Осло, Норвегия. Телефон зазвонил в 4 часа утра. Торстейн Гимнес Аре ответил на предрассветный звонок с пробивающимся сквозь сонливость страхом. И после первых слов собеседника страх только усилился.

«Похоже, нас атакуют», — сказал звонивший ИТ-специалист Norsk Hydro, одной из крупнейших в мире алюминиевых компаний. На некоторых из ее 170 заводов остановились производственные линии. Другие объекты перешли с компьютерного управления на ручное.

В диспетчерской экструзионного завода в Норвегии. Hydro временно приостановила производство на нескольких заводах в Европе и США после нападения.

Плохие новости. А потом стало еще хуже.

Произошедший в марте прошлого года взлом системы безопасности в итоге затронул каждого в Norsk Hydro: 35 тысяч сотрудников в 40 странах. Оказались заблокированными файлы на тысячах серверов и персональных компьютеров. Финансовый ущерб приблизился к 71 млн долл.

Все это началось тремя месяцами ранее, когда один из сотрудников открыл зараженное электронное письмо от клиента, которому доверял. Это позволило хакерам проникнуть в ИТ-инфраструктуру и тайно внедрить свой вирус.

Повесив трубку, Гимнес Аре, отвечающий за информационную безопасность Norsk Hydro, немедленно позвонил начальнику службы подготовки к чрезвычайной ситуации и назначил экстренную встречу на то же утро.

«Это была чрезвычайная ситуация масштаба всей компании, — вспоминает Гимнес Аре. — ИТ-специалисты уже отключили сеть и серверы, чтобы избежать дальнейшего распространения. Но мы не вполне понимали, что происходит».

Вскоре стало известно название вируса: LockerGoga, один из вариантов программы-вымогателя. Он шифровал файлы на настольных компьютерах, ноутбуках и серверах по всей компании и выводил на экран сообщение с требованием выкупа.

«Приветствуем! — гласило сообщение. — Ваши файлы зашифрованы с помощью самых сильных военных алгоритмов. Только у нас есть декодер для расшифровки ваших данных».

В сообщении у компании требовали выкуп в биткойнах и предупреждали: «Окончательная цена зависит от того, как быстро вы свяжетесь с нами».

На экстренном собрании руководство Norsk Hydro приняло три оперативных решения: выкуп не платить, вызвать команду кибербезопасности Microsoft, которая поможет восстановить работу систем, и быть полностью открытыми относительно этого инцидента.

Третье из этих решений высоко оценили эксперты по безопасности со всего мира, потому что оно пошло в разрез с обычной практикой многих организаций, скрывающих информацию о взломах.

Старшие должностные лица ежедневно проводили веб-трансляции и отвечали на вопросы. Руководители давали ежедневные пресс-конференции в штаб-квартире в Осло, публиковали новости в Facebook, приглашали журналистов на производственные объекты и даже запустили новый веб-сайт компании в течение первой недели после обнаружения атаки.

Обращение вымогателей, атаковавших Norsk Hydro.

«Прозрачность — основа культуры Norsk Hydro», – говорит Халвор Молланд, старший вице-президент по связям со СМИ. Честно и оперативно публикуя информацию о происходящем, компания стремилась, в частности, нарушить теневую тактику киберпреступников и, возможно, предотвратить аналогичные угрозы.

«Мы хотели помочь другим извлечь уроки из нашего опыта, — сказал Молланд. — Так люди смогут лучше подготовиться к подобным ситуациям и не проходить через то, что пришлось пройти нам».

В первые часы инцидента Norsk Hydro обратилась за помощью к группе обнаружения и реагирования Microsoft (Detection and Response Team, DART), которая выезжает на места происшествий для поддержки компаний, подвергающихся нападению, и проводит дистанционные расследования.

«Этому делу был назначен уровень «максимальная серьезность», – говорит Джим Меллер, член DART и специалист по реагированию на кибератаки. Меллера отправили в Венгрию, в небольшой город недалеко от Будапешта, где расположен один из крупнейших алюминиевых заводов Norsk Hydro. Производство там осталось без доступа к сетевым сервисам.

Одна из многих пресс-конференций Hydro, проведенных во время атаки.

