3300
Крым: русская киберстратегия войны
— Технологии&Авто
Напряжение между Россией и Крымом отразилась в аналогичном конфликте в киберпространстве. Решение российских властей запустило ряд событий в киберпространство: государственные силы кибербезопасности, группы хактивистов и киберпреступники начали действия против «врага».
Специалисты по безопасности считают, что задача российских военных – изолировать регион. Возможно, ради этого в порту Севастополя стали на якорь корабли ВМФ России: на борту у них есть оборудование для глушения радиосвязи. В районе Севастополя станции связи ВМС Украины уже пострадали от саботажа. Крымский полуостров страдает от многочисленных DOS-атак, а ОАО «Укртелеком» сообщил, что «неизвестные лица захватили несколько узлов связи в Крыму» и связь между полуостровом и остальной Украиной ухудшилась в результате «действий неизвестных, которые физически повредили несколько оптоволоконных магистральных кабелей».
Атаки произошли и в сети, на целый ряд веб-сайтов. Два правительственных веб-сайта в Крыму не работают, но неизвестно, «положили» их хакеры из-за границы, или же представители местной власти.
Военные эксперты не сомневаются, что это – прелюдия к решительной операции. В частности, Россия применяла эту же стратегию в 2008 году, когда изолировала Грузию, взяв под контроль правительственные веб-сайты и вмешавшись в работу Интернета в этой стране, которая не имела собственной точки обмена Интернет-трафиком (IXP) и где почти 70% Интернет-трафика проходило через ИХР иностранных государств – в том числе и России.
Кажется, в Украине в Крыму только одна точка обмена Интернет-трафиком, поэтому российским службам кибербезопасности без проблем удалось изолировать целый регион.
В контексте информационной войны основные мишени – это ключевые объекты инфраструктуры страны. Следует учесть, что российская власть выделяет огромные средства на улучшение своих Интернет-мощностей. Вероятно, что в случае возможного перехода в стремительное наступление Москва применит также и кибероружие для дестабилизации оборонных структур в регионе.
UROBUROS И ПЛАТФОРМА SNAKE
Недавно специалисты немецкой компании G Data опубликовали интересный анализ руткита Uroburos, который считается компонентом российской программы кибервооружения. Uroburos считают одним из новейших руткитов, который действует еще с 2011 года. Он используется для заражения сетей, принадлежащих мишеням высокого уровня, и кражи данных путем установления вредоносных P2P сетей. Объектом атаки становятся как 32-битные, так и 64-битные системы Microsoft Windows.
Немецкая ИБ-компания G Data провела интересное исследование злонамеренного ПО, чтобы выявить его авторов. Вывод: Uroburos, без сомнения, имеет российское происхождение.
ЧТО ЖЕ ТАКОЕ UROBUROS?
«Uroburos – это руткит, состоящий из двух файлов: драйвера и закодированной виртуальной файловой системы. Этот руткит может взять под контроль зараженный компьютер, выполнять произвольные команды и скрывать системную деятельность. Он может воровать информацию (особенно файлы) и может также перехватывать сетевой трафик. Его модульная структура дает возможность легко добавлять новые функции, что делает Uroburos не только очень сложным, но и чрезвычайно гибким и опасным. Комплексная структура его драйвера спроектирована так, что обнаружить его очень трудно», – говорится в анализе G Data.
Руткит Uroburos демонстрирует все характеристики сверхсложного дизайна, типичного для организованной государством операции. Ему присуща необычная сложность, а модульная структура злонамеренного ПО, без сомнения, была создана в России, о чем свидетельствуют следы, оставленные авторами в исходном коде.
Особенностью этого злонамеренного ПО является то, что оно проверяет компьютер-жертву на присутствие другой программы, Agent.btz (Buckshot Yankee) – червя, который успешно заразил военные сети США 2008 года и привел к запрету использования USB и съемных носителей в США. Если Uroburos обнаруживает червя Agent.btz, то не запускается.
