Малколм Нэнс - Заговор с целью взлома Америки

Важно выявлять и обмениваться информацией об угрозах по мере их появления и в настоящее время. Существуют также способы определения местоположения злоумышленников путем изучения доступных метаданных, обнаруженных в захваченных файлах, путем доступа к серверам C2 (командно-административный) и путем определения того, где данные маршрутизируются или извлекаются, путем изучения временных меток в метаданных. для определения времени сборки, а также путем изучения развертывания файлов и регулярных проверок, проводимых злоумышленниками. IP-адреса, обнаруженные на серверах C2, места, где файлы извлекаются для операций, и информация IP в электронных письмах могут помочь определить источник атаки.

Тесты InfoSec Institute показали, что серверы DNC имеют серьезные недостатки в безопасности, настраивая себя для взлома точно так же, как китайцы использовали кампании Обамы и Маккейна в 2008 году. Лучшей защитой от этих угроз является регулярное обновление безопасности на стороне клиента, поэтому разработчики могли оставаться в курсе последних эксплойтов и уязвимостей 0day. Иногда все эти усилия можно упустить из виду, не разделить или просто потерять. Вот как взломали DNC: сумма усилий по обмену информацией, сравнению и подготовке была похожа на небольшой ливень, и КИБЕР-МЕДВЕДЯМ удалось танцевать между каплями дождя.

Медведи приходят

В апреле 2016 года генеральный директор DNC Эми Дейси связалась с юристом DNC Майклом Сассманом. Дейси позвонил ему, чтобы сообщить, что ИТ-отдел DNC заметил странное поведение в их системе. Суссман был партнером Perkins Coie, фирмы, занимающейся киберпреступлениями. Сассман связался с Шоном Генри, президентом компании CrowdStrike, занимающейся кибербезопасностью, чтобы провести оценку и определить, было ли нарушение и насколько глубоко оно зашло.4 CrowdStrike обнаружил, что компьютеры DNC были взломаны и что данные об участниках, исследованиях оппозиции по кандидатам и были украдены даже ежедневные внутренние чаты и электронная почта. Вся система была профессионально скомпрометирована.

По оценке CrowdStrike, CrowdStrike взломал систему в 2015 году и собирал данные в течение года. Затем они обнаружили, что вторая группа, FANCY BEAR, взломала сервер в апреле 2016 года. Им удалось проникнуть через целевой фишинг, технику отправки ложного электронного письма жертве, которая впоследствии нажимала на ссылку в письме. подключение их к серверу хакера. В этом случае одна из целевых фишинговых атак использовала мошеннический сайт с намеренно неправильным написанием URL «misdepatrment.com». Линия должна была соединить цель с отделом ИСУ. Вместо этого пользователь отправлялся на идентичный, но поддельный сайт под названием wateringhole, который загружал на компьютер жертвы набор вредоносных программ. Вредоносная программа содержала дополнительные модули для широкого распространения компьютерного вируса по серверам DNC.

CrowdStrike обнаружил, что COZY BEAR использовал набор вредоносных программ, идентифицированный как «SeaDuke» (также называемый «SeaDaddy»), модуль бэкдора, который был установлен в файле «pagemgr.exe». 5 F-Secure отметила, что SeaDuke был написан на язык программирования Python, который означал, что CZY BEAR знал, что операционная система может быть основана на Linux.

Чтобы обойти системы безопасности, злоумышленники обновят свои модули или расположение своих серверов C2. В отчете говорится, что второй атакующей группой была APT28, FANCY BEAR. Он использовал модуль под названием «X-Agent», чтобы он мог отправлять удаленные команды, отслеживать каждое нажатие клавиши с помощью кейлоггера и передавать файлы через сервер C2. Группа также использовала вредоносное ПО «X-Tunnel», чтобы дать им возможность отправлять еще более удаленные команды на серверы. Для X-Tunnel было установлено значение 45.32.129.185, что свидетельствует о том, что он был создан специально для этого взлома, что дает ему возможность извлекать пароли и создавать свою собственную зашифрованную частную сеть для скрытой работы.

Несколько фирм по кибербезопасности изучили метаданные, связанные с инфекциями ATP28 FANCY BEAR. Они почти единогласно обнаружили, что несколько комбинаций факторов связывают эту группу с большой группой аналогичных инфекций с 2007 года. В частности, Интернет-протокол или IP-адрес, например 176.31.112.10, используемый для его командно-контрольного сервера (C2). , неоднократно встречается в других кампаниях по кибервойне6. Этот IP-адрес был связан с взломами в Бундестаге Германии, DNC и DCCC. Кроме того, оба IP-адреса связаны с атаками watering hole и серверами C2 на взломах DNC и DCCC, раскрывая их прошлые связи. Другой ключевой показатель - часовой пояс, связанный с компиляцией вредоносного ПО. Российские злоумышленники, такие как APT28, чаще всего работают в часовом поясе UTC + 4. При сборе данных о взломе несколько фирм отметили, что операционная система, используемая для разработки вредоносного ПО, на некоторых этапах разработки была настроена на кириллицу, русский язык, но не во всех.

Фирмы также отметили связь России с вредоносным ПО APT29 COZY BEAR, также называемым «SeaDaddy» или «SeaDuke», поскольку оно уже было тщательно отслежено несколькими фирмами по кибербезопасности и связано с российской разведкой. Как и в случае с APT28, индикаторы, встроенные в метаданные, указали на Россию как на источник этого вредоносного ПО. Это также включало IP-адреса серверов C2, повторно использованные из прошлых операций, которые, как известно, были русскими. Оперативное время составления модуля и поставленные цели были выгодны только российским интересам.

Еще одним показателем участия профессиональных спецслужб было то, как они выполняли операции OpSec или Operational Security. OpSec - это методика, которую операторы использовали, чтобы избежать обнаружения и замести следы. CrowdStrike был впечатлен и назвал его «превосходным». Они отметили, что продемонстрировали «живущий с земли» подход к обходу безопасности. Фактически, всего за год до того, как взлом DNC был раскрыт, фирма нашла COSY BEAR ответственным за взломы Белого дома, Государственного департамента и Объединенного комитета начальников штабов США.

«Мы не обнаружили сотрудничества между двумя актерами или даже осведомленности друг о друге», - написал Дмитрий Альперович в своем блоге. «Вместо этого мы наблюдали, как две российские шпионские группы взламывают одни и те же системы и по отдельности занимаются кражей идентичных учетных данных» 7. Альперович писал, что это «не редкость» в России, где основные внутренние и иностранные спецслужбы - ФСБ и SVR соответственно - имеют конкурентные и даже враждебные отношения.

Хакеры часто очищали журналы, в которых раскрывалась их деятельность, или сбрасывали временные метки файлов, так что казалось, что они никогда не открывались и не подделывались.8 Однако некоторые дополнительные навигационные цепочки привели многие фирмы кибербезопасности и спецслужбы к выводу, что это было работа CYBER BEARS или одного из наемных хакерских отрядов.