— У вас была какая‑то тактика с самого начала, и вы её придерживались?
— С самого начала у меня была какая‑то тактика. И я её придерживался.
Трудно переоценить значение стратегии и тактики в мире информационной безопасности. Атакующий выбирает момент, место и способ воздействия. Современные Red Team операции, имитирующие действия реальных нападающих, аналогично строятся не на хаотичных попытках прорыва, а на системном применении проверенных принципов, во многом восходящих к древним учениям о войне и манипуляции. Тактики позволяют не просто найти уязвимости, но и использовать их максимально эффективно. Стратегия же определяет, какие цели выбирать, в какой последовательности их атаковать и как маскировать истинные намерения под прикрытием легитимных действий.
Сочетание стратегического мышления и тактической гибкости делает Red Team не просто техническим инструментом тестирования безопасности, а полноценным симулятором реальных APT-угроз. В этом смысле каждая операция становится полем для применения древних стратагем, адаптированных под цифровую эпоху.
Трактат о 36 стратагемах условно делится на шесть блоков: стратагемы победоносных сражений, стратагемы сражений при равновесии сил, стратагемы наступательных сражений, стратагемы сражений с несколькими участниками, стратагемы сражений совместно с третьей стороной и стратагемы проигрышных сражений. В данной части статьи речь пойдёт о стратагемах победоносных сражений и стратагемах сражений при равновесии сил.
Стратагемы победоносных сражений
1. Обмануть небо, чтобы переплыть море: раствориться в легитимных событиях
Red Team маскирует свои намерения под легитимными действиями или под прикрытием очевидной угрозы скрывает атаку в том, что кажется второстепенным. Например, Blue Team обнаруживает в электронной почте подозрительный вложенный файл, для отображения которого требуется нестандартный редактор или обновление существующих программ. Вся команда сосредотачивается на анализе этого файла, на самом же деле, вредоносная активность зашита в редакторе или в обновлении системы, к скачиванию которых подталкивают «синих» злоумышленники. Похожие приёмы используют фокусники, отвлекающие внимание зрителя ярким жестом или предметом, чтобы незаметно совершить главный трюк. Поэтому важно анализировать не только явные индикаторы, но и сопутствующие процессы, которые на первый взгляд могут показаться рутинными или безобидными.
2. Осадить Вэй, чтобы спасти Чжао: удар по слабому месту для отвлечения ресурсов противника
Вместо атаки на основную цель Red Team бьёт по второстепенным объектам, вынуждая защиту перераспределять ресурсы. Стратагема направлена на реализацию принципа «разделяй и властвуй» и ослабление противников через их деконсолидацию. Практически любая система сильнее её отдельного элемента и разобщение сил приводит к снижению защиты. Примером может выступить комбинация DDoS-атак с параллельными целевыми атаками на внутреннюю инфраструктуру. DDoS становится не просто средством давления, а частью сложной операции по дестабилизации инфраструктуры под прикрытием шумовой активности. Противодействие стратагеме возможно через удержание фокуса на главном и отказе от распыления ресурсов, пусть даже на не менее значимые, но всё же не основные цели.
3. Убить чужим ножом: использование чужих методов и инфраструктуры для атаки
Злоумышленники применяют инструменты и инфраструктуру других групп или легитимных пользователей. Это затрудняет атрибуцию, создает ложные следы и запутывает расследование. Могут использоваться чужие домены, ранее замеченные в других атаках, или вредоносный код с подписями, характерными для других групп (подробная систематизация возможных индикаторов компрометации, например, представлена в рамках модели «Пирамида боли» от Дэвида Бьянко). Известны случаи копирования злоумышленниками чужих поведенческих паттернов, изучение излюбленных приёмов «коллег» с целью копирования и смещения фокуса внимания защитников на другие хакерские группировки. Стратагема применяется как для собственной маскировки, так и для «сталкивания лбами» других представителей цифрового ландшафта.