«Вредоносное (злонамеренное ПО) проникло на обычном флеш-накопителе, который позволил ему попасть в секретную систему и начать поиск документов, которые можно украсть. Далее оно распространилось на другие флешки. Пентагон считает этот инцидент, обнаруженный в октябре 2008 года, серьезным ударом, нанесенным по засекреченным компьютерным системам американской армии».
По словам экспертов из G Data, Uroburos – это «скелет», который базируется на разведывательной деятельности. Без сомнений, его создание требовало огромных финансовых вливаний, и очевидно, что разработчики этого проекта продолжают совершенствовать его.
«Отправив команду на зараженный компьютер, который имеет подключение к сети Интернет, злонамеренное ПО может дальше заражать машины в этой [локальной] сети – даже те, которые не имеют выхода в Интернет. Uroburos может шпионить за каждой зараженной машиной и отсылает полученную информацию «авторам» атаки, передавая полученные данные через зараженные машины на компьютер с выходом в Интернет».
Руткит Uroburos был создан для заражения сетей огромных организаций, даже если они имеют физически изолированные подсети. Подобные агенты – это тайное оружие для поражения особо важных целей в случае атаки. Известно, что российское правительство много инвестировало в разработку кибероружия и улучшения компьютерных мощностей своих силовых структур.
Всего через несколько дней после обнаружения руткита Uroburos консалтинговая фирма BAE Systems Applied Intelligence получила доказательства ведения русской кампании с кибершпионажем (кодовое название SNAKE), которая долгое время – не менее восьми лет – оставалась незамеченной.
В ходе операции Snake нападавшие проникали в системы Windows с высокими степенями защиты в разных странах, но самым интересным оказалось то, что недавно обнаруженный руткит Uroburos был лишь одним компонентом общей кампании SNAKE.
«Кибершпигунська операция з руткитом Snake установлена. Образец, созданный в январе 2006 года, свидетельствует, что деятельность началась, очевидно, еще по крайней мере в 2005 году. Это программа высокого уровня, в которой использованы сложные техники для преодоления большинства средств защиты и предоставления нападающим возможности скрывать коммуникационные каналы. Следы, оставленные авторами под никами «vlad» и «gilg», оставляют соблазнительные подсказки, ведущие к причастных к этому лиц», – сказано в отчете.
Выявление операции Snake подтверждает гипотезу, сделанную экспертами компании G Data. Все ИБ-сообщество столкнулось с крупномасштабной кампанией, организованной структурами из России, а уровень агентов указывает на причастность российского правительства.
В рамках операции Snake нападавшие применяли многочисленные разнообразные единицы злонамеренного ПО. Сотрудники западных разведывательных служб нашли еще одно злонамеренное ПО, которое назвали Turla, оно заражало правительственные сети по всему миру. Диаграмма внизу показывает, что больше всего от распространения этого злонамеренного ПО пострадали украинские объекты.
Исследователи установили связь злонамеренного ПО Turla с популярной кибершпионской кампанией Red October, выявленной Лабораторией Касперского больше года назад.
«Это – очень сложное вредоносное ПО, которое связано с другими российскими разработками, использует кодировку и нацелено против западных держав. Там везде полно русских следов», – заявил Джим Льюис, бывший сотрудник американской дипломатической службы.
В операции Snake применены изящные технологии для заражения систем Windows. Обходя защиту, это ПО может скрываться в Интернет-трафике жертвы.
«Сокрытие нескольких DNS/HTTP-запросов в плотном потоке сетевого трафика позволяет руткиту Snake оставаться незамеченным».
Присутствие разведывательного компонента в структуре Snake свидетельствует о существовании арсенала инструментов для инфильтрации.
«Как показано, тайные команды позволяют шпионской программе Snake обеспечить удаленным нападающим полный удаленный доступ к взломанной системе. Способность «впадать в спячку» и оставаться неактивной несколько дней подряд делает ее обнаружение в этот период очень тяжелым».
