Cайт веб-разработчика, программиста Ruby on Rails ESV Corp. Екатеринбург, Москва, Санкт-Петербург, Первоуральск

Касперский разоблачил американских кибершпионов

Лаборатория Касперского обнаружила американский кибер-арсенал. Специалисты по кибербезопасности Лаборатории Касперского опубликовали отчет о деятельности самой опасной хакерской группировки в миреEquation Group.

В руки специалистов попали более неиспользуемые серверы, зарегистрированные еще 15-20 лет назад. Найденные там данные позволяют заключить, что хакерская группировка имеет непосредственное отношение к разведслужбе США.

Хакеры из Equation Group использовали эти серверы для управления точечными кибер-атаками. Фактически, была найдена целая платформа, долгосрочный проект, над которым работало не одно поколение разработчиков. Наиболее ранние файлы, найденные специалистами по кибербезопасности, относятся к 2001 году. При этом имена доменов, используемых злоумышленниками для управления вирусами, были зарегистрированы еще в 1996 году и работали вплоть до конца 2013 года.

Затем, хакеров предположительно что-то спугнуло, и они перестали пользоваться найденными серверами. Однако сигналы от зараженных компьютеров продолжали на них поступать. Злоумышленники побоялись закрывать серверы самостоятельно — возможно от того, что они были открыты на подставных лиц. К тому же, уже в ближайшее время серверы должны были закрыть за неуплату.

Так, за последний год Лаборатория Касперского выявила около 700 жертв Equation ("Уравнение") в 30 странах мира. Это правительственные и военные структуры, телекомы и СМИ, а также научно-исследовательские институты. Помимо них в Европе и США вирус атакует исламистских активистов, проникая в их компьютеры через тематические форумы.

В арсенале Equation были найдены весьма интересные программы. В их числе usb-червь Fanny — зловред, распространявшийся на флешках преимущественно в Пакистане. Он появился в 2008 году и уже тогда использовал две уязвимости нулевого дня, которые были открыты лишь двумя годами позже. В 2010 году этими же уязвимостями воспользовался вирус Stuxnet, направленный против иранской ядерной программы. Создание этого вируса часто приписывают АНБ.

"Fanny появился за год до Stuxnet, использовал те же самые эксплойты (фрагменты программного кода или последовательность команд, использующие уязвимости в программном обеспечении) и никто про это не знал. Все думали, что Stuxnet — это первые, кто начал это использовать. Оказалось, что нет. Люди, которые создавали Stuxnet, уже имели доступ к базе предыдущих, известных уязвимостей. И мы сейчас считаем, что не исключено, что Fanny выполнял роль разведывательного модуля, который собирал первоначальные данные, а потом уже на основе этой информации и делали Stuxnet, выпуская его по следам Fanny, там, где он уже прошелся", — считает главный антивирусный эксперт Лаборатории Касперского Александр Гостев.

Помимо этого, специалисты из Лаборатории Касперского наткнулись на модуль-установщик, автоматически перепрошивающий жесткий диск. Однажды попав на винчестер, вирус селится в нем навсегда.

"Если человек стал жертвой, он может переустановить операционную систему, отформатировать диск, но это все равно не поможет, так как этот код, живущий в прошивке и стартующий на уровне железа до загрузки вообще всего, будет получать управление, активироваться и соединяться с центром управления и загружать новые модули. Так что мы так честно и откровенно говорим, что никакого другого способа избавиться от этой штуки в вашем винчестере, кроме как взять и разбить его молотком, выбросить и больше никогда не пользоваться, нет", — отмечает Александр Гостев.

По данным Лаборатории Касперского, наибольшую активность группа проявляла в последние пять лет — с 2009 по 2014 годы. Однако с тех пор специалисты не обнаружили ни одного нового вируса, хотя до этого они создавались сотнями.

"Я не думаю, что они прекратили свою работу. Думаю, что они к этому моменту нашли что-то новое, что-то более радикальное, революционное. Может быть они целиком ушли в область заражения железа — подмены firmware или работы в режиме гипервизора", — предполагает Гостев.

В обнаруженных файлах специалисты также нашли текстовые строчки с названиями проектов. Среди них названия кейлоггеров: Strateshutter, UR и GROK. Эти же вирусы фигурируют в материалах Эдварда Сноудена, а их описание полностью соответствует найденным Лабораторией модулям. По этой причине пресса сразу же связала Equation с АНБ.

"На некоторых слайдах из NSA (АНБ) в каталоге тех инструментов, что они используют, есть названия этих же модулей, их функционал полностью им соответствует. Вот из этого и делается вывод, что вероятнее всего это выглядит, как... Если утка ходит, как утка, крякает, как утка — она утка. Но у нас таких данных нет, мы не можем сказать достоверно, что это творение этой страны или этой спецслужбы. Мы говорим, что у нас есть такие файлы, в которых есть такие строчки. Но прямых доказательств у нас, конечно же, нет", — подчеркивает логический ряд Александр Гостев.

vesti.ru