4. В покое ожидать утомлённого врага: атака в момент слабости защиты
Red Team тщательно выжидает моменты снижения бдительности или активности защитников, например, в нерабочие часы или периоды перегрузки SOC, чтобы провести наиболее эффективные действия. Атака может быть приурочена к праздникам, ночным сменам или другим периодам, когда команда реагирования работает в сокращённом составе или менее внимательна. Часто атаки синхронизируются с расписаниями сотрудников или приурочиваются к временным окнам, когда в дежурной смене присутствует минимальный состав персонала и процессы внутренней коммуникации могут быть затруднены. Иногда злоумышленники специально утомляют защитников серией ложных тревог, чтобы снизить их бдительность, а затем запускают основную фазу атаки. Яркий пример применения стратагемы показан в фильме «Как украсть миллион»: герои Питера О’Тула и Одри Хепберн изматывают охрану ночной смены ложными срабатываниями сигнализации, добиваясь тем самым её отключения и снятия защиты с охраняемых музейных экспонатов.
5. Грабить во время пожара: использование кризиса в свою пользу
Стратагема предполагает начало атаки в моменты повышенной нагрузки и хаоса. Например, во время глобального патчинга из-за критической уязвимости, когда администраторы заняты обновлением сервисов, злоумышленники могут эксплуатировать её для получения доступа, эскалации привилегий или эксфильтрации данных. В такие моменты системы особенно уязвимы, поскольку внимание персонала распределено, а уровень автоматического мониторинга может быть снижен. Мародёрство может быть проявлено в присвоении данных, незаконно попавших в открытый доступ, в намеренном нагнетании обстановки и переманивании клиентов при обнародовании инцидентов, в добавлении недекларированных возможностей в решения, которые предлагаются якобы для спасения пострадавших.
6. Поднять шум на востоке — напасть на западе: создание информационного шума для скрытия истинной цели
Классический приём Red Team для дезориентации защитников, когда внимание сосредоточено на одном участке, а реальная атака идёт в другом. Например, попытка физического проникновения в защищённый периметр или массовая рассылка фишинговых писем сотрудникам может занять внимание и отвлечь службу безопасности, в то время как основная атака будет проходить по менее заметному вектору. Интересным примером может выступать создание APT-группировками ложных следов в Даркнете: действия направлены на создание впечатление и иллюзии, будто бы атака готовится в отношении определённой компании или сектора. Для этого злоумышленники создают фейковые обсуждения, делают информационные вбросы на площадках, на которых могут присутствовать службы безопасности в режиме наблюдения и разведки. При этом вся развёрнутая деятельность направлена на отвлечение внимания от реальной цели нападающих.
Стратагемы сражений при равновесии сил
7. Извлечь нечто из ничего: создание ложных индикаторов для отвлечения внимания
Одной из стратегий, применяемых как Red Team, так и продвинутыми APT-группами, является целенаправленная генерация искусственных индикаторов компрометации, фальшивых сигнатур и отвлекающих сетевых активностей. Цель стратагемы – индуцировать ложные срабатывания в системах SIEM/SOC, вынуждая команды Blue Team концентрировать ресурсы на анализе фиктивных угроз. Реальная атака остаётся под прикрытием поддельных данных. Например, APT-группы регистрируют домены второго/третьего уровня, мимикрирующие под известные C2-инфраструктуры, в частности, используя гомоглифные-атаки и замену символов. Направление трафика с компрометированных систем на созданные домены провоцирует срабатывание IDS на основе reputation-based правил, отвлекая SOC-аналитиков на расследование ложных инцидентов.
Генерация искусственных датасетов с помощью современных методов машинного обучения позволяет моделировать широкий спектр атакующих сценариев, включая редкие или трудновоспроизводимые случаи, без риска компрометации реальных пользовательских данных. Аугментация данных, например, с использованием генеративных моделей или специализированных пайплайнов (SAGE-RT, AART), значительно расширяет разнообразие и сложность тестовых примеров, что может быть критически важным для выявления уязвимостей и стресс-тестирования защитных механизмов.
Также примером реализации стратагемы могут выступать фейковые новости, создание ложных образов, репутационные и имиджевые манипуляции, когда, например, противник притворяется более сильным, чем есть на самом деле.
