию Altran Technologies во Франции и две американские промышленные компании — Hexion в Огайо и Momentive в Нью-Йорке.

Как рассказал Гимнес Аре, в Осло группа штатных и внештатных исследователей-криминалистов установила, что в декабре 2018 года хакеры использовали в качестве кибероружия один вложенный файл, отправленный сотрудником заказчика, считавшегося надежным, сотруднику Norsk Hydro в ходе обычной переписки по электронной почте.

«Они включили в это вложение инструкции для установки троянской программы на компьютер сотрудника Hydro, — сказал Гимнес Аре. — Эту троянскую программу наш антивирус обнаружил несколько дней спустя. Но было уже слишком поздно. К тому времени вирус уже закрепился в системе».

Меллер рассказал, что сначала вирус скомпрометировал рядовых пользователей компьютерной сети Norsk Hydro, а затем захватил учетные данные администратора, что позволило хакерам управлять всей ИТ-инфраструктурой.

«Когда атакующие получили контроль над окружением, они решили распространить программу-вымогателя через ручную рассылку с контроллеров домена Norsk Hydro», — сказал Меллер.
«Это был еще один пример распространенной в последнее время стратегии, когда атакующая группа использует постоянную устойчивую угрозу (Advanced Persistent Threat, APT) для внедрения другой вредоносной программы в надежде на более быструю монетизацию с меньшими затратами», — сказал Меллер.

Однако Norsk Hydro не собиралась платить хакерам ни одного биткойна или вести переговоры о восстановлении заблокированных файлов. Вместо этого компания решила восстановить свои данные с помощью надежных резервных серверов.

«Что вы получите, если в такой ситуации заплатите выкуп? — спросил Гимнес. — Возможно, вы вернете зашифрованные данные, если злоумышленник даст вам ключ. Но выкуп не поможет вам восстановить инфраструктуру компании: все серверы, все компьютеры, все сети».

«Выкуп не поможет вам выбраться из ситуации. Вам нужно будет перестроить свою инфраструктуру, чтобы быть уверенным, что злоумышленник не остался в ней», — добавил он.

Эрик Дерр — генеральный менеджер центра реагирования Microsoft Security Response Center. Этот центр защищает клиентов от получения ущерба из-за уязвимостей в системах безопасности продуктов и служб Microsoft, а также быстро отражает атаки на Microsoft Cloud. Дерр настоятельно рекомендует организациям, подвергшимся кибератакам, быть максимально открытыми относительно инцидентов.

«Norsk Hydro подала всем пример, как надо реагировать на инциденты, — сказал Дерр. — Не платить выкуп и с помощью DART разобраться в ситуации, чтобы изгнать злоумышленников, — отличное решение. Обмениваться полученными знаниями с миром — бесценно. Когда компании так поступают, это делает нас всех лучше и заставляет злоумышленников работать усерднее».

«Конечно, у некоторых компаний, сталкивающихся с атаками программ-вымогателей, может возникнуть большой соблазн заплатить злоумышленникам за возврат похищенных данных. Но если заплатить хакерам выкуп, это не гарантирует, что компания сможет восстановить потерянное», – говорит Энн Джонсон, корпоративный вице-президент Microsoft по решениям в области кибербезопасности, чья команда курирует DART.

«Есть более умный способ — следовать плану Norsk Hydro, – говорит Джонсон. – Ваши данные —стратегический актив как для вас, так и для киберпреступников. Именно поэтому хакеры хотят заполучить ваши данные. Именно поэтому ваши данные должны быть защищены и сохранены в виде резервных копий».

«В то же время компании должны инвестировать в кибербезопасность», – подчеркивает она.
«В Norsk Hydro ИТ-отдел работает над повышением осведомленности своих сотрудников по вопросам безопасности», – сказал Молланд, вице-президент по связям со СМИ. Сюда входит отправка рабочим тестовых электронных писем, которые помогают научиться распознавать распространенные фишинговые приемы, такие как поддельные страницы входа в систему и вредоносные вложения.

«Если компания не будет уделять достаточно внимания кибербезопасности, – предупреждает Джонсон, – то злоумышленники станут ее «постоянными клиентами».

