Угрозы кибершпионажа

  от комментариев Комментарии к записи Угрозы кибершпионажа отключены

По сообщению Лабоработии Касперского ProjectSauron: кибершпионское ПО, взламывающее зашифрованные каналы связи госорганизаций

РrojectSauron пять лет маскировался под фильтр паролей для систем Windows, оставаясь незамеченным

август 2016: «Лаборатория Касперского» обнаружила мощный специализированный вирус, работавший незамеченным в сетях разных госорганизаций с 2011 года. Действия вируса были направлены на взлом зашифрованных каналов связи скомпрометированных систем. Специалисты по информационной безопасности определили наличие этого malware в сетях более 30 организаций разных стран.

Malware классифицируется, как ПО для кибершпионажа класса APT (Advanced Persistent Threat). Этой классификации соответствуют только самые сложные и длительные атаки кибершпионского ПО. APT malware являются также Equation, Regin, Duqu и Careto. ProjectSauron (кодовое название Strider) долго оставался незамеченным благодаря тому, что он находился в системе в качестве исполняемой библиотеки, загруженной в память контроллера домена в сети под управлением Microsoft Windows.

Скомпрометированная система считала библиотеку фильтром паролей, в результате чего ProjectSauron получал доступ к шифрованным данным в открытом виде. Разработчиком этого ПО, по мнению специалистов, обнаруживших его, является неизвестная кибергруппировка, которая несет ответственность за атаки на ключевые государственные предприятия в разных странах (РФ, Иран, Руанда). По мнению экспертов, стран и организаций, которые пострадали от вируса, гораздо больше, то, что известно — это только вершина айсберга. Основными объектами атак стали правительственные структуры, научно-исследовательские центры, центры вооруженных сил, телекоммуникационные компании, финансовые организации.

Основные характеристики ProjectSauron:

Это не простой вирус, а модульная платформа, которая разработана для кибершпионажа;
Платформа и ее модули используют продвинутые алгоритмы шифрования, включая RC6, RC5, RC4, AES, Salsa20;
Для платформы разработано более 50 модулей-плагинов, расширяющих возможность центрального элемента;
Создатели ProjectSauron при помощи этого ПО похищают ключи шифрования, файлы конфигурации и IP-адреса главных серверов сети, которые имеют отношения к защите информации на предприятии или в организации;
Злоумышленники могут похищать данные даже из сетей, не подключенных к интернету. Это делается при помощи специальных USB-носителей. Похищенные данные размещаются в скрытой области, которая недоступна программным средствам ОС;
ProjectSauron работает, по крайней мере, с 2011 года.

Вирус очень сложно обнаружить. Дело в том, что платформа модифицируется для каждой новой атаки. Сервера, доменные имена, IP адреса, которые прописывают злоумышленники для каждого экземпляра модифицированной платформы уникальны. Уникальны и подключаемые модули. У них неповторяющиеся названия, размеры файлов и прочие характеристики. Временные метки модулей соответствуют характеристикам системы, в которой вирус должен работать. Модули предназначены для самых разных целей, включая кражу документов, кейлоггинг, кражу ключей шифрования.

В сеть организации ProjectSauron внедряется тоже каждый раз по-разному. В ряде случаев злоумышленники изменили скрипты, которые используют администраторы сети предприятия для обновления легального ПО на компьютерах в локальной сетке. Загрузчик ProjectSauron очень небольшого размера, при установке на ПК он запускается с правами администратора, соединяется с уникальным IP адресом и загружает основной элемент ПО. Как уже говорилось выше, для работы платформы и ее модулей используется обширная сеть доменов и серверов, причем каждый элемент используется для определенной жертвы.

Сейчас специалисты по информационной безопасности обнаружили 28 доменов, привязанных к 11 IP адресам в США и странах Европы. Malware обладает развитыми возможностями сетевой коммуникации на основе стека наиболее распространных протоколов ICMP, UDP, TCP, DNS, SMTP и HTTP. Платформа использует протокол DNS для отправки на удаленный сервер в режиме реального времени данных по текущим операциям.

Для того, чтобы ProjectSauron оставался незамеченным продолжительное время, его разработчики сделали очень многое. Это, например, использование разных командно-контрольных серверов для разных экземпляров ПО. Уникальные домены и IP адреса, использование различных криптографических алгоритмов в разных случаях, работа с обычными протоколами и форматами сообщений. Признаков повторного использования доменов и серверов нет. Для каждой атакованной цели использовался уникальный алгоритм, что делало невозможным обнаружение других копий ПО после обнаружения одной из них по определенному индикатору. Единственный вариант идентификации этого ПО — структурные схожести кода.

В первую очередь, злоумышленников интересовала информация, которая относится к нестандартному криптографическому ПО. Такое программное обеспечение обычно создается для организаций, которым необходимо защищать свои каналы связи, включая общение голосом, e-mail, обмен документами. Известны форматы файлов, которые больше других интересуют создателей вируса. Это *.txt;*.doc;*.docx;*.ppt;*.pptx;*.xls;*.xlsx;*.vsd;*.wab;*.pdf;*.dst;*.ppk;*.rsa;*.rar;*.one;*.rtf;~WPL*.tmp;*.FTS;*.rpt;*.conf;*.cfg;*.pk2;*.nct;*.key;*.psw. Также их интересует информация следующих типов: .*account.*|.*acct.*|.*domain.*|.*login.*|.*member.*|.*user.*|.*name|.*email|.*_id|id|uid|mn|mailaddress|.*nick.*|alias|codice|uin|sign-in|strCodUtente|.*pass.*|.*pw|pw.*|additional_info|.*secret.*|.*segreto.*

Вирус может красть как документы, так и перехватывать нажатия клавиш, искать и отправлять своим создателям ключи шифрования со скомпрометированных систем и подключенных к ним накопителей. Сейчас известно, что ProjectSauron способен атаковать все современные версии ОС Microsoft Windows. Другие типы этого ПО, предназначенные для работы в среде прочих ОС, пока не обнаружены.