8. Для вида чинить деревянные мостки, втайне выступить в Чэньцан: видимая активность как отвлекающий манёвр
Суть стратагемы в том, чтобы создавать явную видимость одной операции и деятельности, прикрывая на самом деле более опасную атаку. Red Team или APT могут открыто демонстрировать активность в одном сегменте сети (например, через сканирование или тестирование уязвимостей, фишинговую рассылку или атаку на малозначимый сегмент), изображать напускную неловкость или неумение скрывать следы, демонстрировать выполнение хорошо прослеживаемых операций. На самом же деле подпольно проводится другая работа, запрятанная под серией рутинных действий (починкой деревянных мостков).
9. Наблюдать за огнём с противоположного берега: пассивное наблюдение перед атакой
Ключевым элементом стратагемы выступает глубокий сбор разведданных без активного взаимодействия. Злоумышленники могут находиться в атакуемой сети неделями, собирая информацию о логах, расписаниях смен и реакциях Blue Team, не проявляя вредоносной активности. Также возможно постепенное «прощупывание» системы через микроинциденты и отслеживание реакции «синих». При сборе данных анализируются журналы событий, сетевые потоки (NetFlow, PCAP), расписания смен сотрудников SOC/Blue Team, привычки реагирования на инциденты (incident response playbooks), а также паттерны мониторинга и корреляции алертов. Глубокая разведка с применением пассивных методов получения информации предшествует фазе активной эксплуатации, обеспечивая злоумышленникам детальное понимание внутренней среды и максимизируя вероятность успешной атаки без преждевременного обнаружения.
10. Скрывать за улыбкой кинжал: использование доверия для проникновения
Стратагема основана на психологическом влиянии и социальной инженерии. Атакующие могут выстраивать доверительные отношения с сотрудниками компаний через социальные сети, представляясь рекрутёрами или коллегами, а затем отправляя вредоносный контент. Внедрение в инфраструктуру компании возможно под видом курьерской доставки цветов или проведения презентации коммивояжёром, осуществления кейтеринга или клининга, ремонтных или строительных работ и пр. Нападающие могут использовать элементы перевоплощения (impersonation) и претекстинга: поддельные бейджи, униформу, документы на выполнение работ. Подобные приёмы позволяют реализовать внедрение закладок, подслушивающих и подсматривающих устройств, оставлять на видном месте якобы забытые флешки с вредоносным файлом или осуществлять непосредственный доступ к критическим сегментам инфраструктуры.
11. Сливовое дерево засыхает вместо персикового: жертвование малозначимым ради главной цели
В рамках стратагемы Red Team может пожертвовать менее важными ресурсами или векторами атаки для усыпления бдительности «синих», чтобы сохранить основные активы и обеспечить успешное дальнейшее продвижение. Аналогией стратагемы выступает шахматный гамбит: уступить фигуру, чтобы выиграть партию. Например, «красные» могут отдать промежуточные трофеи (захваченные учётные записи, поддерживаемые сетевые соединения), раскрыть часть сценария атаки для формирования чувства ложной уверенности и превосходства у защитников.
12. Увести овцу лёгкой рукой: использование случайных возможностей
Стратагема подразумевает максимальную гибкость, ловкость, адаптивность и готовность воспользоваться любыми ошибками безопасности и возможностями проникновения. «Красные» и APT могут использовать открытые RDP-порты с дефолтными паролями или незащищённые share-диски, чтобы получить доступ к данным без использования эксплойтов. Удачным стечением обстоятельств может выступить установленный контакт с ключевым сотрудником компании в социальной сети или «случайное» знакомство в кафе/кино/ресторане. Искусный взломщик не упускает возможности использовать все рычаги воздействия, видит все детали картины, не отказываясь от самых простых, но от этого не менее ценных, решений.
Древние стратагемы не утратили своей актуальности в наше время. Напротив, они обрели новое применение в кибербезопасности при стратегическом планировании и моделировании угроз. Понимание сути стратагем и умение распознавать их проявления могут стать неотъемлемыми элементами зрелой защиты. Искусство цифрового противостояния «красных и синих», «защитников и нападающих» – это постоянная интеллектуальная битва, где побеждает тот, кто лучше понимает мотивы и методы противника, умеет предугадывать его ходы и не теряет бдительности даже в самых обыденных ситуациях.