ФБР построило «маленький город» для тренировки кибератак

ФБР показало Kinetic Cyber Range — крытый киберполигон в Хантсвилле, штат Алабама, который выглядит как маленький американский город. Объект занимает 22 000 квадратных футов, это примерно 2040 квадратных метров. Внутри есть полностью обставленные дома, гостиничные номера, АЗС, небольшой магазин, здание суда, больница, энергокомпания, дороги, светофоры и отдельный дата-центр.

Каждое помещение подключено к работающим сетям, устройствам и сервисам. Слушатели заходят в среду, похожую на обычный город: где у дома есть умные устройства, у компании — корпоративная сеть, у больницы — критичные системы, у автомобиля — электронный блок управления, а у дата-центра — стойки с шумными серверами.

Полигон открылся в феврале 2025 года. За первый год через него прошли более 1400 человек: сотрудники ФБР и партнеры из других федеральных и местных ведомств. Объект работает на кампусе Redstone Arsenal в Хантсвилле и входит в инфраструктуру Operational Technology Division — подразделения, которое занимается технической поддержкой расследований, цифровой криминалистикой и работой с устройствами.

В учебном классе можно разобрать шифровальщик, журнал событий Windows, дамп памяти или мобильное устройство. В городе-полигоне приходится делать то же самое, но в условиях, где ошибка похожа на реальную: не тот сервер выключили, не тот диск изъяли, неправильно объяснили юристу компании, зачем нужен доступ к инфраструктуре.

Один из сценариев имитирует атаку шифровальщика на больничную сеть. Системы блокируются, срабатывают тревоги, участники учений работают с технической частью и одновременно общаются с людьми, которые играют роли руководства, юристов, администраторов и владельцев бизнеса. Для следователей это важно, ведь при реальном инциденте нельзя просто взять забрать все железо. Нужно понимать, какие данные нужны, какие системы критичны, что можно отключить, а что нельзя трогать без риска для людей.

Отдельная зона полигона посвящена автомобильной криминалистике. Участники разбирают машину, добираются до электронного блока управления — ECU, цифрового «мозга» автомобиля, — и извлекают данные. В расследовании такая информация может помочь восстановить маршрут, режим использования машины и другие события. В учебном сценарии это безопасная тренировка: можно ошибиться, разобрать неидеально, потратить лишнее время и потом выяснить, что пошло не так.

В дата-центре стоит более 200 физических серверов. Часть работает на Windows, часть — на Linux. Обычно следы атаки лежат в Active Directory, почтовых системах, фаерволах, журналах прокси, рабочих станциях, серверах приложений, сетевых хранилищах и резервных копиях.

ФБР подчеркивает, что инфраструктура изолирована. Это нужно, чтобы учебные атаки, вредоносные образцы и тестовые заражения не вышли за пределы полигона. Такой подход напоминает промышленный cyber range — закрытую среду для отработки атак и защиты, но здесь акцент смещен в сторону расследований: что изъять, как сохранить доказательства, пройти по цепочке событий, объяснить действия владельцу системы и не уничтожить важные следы.

В 2025 году центр IC3 получил более 1 млн жалоб на интернет-преступления, а заявленный ущерб превысил $20,8 млрд. Потери выросли на 26% за год. Шифровальщики остаются одной из главных угроз для критической инфраструктуры. В отчете указаны пострадавшие сектора: критическое производство, здравоохранение и государственные объекты.

Сценарии полигона строятся на прошлых кейсах. Это делает обучение менее стерильным. В реальной атаке злоумышленники используют старые уязвимости, украденные учетные данные, плохо настроенный удаленный доступ, забытые сервисы, уязвимые VPN, фишинг, цепочки поставок и человеческий фактор. Расследователь должен уметь собрать картину из неполных данных.

Отраслевые издания сравнили объект с Hogan’s Alley — известным тренировочным городком ФБР в Куантико, где десятилетиями отрабатывали обычные полицейские сценарии. Сравнение удачное, но с поправкой на эпоху. Теперь это город, где у каждого здания есть сеть, у каждого сервиса — журнал событий, у каждой машины — электроника, а у каждого инцидента — цифровой след.