Угрозы кибершпионажа

  от комментариев Комментарии к записи Угрозы кибершпионажа отключены

По сообщению Лабоработии Касперского ProjectSauron: кибершпионское ПО, взламывающее зашифрованные каналы связи госорганизаций

РrojectSauron пять лет маскировался под фильтр паролей для систем Windows, оставаясь незамеченным

август 2016: «Лаборатория Касперского» обнаружила мощный специализированный вирус, работавший незамеченным в сетях разных госорганизаций с 2011 года. Действия вируса были направлены на взлом зашифрованных каналов связи скомпрометированных систем. Специалисты по информационной безопасности определили наличие этого malware в сетях более 30 организаций разных стран.

Malware классифицируется, как ПО для кибершпионажа класса APT (Advanced Persistent Threat). Этой классификации соответствуют только самые сложные и длительные атаки кибершпионского ПО. APT malware являются также Equation, Regin, Duqu и Careto. ProjectSauron (кодовое название Strider) долго оставался незамеченным благодаря тому, что он находился в системе в качестве исполняемой библиотеки, загруженной в память контроллера домена в сети под управлением Microsoft Windows.

Скомпрометированная система считала библиотеку фильтром паролей, в результате чего ProjectSauron получал доступ к шифрованным данным в открытом виде. Разработчиком этого ПО, по мнению специалистов, обнаруживших его, является неизвестная кибергруппировка, которая несет ответственность за атаки на ключевые государственные предприятия в разных странах (РФ, Иран, Руанда). По мнению экспертов, стран и организаций, которые пострадали от вируса, гораздо больше, то, что известно — это только вершина айсберга. Основными объектами атак стали правительственные структуры, научно-исследовательские центры, центры вооруженных сил, телекоммуникационные компании, финансовые организации.

Основные характеристики ProjectSauron:

Это не простой вирус, а модульная платформа, которая разработана для кибершпионажа;
Платформа и ее модули используют продвинутые алгоритмы шифрования, включая RC6, RC5, RC4, AES, Salsa20;
Для платформы разработано более 50 модулей-плагинов, расширяющих возможность центрального элемента;
Создатели ProjectSauron при помощи этого ПО похищают ключи шифрования, файлы конфигурации и IP-адреса главных серверов сети, которые имеют отношения к защите информации на предприятии или в организации;
Злоумышленники могут похищать данные даже из сетей, не подключенных к интернету. Это делается при помощи специальных USB-носителей. Похищенные данные размещаются в скрытой области, которая недоступна программным средствам ОС;
ProjectSauron работает, по крайней мере, с 2011 года.

Вирус очень сложно обнаружить. Дело в том, что платформа модифицируется для каждой новой атаки. Сервера, доменные имена, IP адреса, которые прописывают злоумышленники для каждого экземпляра модифицированной платформы уникальны. Уникальны и подключаемые модули. У них неповторяющиеся названия, размеры файлов и прочие характеристики. Временные метки модулей соответствуют характеристикам системы, в которой вирус должен работать. Модули предназначены для самых разных целей, включая кражу документов, кейлоггинг, кражу ключей шифрования.

В сеть организации ProjectSauron внедряется тоже каждый раз по-разному. В ряде случаев злоумышленники изменили скрипты, которые используют администраторы сети предприятия для обновления легального ПО на компьютерах в локальной сетке. Загрузчик ProjectSauron очень небольшого размера, при установке на ПК он запускается с правами администратора, соединяется с уникальным IP адресом и загружает основной элемент ПО. Как уже говорилось выше, для работы платформы и ее модулей используется обширная сеть доменов и серверов, причем каждый элемент используется для определенной жертвы.

Сейчас специалисты по информационной безопасности обнаружили 28 доменов, привязанных к 11 IP адресам в США и странах Европы. Malware обладает развитыми возможностями сетевой коммуникации на основе стека наиболее распространных протоколов ICMP, UDP, TCP, DNS, SMTP и HTTP. Платформа использует протокол DNS для отправки на удаленный сервер в режиме реального времени данных по текущим операциям.

Для того, чтобы ProjectSauron оставался незамеченным продолжительное время, его разработчики сделали очень многое. Это, например, использование разных командно-контрольных серверов для разных экземпляров ПО. Уникальные домены и IP адреса, использование различных криптографических алгоритмов в разных случаях, работа с обычными протоколами и форматами сообщений. Признаков повторного использования доменов и серверов нет. Для каждой атакованной цели использовался уникальный алгоритм, что делало невозможным обнаружение других копий ПО после обнаружения одной из них по определенному индикатору. Единственный вариант идентификации этого ПО — структурные схожести кода.

