Малколм Нэнс - Заговор с целью взлома Америки

Операции по сбору киберразведки начались не в двадцать первом веке; они предшествовали возвышению Путина. В период, когда Владимир Путин только принимал бразды правления бывшим КГБ под руководством Бориса Ельцина, АНБ и Группа реагирования на информационные операции министерства обороны отметили серию изощренных компьютерных проникновений, доступ к которым осуществлялся через серверы исследовательского университета. Хакеры крали конфиденциальную информацию, но что примечательно, так это кажущаяся случайная природа взломов и особый характер конфиденциальной информации. Автор Фред Каплан подробно описал этот взлом, названный MOONLIGHT MAZE, и многие другие в своей блестящей книге «Темная территория: Тайная история кибервойны». Взлом был обнаружен в России после того, как расшифровка обнаружила, что хакер использовал кириллицу, русский язык, клавиатуру. Похищенные секретные материалы о малоизвестных научных программах идеально соответствовали темам обсуждения на недавних конференциях в США с участием российских ученых. Русский посетит конференцию, поймет, что в ней больше секретов, и поручит КИБЕР-МЕДВЕДЯм украсть исследования. Российская академия наук в Москве направила запросы о взломе, а КГБ, ныне ФСБ, приобрело 5,5 ГБ секретных материалов6.

Россия не почила на лаврах кражи американских научных данных. На протяжении более десяти лет хакеры-добровольцы и киберпреступники вели ограниченные, а иногда и полномасштабные кибервойны против своих соседей в Европе. В мире кибероружия идет гонка вооружений, поскольку национальные государства и хакеры-фрилансеры стремятся раздвинуть границы технологий. К 2016 году история атак России показала умение уничтожать врагов кибератаками.

Первые шаги в кибер-кампаниях

Первым шагом является создание целевой организации или отдельного лица. Во-вторых, выяснить, как и где взломать ИТ-системы цели с минимальными усилиями и без обнаружения. Чаще всего это начинается с изучения общедоступных списков сотрудников компании, организации или государственного учреждения. Далее следует поиск на сайтах социальных сетей, таких как Facebook, LinkedIn, Twitter, Google, или даже просто в агентстве целевой аудитории7.

Цель или цели подвергаются кампании целевого фишинга по электронной почте. Spear-phishing - это метод, который пытается обмануть цель, заставив ее щелкать ссылки или открывать вложения в сообщениях электронной почты, которые цель ожидает получить. Например, если ожидается, что сотрудник Государственного департамента примет участие в конференции по программе ООН по делам беженцев, он может получить электронное письмо с заголовком «Расписание для комитета по делам беженцев» с прикрепленным документом или ссылкой. Если это ссылка, а не вложение, цель может взглянуть на ссылку перед тем, как щелкнуть, но разумно выглядящая ссылка приведет к поддельному сайту, который только что вернул вредоносное ПО обратно на свой компьютер. После того, как это вредоносное ПО установлено, оно может выполнять ряд действий в зависимости от цели его кодирования. Первая функция, которую он может выполнять, - это нарушение.

Система противодействия APT отслеживает не только сами наборы вредоносных программ, но и источник происхождения и связанные ресурсы, включая IP-адреса удаленных командно-управляющих серверов (C2) или, в некоторых случаях, метаданные, найденные в скомпилированных инструментах, используемых субъекты угроз. Кроме того, характер того, что воруют хакеры, может помочь выявить дальнейшие различия в группе, стоящей за заражением вредоносным ПО. Например, хакеры из национальных государств, действующие от имени России и Китая, обычно не занимаются финансовыми кражами, а сосредоточиваются на целях шпионажа, даже если эта цель является частным предприятием.

В случае атак на DNC компания CrowdStrike выявила двух участников в отдельных взломах на используемых серверах. Обнаруженные двое были идентифицированы CrowdStrike как «FancyBear» и «CozyBear», но в других местах у них есть другие имена в зависимости от охранной фирмы, которая сталкивается с их деятельностью. FancyBear также широко известен как APT28 или Sofacy. CozyBear широко известен как APT29.

APT28 — FANCY BEAR Российская государственная безопасность / тайная внешняя разведка (ФСБ / СВР)

APT28 - это группа, у которой много названий, в зависимости от того, кто их обнаружил. Чтобы узнать характер этой группы, полезно посмотреть на все рассмотренные случаи по диапазону имен, которые получает группа. Наряду с названием группы разные фирмы также называют вредоносное ПО, и для одного и того же набора инструментов могут возникать конфликты имен. FireEye назвал их APT28, CrowdStrike назвал их FancyBear, Trend Micro назвал их Operation Pawn Storm, Microsoft Security Intelligence Report назвал их STRONTIUM, 8 Secure Works пометил их как TG-4127. Их также называли Sednit (от Eset), Tsar Team (iSight) и Sofacy Group. Несмотря на эти названия, методология и набор инструментов различны и демонстрируют сложность развертывания, которая действительно квалифицируется как сложная постоянная угроза; он считается одной из самых серьезных угроз в списке известных APT.

Органы безопасности впервые обнаружили группу в 2007 году. Их атаки охватили ряд стран Восточной Европы, включая Украину, Грузию, Польшу, на юге в Пакистане и далее на запад в США и Францию. Они были связаны с ГРУ. Они даже были связаны с нападениями на российскую девичью группу Pussy Riot.9

Typosquatters и лейки

Многие хакеры создают сайты, посвященные типосквоттингу. Это когда ложный веб-сайт «скваттера» устанавливается на фактическом местоположении известного веб-сайта или где они покупают URL-адрес, который почти идентичен хорошо известному веб-сайту, но где встречаются «опечатки» с толстыми пальцами (например, Microsift.com, Amaxon .com). Отсюда и «Typosquatter». Другой метод сбора информации о логине, пароле или финансовой информации от целевой жертвы - установка или внедрение вредоносных вирусов на целевой сайт. Многие typosquatters - это сайты Watering Hole - сайты-приманки или мошеннические сайты, на которые загружается вредоносное ПО и которые используются для заманивания целей с помощью целевых фишинговых писем для загрузки полезной нагрузки. Чтобы обмануть пользователей компьютеров и заставить их переходить по этим ссылкам, сайт должен выглядеть релевантным или идентичным рабочим интересам цели и содержать самую свежую информацию, будь то теракт в Ираке, упомянутый в электронном письме в посольство Ватикана. в Ираке или информация о расписании и координации, отправленная в Венгрию. Во многих случаях вредоносный домен очень похож на реальный домен.

Компания Trend Micro изучила четыре случая атак «Операция Pawn Storm» и нашла эти примеры.

Хакеры отправили серию электронных писем в Министерство обороны Венгрии, якобы приглашая их на крупнейшую в мире оборонную выставку Eurosatory, проводимую каждый год в Париже. В электронном письме хакера были ссылки на «eurosatory2014.com». Ссылка вела на ложный сайт, похитивший информацию пользователя. Таким образом, метод состоит в том, чтобы обмануть сотрудника, заставив его думать, что веб-сайт является законным, если он уже посещал конференцию раньше или знает о предстоящем участии10.