В недавних киберучениях специалисты НАТО учились работать с ханипотами для изучения противников.
В ходе киберучений, проводимых НАТО в Эстонии 16-20 ноября, специалисты упражнялись в поимке финансируемых правительствами хакеров с помощью специально расставленных ловушек.
В учениях, координировавшихся Учебным центром по кибербезопасности при министерстве обороны Эстонии, приняли участие 1 тыс. человек. Если предыдущие учения были направлены на имитацию методов гибридной войны, то в нынешнем году участники упражнялись в использовании ловушек для хакеров – ханипотов и ханинетов.
Ловушка работает следующим образом. Когда «русский хакер» пытается проникнуть в защищенную сеть правительства какой-либо страны-участницы НАТО, сначала он определяет цель – человека, чьи учетные данные можно украсть, чтобы получить доступ к сети и, перемещаясь от хоста к хосту, собирать ценную информацию. Затем жертве отправляется фишинговое письмо с вредоносной ссылкой. Когда жертва кликает на ссылку, хакер получает доступ к сети.
Однако на самом деле похищенная злоумышленником информация не представляет никакой ценности и была намеренно предоставлена для похищения. Зато после того, как хакер побывал в «сети», исследователи могут изучить его инструменты и тактики. При этом злоумышленник не знает, что попался на приманку и на самом деле является объектом для изучения специалистами НАТО.
По словам технического директора по киберпространству в Верховном командовании НАТО по трансформации Альберто Доминго (Alberto Domingo), таким образом эксперты могут собрать о противнике максимум информации. В частности, они могут установить, кем является противник, что он собой представляет, какие цели преследует и что намерен предпринять дальше.
Если использование ханипотов частными исследователями безопасности не является чем-то новым, то правительства начали их применять сравнительно недавно. Использует ли НАТО ханипоты только в учениях или в реальных сценариях тоже, пока неизвестно.
Первое — находим постоянно, второе — ждем вас