В первую очередь, злоумышленников интересовала информация, которая относится к нестандартному криптографическому ПО. Такое программное обеспечение обычно создается для организаций, которым необходимо защищать свои каналы связи, включая общение голосом, e-mail, обмен документами. Известны форматы файлов, которые больше других интересуют создателей вируса. Это *.txt;*.doc;*.docx;*.ppt;*.pptx;*.xls;*.xlsx;*.vsd;*.wab;*.pdf;*.dst;*.ppk;*.rsa;*.rar;*.one;*.rtf;~WPL*.tmp;*.FTS;*.rpt;*.conf;*.cfg;*.pk2;*.nct;*.key;*.psw. Также их интересует информация следующих типов: .*account.*|.*acct.*|.*domain.*|.*login.*|.*member.*|.*user.*|.*name|.*email|.*_id|id|uid|mn|mailaddress|.*nick.*|alias|codice|uin|sign-in|strCodUtente|.*pass.*|.*pw|pw.*|additional_info|.*secret.*|.*segreto.*

Вирус может красть как документы, так и перехватывать нажатия клавиш, искать и отправлять своим создателям ключи шифрования со скомпрометированных систем и подключенных к ним накопителей. Сейчас известно, что ProjectSauron способен атаковать все современные версии ОС Microsoft Windows. Другие типы этого ПО, предназначенные для работы в среде прочих ОС, пока не обнаружены.

ProjectSauron при попадании в систему разворачивает вредоносные модули внутри каталога криптографического программного обеспечения компании и маскирует собственные файлы среди уже существующих. Загруженный вирус оставался в системе в спящем режиме, ожидая команды активации. Впоследствии ProjectSauron занимался выявлением ключей шифрования, конфигурационных файлов и адресов серверов, которые осуществляют шифрование сообщений между узлами сети.

Эксперты из «Лаборатории Касперского» предполагают, что стоимость подготовки кибершпионского ПО такого уровня составляет многие миллионы долларов США. Операция же подобного уровня может быть реализована только при активной поддержке целого государства. Вероятнее всего, для создания ProjectSauron привлекались различные группы специалистов.

Сейчас ПО «Лаборатории Касперского» умеет определять признаки наличия в системе ProjectSauron, с детектированием образцов этого malware как ProjectSauron как HEUR:Trojan.Multi.Remsec.gen.

Полный отчет по анализу вируса и его работы доступен по этой ссылке (.pdf). англ.

Подстава украинских спецслужб

Комментарии к записи Подстава украинских спецслужб отключены

Под видом офицера-перебежчика украинские спецслужбы попытались внедрить в нашей стране своего агента. Провокацию помогали организовывать американские специалисты. Continue reading

Эстонским военным разрешат вести разведку за рубежом

  от комментариев Комментарии к записи Эстонским военным разрешат вести разведку за рубежом отключены

Оборонное ведомство Эстонии направило на согласование с другими ведомствами законопроект, расширяющий права военной разведки.
Читать полностью

Осужден предатель Родины

Городской суд Петербурга приговорил экс-сотрудника ОАО “51-й Центральный конструкторско-технологический институт судоремонта” (1-го ЦНИИ Минобороны) капитана первого ранга Владислава Никольского к 8 годам лишения свободы за шпионажа в пользу Украины и контрабанду. Читать полностью

Кибертеррор – оружие США

Группа немецких журналистов со ссылкой на порцию новых документов АНБ, раскрытых Сноуденом сообщили о целях, задачах и арсенале кибервойск США, призванных не только шпионить за противником, но и наносить удары по реальным объектам через их системы управления.

Однако, опасность кибертеррора все еще совершенно не известна широкой общественности в России, где за  “кибератакой” принято видеть лишь нападения на сайты противников, да вскрытие электронной переписки для “слива” ее на всеобщее обозрение. Между тем, опасность актов кибервойны  может привести к параличу управления страной, катастрофам на жизненно важных объектах, диверсиям на линиях снабжения, блокирования систем расчетов, связи и т.д., для поражения страны в реальной войне. Читать полностью

Сила в правде: суперагент Эймс

Сегодня, когда говорят о спецслужбах и их передовых отрядах,  об аппарате помощников, часто пытаются представить их как людей, “попавших” в сети и завербованных с помощью денег, девочек и компромата. Да, в работе спецслужб встречается и такое. Однако это касается вербовки врагов.