ProjectSauron при попадании в систему разворачивает вредоносные модули внутри каталога криптографического программного обеспечения компании и маскирует собственные файлы среди уже существующих. Загруженный вирус оставался в системе в спящем режиме, ожидая команды активации. Впоследствии ProjectSauron занимался выявлением ключей шифрования, конфигурационных файлов и адресов серверов, которые осуществляют шифрование сообщений между узлами сети.

Эксперты из «Лаборатории Касперского» предполагают, что стоимость подготовки кибершпионского ПО такого уровня составляет многие миллионы долларов США. Операция же подобного уровня может быть реализована только при активной поддержке целого государства. Вероятнее всего, для создания ProjectSauron привлекались различные группы специалистов.

Сейчас ПО «Лаборатории Касперского» умеет определять признаки наличия в системе ProjectSauron, с детектированием образцов этого malware как ProjectSauron как HEUR:Trojan.Multi.Remsec.gen.

Полный отчет по анализу вируса и его работы доступен по этой ссылке (.pdf). англ.

Подстава украинских спецслужб

Комментарии к записи Подстава украинских спецслужб отключены

Под видом офицера-перебежчика украинские спецслужбы попытались внедрить в нашей стране своего агента. Провокацию помогали организовывать американские специалисты. Continue reading

Эстонским военным разрешат вести разведку за рубежом

  от комментариев Комментарии к записи Эстонским военным разрешат вести разведку за рубежом отключены

Оборонное ведомство Эстонии направило на согласование с другими ведомствами законопроект, расширяющий права военной разведки.
Читать полностью

Осужден предатель Родины

Городской суд Петербурга приговорил экс-сотрудника ОАО «51-й Центральный конструкторско-технологический институт судоремонта» (1-го ЦНИИ Минобороны) капитана первого ранга Владислава Никольского к 8 годам лишения свободы за шпионажа в пользу Украины и контрабанду. Читать полностью

Кибертеррор — оружие США

Группа немецких журналистов со ссылкой на порцию новых документов АНБ, раскрытых Сноуденом сообщили о целях, задачах и арсенале кибервойск США, призванных не только шпионить за противником, но и наносить удары по реальным объектам через их системы управления.

Однако, опасность кибертеррора все еще совершенно не известна широкой общественности в России, где за  «кибератакой» принято видеть лишь нападения на сайты противников, да вскрытие электронной переписки для «слива» ее на всеобщее обозрение. Между тем, опасность актов кибервойны  может привести к параличу управления страной, катастрофам на жизненно важных объектах, диверсиям на линиях снабжения, блокирования систем расчетов, связи и т.д., для поражения страны в реальной войне. Читать полностью

Сила в правде: суперагент Эймс

Сегодня, когда говорят о спецслужбах и их передовых отрядах,  об аппарате помощников, часто пытаются представить их как людей, «попавших» в сети и завербованных с помощью денег, девочек и компромата. Да, в работе спецслужб встречается и такое. Однако это касается вербовки врагов.

В  основе наши помощники работали из убеждений, считая нашу сторону более правильной в борьбе со злом, часто коварным и изощренным. Эти убеждения были и остаются главными. Часто и зарубежные агенты желали противодействовать силам, толкающим человечество в хаос и войну, нищету и бесправие.   Читать полностью

Операция КГБ по защите Эймса

Ветераны помнят, что в свое время КГБ СССР активно боролось с таким явлением как «инициативники» — когда советский гражданин, обладающий секретной информацией инициативно выходил на разведку противника с целью выдачи ей секретов. Это было крайне редко и все же такие отщепенцы могли нанести серьезный урон нашей обороноспособности, что и показывали конкретные дела разоблачения предателей.

Для борьбы с этим явлением КГБ предпринимало комплекс мер, в том числе, дезинформация с использованием подставленных под разведку ложных «инициативников» и компрометация этого канала в глазах иноразведок. Об одной из таких операций, преследующих наряду с этой целью и защиту нашего суперагента в ЦРУ рассказывает статья, опубликованная в журнале Национальная оборона. Читать полностью

Шпионский набор для кибервойны

Центр правительственной связи (GCHQ, Government Communications Headquarters) — спецслужба Великобритании, ответственная за ведение радиоэлектронной разведки и за обеспечение защиты информации органов правительства и армии — разработала широкий набор инструментов, чтобы полностью взять под контроль Интернет. Предлагаем взглянуть, что же спрятано у них в рукаве. Читать полностью

Надзор на экспорт

Агентство национальной безопасности США ставит жучки на маршрутизаторы, серверы и другое сетевое оборудование, поставляемые за рубеж.

Спустя год после начала шпионского скандала, начало которому положил экс-сотрудник АНБ Эдвард Сноуден, он получил продолжение. 13 мая британская газета The Guardian проанонсировала выход книги экс-журналиста издания Глена Гринвальда (Glenn Greenwald), чье имя плотно связано со Сноуденом. В июне 2013 года на страницах британского издания при его участии впервые появились разоблачения бывшего сотрудника разведки. Читать полностью