Меллер провел в Венгрии три недели, создавая команду из региональных инженеров и архитекторов. По его словам, первоначальная задача команды заключалась в том, чтобы помочь компании восстановить и возобновить бизнес-операции и работу сервисов. Другие члены DART вылетели в Осло. «Под нашим руководством Norsk Hydro смогла устранить брешь, с помощью которой атакующий смог начать атаку», — говорит Меллер.

Они изучили вирус-шифровальщик LockerGoga, который также атаковал инженерно-консалтинговую компанию Altran Technologies во Франции и две американские промышленные компании — Hexion в Огайо и Momentive в Нью-Йорке.

Как рассказал Гимнес Аре, в Осло группа штатных и внештатных исследователей-криминалистов установила, что в декабре 2018 года хакеры использовали в качестве кибероружия один вложенный файл, отправленный сотрудником заказчика, считавшегося надежным, сотруднику Norsk Hydro в ходе обычной переписки по электронной почте.

«Они включили в это вложение инструкции для установки троянской программы на компьютер сотрудника Hydro, — сказал Гимнес Аре. — Эту троянскую программу наш антивирус обнаружил несколько дней спустя. Но было уже слишком поздно. К тому времени вирус уже закрепился в системе».

Меллер рассказал, что сначала вирус скомпрометировал рядовых пользователей компьютерной сети Norsk Hydro, а затем захватил учетные данные администратора, что позволило хакерам управлять всей ИТ-инфраструктурой.

«Когда атакующие получили контроль над окружением, они решили распространить программу-вымогателя через ручную рассылку с контроллеров домена Norsk Hydro», — сказал Меллер.
«Это был еще один пример распространенной в последнее время стратегии, когда атакующая группа использует постоянную устойчивую угрозу (Advanced Persistent Threat, APT) для внедрения другой вредоносной программы в надежде на более быструю монетизацию с меньшими затратами», — сказал Меллер.

Однако Norsk Hydro не собиралась платить хакерам ни одного биткойна или вести переговоры о восстановлении заблокированных файлов. Вместо этого компания решила восстановить свои данные с помощью надежных резервных серверов.

«Что вы получите, если в такой ситуации заплатите выкуп? — спросил Гимнес. — Возможно, вы вернете зашифрованные данные, если злоумышленник даст вам ключ. Но выкуп не поможет вам восстановить инфраструктуру компании: все серверы, все компьютеры, все сети».

«Выкуп не поможет вам выбраться из ситуации. Вам нужно будет перестроить свою инфраструктуру, чтобы быть уверенным, что злоумышленник не остался в ней», — добавил он.

Эрик Дерр — генеральный менеджер центра реагирования Microsoft Security Response Center. Этот центр защищает клиентов от получения ущерба из-за уязвимостей в системах безопасности продуктов и служб Microsoft, а также быстро отражает атаки на Microsoft Cloud. Дерр настоятельно рекомендует организациям, подвергшимся кибератакам, быть максимально открытыми относительно инцидентов.

«Norsk Hydro подала всем пример, как надо реагировать на инциденты, — сказал Дерр. — Не платить выкуп и с помощью DART разобраться в ситуации, чтобы изгнать злоумышленников, — отличное решение. Обмениваться полученными знаниями с миром — бесценно. Когда компании так поступают, это делает нас всех лучше и заставляет злоумышленников работать усерднее».

«Конечно, у некоторых компаний, сталкивающихся с атаками программ-вымогателей, может возникнуть большой соблазн заплатить злоумышленникам за возврат похищенных данных. Но если заплатить хакерам выкуп, это не гарантирует, что компания сможет восстановить потерянное», – говорит Энн Джонсон, корпоративный вице-президент Microsoft по решениям в области кибербезопасности, чья команда курирует DART.

«Есть более умный способ — следовать плану Norsk Hydro, – говорит Джонсон. – Ваши данные —стратегический актив как для вас, так и для киберпреступников. Именно поэтому хакеры хотят заполучить ваши данные. Именно поэтому ваши данные должны быть защищены и сохранены в виде резервных копий».