В  основе наши помощники работали из убеждений, считая нашу сторону более правильной в борьбе со злом, часто коварным и изощренным. Эти убеждения были и остаются главными. Часто и зарубежные агенты желали противодействовать силам, толкающим человечество в хаос и войну, нищету и бесправие.   Читать полностью

Операция КГБ по защите Эймса

Ветераны помнят, что в свое время КГБ СССР активно боролось с таким явлением как “инициативники” – когда советский гражданин, обладающий секретной информацией инициативно выходил на разведку противника с целью выдачи ей секретов. Это было крайне редко и все же такие отщепенцы могли нанести серьезный урон нашей обороноспособности, что и показывали конкретные дела разоблачения предателей.

Для борьбы с этим явлением КГБ предпринимало комплекс мер, в том числе, дезинформация с использованием подставленных под разведку ложных “инициативников” и компрометация этого канала в глазах иноразведок. Об одной из таких операций, преследующих наряду с этой целью и защиту нашего суперагента в ЦРУ рассказывает статья, опубликованная в журнале Национальная оборона. Читать полностью

Шпионский набор для кибервойны

Центр правительственной связи (GCHQ, Government Communications Headquarters) — спецслужба Великобритании, ответственная за ведение радиоэлектронной разведки и за обеспечение защиты информации органов правительства и армии — разработала широкий набор инструментов, чтобы полностью взять под контроль Интернет. Предлагаем взглянуть, что же спрятано у них в рукаве. Читать полностью

Надзор на экспорт

Агентство национальной безопасности США ставит жучки на маршрутизаторы, серверы и другое сетевое оборудование, поставляемые за рубеж.

Спустя год после начала шпионского скандала, начало которому положил экс-сотрудник АНБ Эдвард Сноуден, он получил продолжение. 13 мая британская газета The Guardian проанонсировала выход книги экс-журналиста издания Глена Гринвальда (Glenn Greenwald), чье имя плотно связано со Сноуденом. В июне 2013 года на страницах британского издания при его участии впервые появились разоблачения бывшего сотрудника разведки. Читать полностью

Кибершпионаж АНБ

Летом 2013 года российские, американские и британские СМИ начали публиковать разоблачительные статьи о злоупотреблениях американской разведки на основе документов, полученных от экс-сотрудника спецслужб США Эдварда Сноудена. Все больше данных становится известно широкой общественности о масштабах киберразведки.

Публикации вызвали резкую критику в адрес АНБ со стороны американских правозащитников, заявивших о нарушении спецслужбами права на неприкосновенность частной жизни, лидеров европейских стран, которых как выяснилось прослушивали их союзники, но самое главное, заставили контрразведывательные службы активизировать усилия по противодействию электронной разведке США. Читать полностью

Облачное будущее по-американски


В марте 2013 года истек срок, отведенный Джеймсом Клаппером на формирование и начало эксплуатации современной информационной инфраструктуры разведывательного сообщества США, полные возможности которой будут достигнуты к 2018 году. Ставка сделана на технологии, получившие наименование «Облачные вычисления». По мнению специалистов, формирование единой распределенной облачной вычислительной среды позволит добиться экономии бюджетных средств и обеспечит новый уровень информационной безопасности. На что готовы американцы в погоне за информационным превосходством? Чем можем ответить мы?

Предлагаем Вашему вниманию статью, посвященную внедрению новых технологий в деятельность спецслужб США. Читать полностью

Досье: Осужденные предатели Родины

Досье на шпионов

Это не полный, но обширный список изменников Родины, осужденных за измену Родине в форме шпионажа. Не все изменники, представленные здесь были пойманы с помощью ВКР, однако там, где предатель был военнослужащим в его разоблачении, как правило, принимала участие и военная контрразведка.
Под госизменой, согласно УК РФ, понимают совершенные российским гражданином шпионаж, выдачу государственной тайны или другую помощь иностранному государству, иностранной организации или их представителям в ущерб внешней безопасности РФ Читать полностью

Крот в СВР

В 2010 году в Америке были разоблачены 10 российских разведчиков СВР России. Их выдал полковник СВР Александр Потеев, заочно приговорённый Московским окружным военным судом к 25 годам заключения. Полковник трудился в управлении “С” (“Спецопераций”) — самом засекреченном подразделении СВР. Доступ к информации в “С” имеют всего несколько человек, даже при докладах руководству всей службы имена разведчиков, как правило, не называются. То есть имена российских нелегалов были известны начальнику управления “С”, его заму Потееву, а также шифровальщикам и иногда кураторам разведчиков в российских резидентурах в США.
Читать полностью

Операции разведки США против России

Сегодня снимается завеса секретности с некоторых операций, которые проводила разведка США против Российской Федерации.NSA Читать полностью