«Скорее всего, вы видели в уличных кафе таблички, на которых написано «Не кормите птиц». Если птиц кормить, они будут возвращаться туда, где, как они выяснили, легко получить еду. В отношении киберпреступников действует та же самая концепция, — говорит Джонсон. — Если они знают, что у вас слабая защита, то будут использовать эти слабые стороны снова и снова».

«Лучшая защита — правильное сочетание человеческих действий, процессов и технологий. Мы рекомендуем внедрить многофакторную аутентификацию, надежный процесс обновлений и резервное копирование данных», — добавила она.

Сотрудники завода Norsk Hydro в Норвегии работают с бумажной документацией, чтобы вручную выполнить заказы клиентов во время кибератаки.

В марте прошлого года в Венгрии и Норвегии члены DART помогли Norsk Hydro разработать безопасные процедуры для восстановления серверов с улучшенными параметрами безопасности. По словам Меллера, они также ознакомили компанию с существующими угрозами и известным поведением злоумышленников, чтобы помочь снизить риск будущих атак.

В Norsk Hydro внутренняя работа после инцидента велась по нескольким фронтам. Компания перешла на старые методы, чтобы возобновить полноценное производство и восстановить бизнес-операции. Кроме того, они работали над обеспечением безопасности сотрудников и окружающей среды.

«Мы управляем тяжелой техникой. Если мы потеряем контроль над ней, это поставит под угрозу безопасность людей и может привести к серьезным инцидентам», — сказал Молланд, вице-президент по связям со СМИ. — Безопасность для нас всегда важнее всего. На втором месте забота об окружающей среде и недопущение неконтролируемых выбросов в атмосферу, почву и воду из-за внезапных остановок машин».

Руководители от руки написали предупреждения о кибератаке, сфотографировали на смартфоны и отправили менеджерам заводов и офисов Norsk Hydro по всему миру. Персонал на местах распечатал бумажные объявления в местных типографиях и повесил их на подъездах, в лестничных пролетах и лифтах, чтобы сотрудники могли прочитать их, прибыв на работу.

«Пожалуйста, не подключайте никакие устройства к сети Hydro. Не включайте никакие устройства, подключенные к сети Hydro. Пожалуйста, отключите устройства от сети Hydro», — гласили предупреждения с простой подписью: «Служба безопасности».

Рабочие завода Hydro в Портланде вручную управляют оборудованием, чтобы выполнить заказы клиентов на начальной стадии кибератаки.

Весь персонал в первые дни после обнаружения атаки работал с записями на бумаге. Некоторые заводы перешли на ручной режим управления для выполнения производственных заказов. Ушедшие на пенсию сотрудники, знакомые со старой бумажной системой, добровольно вернулись на свои заводы, чтобы поддержать производство.

«То, как мы объединились, чтобы преодолеть ситуацию и вернуться к производству, было экстремальным тренингом на командообразование», — сказал Молланд.

«У нашей компании есть организованная методология подготовки к чрезвычайным ситуациям, в которой определены действия на корпоративном уровне, в бизнес-сфере и на уровне заводов, — добавил он. — Это сработало нам на пользу. Когда по нам нанесли удар, мы смогли конструктивно и организованно справиться с ситуацией».

«Другими словами, профилактика важна, но блокирование всех атакующих не должно быть единственным приоритетом компании в области безопасности», – говорит Джо Де Влигер, директор по информационным технологиям Norsk Hydro.

«Если хакеры захотят попасть внутрь, они это сделают, — сказал Де Влигер. — Теперь у нас есть усовершенствованная система реагирования на инциденты, и если подобное повторится, мы будем гораздо лучше подготовлены, чтобы ограничить ущерб по времени и по территориям».

Norsk Hydro сообщила об этом инциденте в Национальную службу уголовных расследований Норвегии (Kripos). «Расследование продолжается», – говорит Молланд.

Комментарии (15)


  1. spc
    27.12.2019 10:12

    Текст надо было назвать «Страх и неуверенность в Осло»


  1. shtushkutush
    27.12.2019 10:26

    альтернативная вселенная
    Хайль Гидра!


  1. lamerok
    27.12.2019 11:30

    Они не одни такие, еще пару глобальных заводиков атакой накрыло и общение было через бумаги и телефон. Это называется низкая культура кибербезопасности(локальные админы на компах в доменах, открывания всяких непонятных емайлов, установка самостоятельного софта и так далее). Интересно, если бы они в свое время тратили бы N сумму на развитие кибер безопасности, то это покрыло бы убыток от того, что произошло или нет?