«В то же время компании должны инвестировать в кибербезопасность», – подчеркивает она.
«В Norsk Hydro ИТ-отдел работает над повышением осведомленности своих сотрудников по вопросам безопасности», – сказал Молланд, вице-президент по связям со СМИ. Сюда входит отправка рабочим тестовых электронных писем, которые помогают научиться распознавать распространенные фишинговые приемы, такие как поддельные страницы входа в систему и вредоносные вложения.

«Если компания не будет уделять достаточно внимания кибербезопасности, – предупреждает Джонсон, – то злоумышленники станут ее «постоянными клиентами».

«Скорее всего, вы видели в уличных кафе таблички, на которых написано «Не кормите птиц». Если птиц кормить, они будут возвращаться туда, где, как они выяснили, легко получить еду. В отношении киберпреступников действует та же самая концепция, — говорит Джонсон. — Если они знают, что у вас слабая защита, то будут использовать эти слабые стороны снова и снова».

«Лучшая защита — правильное сочетание человеческих действий, процессов и технологий. Мы рекомендуем внедрить многофакторную аутентификацию, надежный процесс обновлений и резервное копирование данных», — добавила она.

Сотрудники завода Norsk Hydro в Норвегии работают с бумажной документацией, чтобы вручную выполнить заказы клиентов во время кибератаки.

В марте прошлого года в Венгрии и Норвегии члены DART помогли Norsk Hydro разработать безопасные процедуры для восстановления серверов с улучшенными параметрами безопасности. По словам Меллера, они также ознакомили компанию с существующими угрозами и известным поведением злоумышленников, чтобы помочь снизить риск будущих атак.

В Norsk Hydro внутренняя работа после инцидента велась по нескольким фронтам. Компания перешла на старые методы, чтобы возобновить полноценное производство и восстановить бизнес-операции. Кроме того, они работали над обеспечением безопасности сотрудников и окружающей среды.

«Мы управляем тяжелой техникой. Если мы потеряем контроль над ней, это поставит под угрозу безопасность людей и может привести к серьезным инцидентам», — сказал Молланд, вице-президент по связям со СМИ. — Безопасность для нас всегда важнее всего. На втором месте забота об окружающей среде и недопущение неконтролируемых выбросов в атмосферу, почву и воду из-за внезапных остановок машин».

Руководители от руки написали предупреждения о кибератаке, сфотографировали на смартфоны и отправили менеджерам заводов и офисов Norsk Hydro по всему миру. Персонал на местах распечатал бумажные объявления в местных типографиях и повесил их на подъездах, в лестничных пролетах и лифтах, чтобы сотрудники могли прочитать их, прибыв на работу.

«Пожалуйста, не подключайте никакие устройства к сети Hydro. Не включайте никакие устройства, подключенные к сети Hydro. Пожалуйста, отключите устройства от сети Hydro», — гласили предупреждения с простой подписью: «Служба безопасности».

Рабочие завода Hydro в Портланде вручную управляют оборудованием, чтобы выполнить заказы клиентов на начальной стадии кибератаки.

Весь персонал в первые дни после обнаружения атаки работал с записями на бумаге. Некоторые заводы перешли на ручной режим управления для выполнения производственных заказов. Ушедшие на пенсию сотрудники, знакомые со старой бумажной системой, добровольно вернулись на свои заводы, чтобы поддержать производство.

«То, как мы объединились, чтобы преодолеть ситуацию и вернуться к производству, было экстремальным тренингом на командообразование», — сказал Молланд.

«У нашей компании есть организованная методология подготовки к чрезвычайным ситуациям, в которой определены действия на корпоративном уровне, в бизнес-сфере и на уровне заводов, — добавил он. — Это сработало нам на пользу. Когда по нам нанесли удар, мы смогли конструктивно и организованно справиться с ситуацией».

«Другими словами, профилактика важна, но блокирование всех атакующих не должно быть единственным приоритетом компании в области безопасности», – говорит Джо Де Влигер, директор по информационным технологиям Norsk Hydro.

«Если хакеры захотят попасть внутрь, они это сделают, — сказал Де Влигер. — Теперь у нас есть усовершенствованная система реагирования на инциденты, и если подобное повторится, мы будем гораздо лучше подготовлены, чтобы ограничить ущерб по времени и по территориям».

Norsk Hydro сообщила об этом инциденте в Национальную службу уголовных расследований Норвегии (Kripos). «Расследование продолжается», – говорит Молланд.