В прошлом году российское правительство объявило о создании целого подразделения по информационной войне в составе вооруженных сил РФ. Его цель – улучшить кибермощности страны, точно так же, как это делают многие другие государства. Официальные источники в военном ведомстве сообщают, что бюджет этого подразделения на 2013 год составил 2,3 миллиарда рублей ($70 млн).
«Киберпространство становится нашим приоритетом… решение создать команду кибербезопасности и новое подразделение вооруженных сил уже принято… Мы работаем над общей концепцией программы разработок в этой сфере… Мы уже рассмотрели 700 инновационных проектов», – заявил Андрей Григорьев, председатель созданного Фонда перспективных исследований, в интервью радиостанции «Эхо Москвы».
Григорьев объявил, что новое подразделение будет охватывать три главные военные сферы: исследование и разработки, вооружение и снаряжение будущего и кибервойны.
ОГЛЯНУТЬСЯ НА ПРОШЛОЕ, ЧТОБЫ ПОНЯТЬ НАСТОЯЩЕЕ И ПРЕДВИДЕТЬ БУДУЩЕЕ
Недавние нападения имеют много общего с атаками перед вторжением в Грузию в 2008 году. Тогда российские силовики также развязали информационную войну против противников, чтобы подготовиться к стремительному наступлению.
Грузия и эксперты по безопасности обвиняли российских государственных хакеров во взломе правительственных и главных коммерческих сайтов Грузии, что стало частью информационной военной кампании параллельно с военными действиями России в Южной Осетии. Основные правительственные сайты были взломаны, они не работали, включая официальный сайт грузинского президента Михеила Саакашвили, а также сайтами Министерства иностранных дел, Министерства обороны, сайта центрального правительства и различных коммерческих веб-сайтов, которые были выведены из строя за предыдущую неделю.
Хакеры из группы «Юго-Осетинская команда хакеров» осквернили сайт парламента Грузии, разместив там коллаж с изображениями Саакашвили и Адольфа Гитлера. Эксперт в области кибербезопасности Джарты Армин, самій профессиональный исследователь истории с группой российских киберпреступников, считает, что атака на правительство Грузии связана с деятельностью преступной киберорганизации Russian Business Network (RBN), которая имеет связь с российской властью.
Армин обнаружил, что грузинские интернет-серверы контролировались иностранными хакерами, а интернет-трафик был полностью переведен на московские серверы. Эксперты по безопасности заявляют, что веб-сайты Грузии подверглись мощным DDoS-атакам, которые перекрыли мишеням Интернет.
Атаки направлены не только на правительственные сайты. Мишенью российской стратегии также становились любые коммуникационные каналы, даже основной форум грузинских хакеров, несмотря на то, что грузинские хакеры могли организовать структурированный ответ. Один из самых популярных хакерских форумов Грузии лежал больше суток и подвергался непрерывным DDoS-атакам.
Еще одной особенностью атак на Грузию была доступность (на основном хакерском форуме России) открытого списка имейл-адресов грузинских политиков. Хакеры организовали массивную спам-кампанию и фишинг-атаки на политиков. Эксперты по безопасности и военные стратеги считают, что этот список распространили российские военные, чтобы подбить хакеров скоординировать серию атак против правительства.
ЭРА ХАКТИВИСТОВ
Крым – это поле битвы между Украиной и Россией. И как всегда, спор отдается и в киберпространстве, где государства ведут все больше тайных операций. В диспутах в киберпространстве могут также быть задействованы третьи стороны, как «хактивисты», или кибернаемники. Или, в худшем сценарии – другие государства, заинтересованные в разжигании конфликта. Также нельзя игнорировать возможность проведения операций психологического давления на противника со стороны иностранных правительств, заинтересованных в дестабилизации региона или глобального дипломатического сценария. Иностранные игроки могли распространять пропагандистские месседжи на главных форумах и в социальных сетях , влияя на стратегию группы хактивистов и настроения населения.