    1. vlsinitsyn
      28.12.2019 00:45

      А глобальные права в руках админов такой квалификации не является опасностью?
      Я совершенно не удивлюсь, если окажется, что «локальных админов» в той компании не было, а вложение открыл как раз администратор :-).


  1. DrunkBear
    27.12.2019 12:35

    Что на счёт того «доверенного» клиента, с чьего адреса пришёл первый вирус?
    Он решил отмолчаться о взломе?
    Или его сотрудники и запустили взлом?


  1. Snakey
    27.12.2019 14:31

    Повесив трубку, Гимнес Аре, отвечающий за информационную безопасность Norsk Hydro, немедленно
    потянулся к ящику стола…

    Как то так тут должно быть, кмк:)


  1. avia07
    27.12.2019 23:44

    Очень, очень много воды!


  1. TimsTims
    28.12.2019 01:38

    Ваши данные —стратегический актив как для вас, так и для киберпреступников. Именно поэтому хакеры хотят заполучить ваши данные. Именно поэтому ваши данные должны быть защищены и сохранены в виде резервных копий».
    Заполучив ваши данные — резервная копия вам никак не поможет. Зашифровав ваши данные — резервная копия поможет.

    «В то же время компании должны инвестировать в кибербезопасность», – подчеркивает она.

    «Если компания не будет уделять достаточно внимания кибербезопасности, – предупреждает Джонсон, – то злоумышленники станут ее «постоянными клиентами»
    Что тут можно сказать… Два совета уровня «Капитан очевидность»: компании должны защищаться; если не защищаться — вас будут хакать.


  1. Karpion
    28.12.2019 04:33
    +1

    То, что фирма отказалась платить выкуп — я одобряю.

    А вот то, что у них вся инфраструктура была на Windows (судя по фразе "вызвать команду кибербезопасности Microsoft") — это верх глупости. Собственно, неудивительно, что админы проворонили опасность.

    Особенно смешно выглядит фраза "Microsoft — мировой лидер в области ПО и ИТ-услуг" над статьёй и реклама её курсов справа.


    1. Oxyd
      28.12.2019 05:00
      +1

      Вообще-то это корпоративный блог Microsoft…


    1. TimsTims
      28.12.2019 11:18

      Microsoft — мировой лидер в области ПО и ИТ-услуг
      А разве это не так? Вам известно, сколько корпораций сидят на продуктах Microsoft? И много ли в мире компаний, готовые предоставить что-то аналогичное, чтобы это хорошо работало друг с другом, и вендор был на поддержке.


      1. alex_www
        28.12.2019 17:39

        И сильно это помоголо в итоге?


        1. TimsTims
          29.12.2019 21:54

          А вы бы как построили инфраструктуру корпорации?


      1. Karpion
        30.12.2019 01:32

        Oxyd, это значит, что у них не только программисты и архитекторы паршивые (это всегда так было), но и пиарщики окончательно деградировали. Получается, они сами себе устроили знатную антирекламу.

        TimsTims, Вы намеренно предлагаете рассмотреть тот сектор, в котором Microsoft преуспевает? Извините, но насколько я знаю, в корпоративном секторе рулят более серьёзные фирмы типа IBM — если сравнивать по деньгам. Хотя возможно — мои сведения и устарели, надо проверить.

        А если брать всё ПО — то извольте учесть не только серверы, раб.станции и ноутбуки но также смартфоны, планшеты, умные часы, финтесс-трекеры и встраиваемые программы. И тут внезапно оказывается, что Android имеет куда больше инсталляций, а Linux — ещё больше.

        Компаний, готовых предоставить что-то такое, чтобы это хорошо работало друг-с-другом — я не знаю вообще. И Microsoft в это требование тоже не влезает — её поделия работают через пень-колоду хоть друг-с-другом, хоть по-отдельности. И случай, описанные в тиопике — тому подтверждение.

        Требование «чтобы вендор был на поддержке» как бы намекает, что качество продукта — отвратительное. Мне всегда казалось, что это очевидно.


        1. Oxyd
          30.12.2019 21:24
          +1

          Идеи у МС иногда хорошие(правда очень часто это не их идеи). Но вот реализация…