Многие российские и украинские URL-адресов уже подверглись атакам в ходе кампаний #OpUkraine и #OpRussia, запущенных, как всегда, из главных социальных сетей ВК, «Одноклассники» и Facebook.
Украинские активисты начинают хакерскую кампанию против российских веб-сайтов. Украинский сайт «Бимба», который называет себя «кибероружие Майдана», проводит в онлайне набор добровольцев, желающих принять участие в атаках против России.
«В социальной сети ВК группа #опПокращення // #OpUkraine, которую связывают с Anonymous, загрузила на сайт pastebin.com свойпейст с антироссийским обращением и ссылкой на загруженные файлы внутреннего SQL с Crownservice.ru (где публикуется информация о тендерах для государственных заказов), в файле под названием «Putin Smack Down Saturday» («Суббота, решающий удар по Путину»)», – сказано в интересном посте, опубликованном в блоге SenseCy.
Проанализировав явление «хактивизма», можно четко увидеть, что почти все операции проводятся в поддержку украинского населения. Группы вроде Anonymous выбрали сторону, на которой они борются – и серия назойливых атак ударила по российским мишеням. Взломан был и веб-сайт главного российского канала новостей Russia Today ( RT.com), где неизвестные хакеры сделали дефейс главной страницы.
Медиа-агентство подтвердило атаку в твит-сообщении со своего официального профиля:
«Сайт RT взломан, мы работаем над решением этой проблемы».
Эти модификации на сайте Russia Today было видно почти 30 минут. Один из измененных заголовков выглядел так:
«Лидер нацистов-националистов объявил срочный розыск».
Хотя все еще неизвестно, кто скрывается за хакерами, недавно популярная группа Anonymous пригласила своих последователей подключиться к хакерской операции под названием #OpRussia в поддержку украинских протестующих. В рамках кампании #OpRussia группа хактивистов сломала сотни российских веб-сайтов. Атака на прокремлевскую службу новостей состоялась после одобрения парламентом России применения военной силы в украинском Крыму.
Еще одну важную атаку провела хакерская группировка под названием «Русское кибер-командование» (Russian Cyber Command), которая слила почти тысячи документов, похищенных, как считается, у компании «Рособоронэкспорт». Хактивисты выразили свое несогласие со стратегией Путина в послании рядом со ссылкой на слитые файлы:
«Учитывая недавние параноидальные попытки российских властей начать Третью мировую, мы, Свободные от Путина люди Российской Федерации – Свободные компьютерные мятежники и отступники от ІТ-безопасности – решили начать настоящую внутреннюю кибервойну против российских военных предприятий и критических инфраструктурных предприятий, на которых стоит российская империя Путина».
Хакеры похитили файлы систем посольства Индии в Москве. Попав в сети посольства, они послали зараженное письмо одному из руководителей компании «Рособоронэкспорт».
В послании хакеров сказано, что это только первая ласточка в длинном ряду краж данных российских компаний.
«Таким же образом мы заразили сайты компаний «Сухой», «Оборонпром», «Газфлот», «Русал», «Велес Капитал» и многих других, но мы положим их сразу же после этого первого сливания», – заявили хакеры.
Когда писалась эта статья, группа украинских хактивистов под названием «Киберберкут» опубликовала список из 40 сломанных ими веб-сайтов, среди них – государственный канал Russia Today.
«Сегодня мы, Киберберкут, начинаем обратный отсчет. Предатели Украины, которые нарушили законы нашей Родины, у вас осталось девять дней, чтобы добровольно сдаться в органы прокуратуры Харькова или Симферополя».
ВЫВОДЫ
Чего ждать в будущем? Трудно сказать. Пока дипломатия будет продолжать работу, в глубинах киберпространства будет происходить все больше атак. Пока рано называть напряжение в киберпространстве «кибервойной» между Россией и Украиной. С одной стороны, проукраинские хакеры будет наращивать деятельность против российских мишеней, с другой – российские киберподразделения и патриотически настроенные хакеры усилят наступление на своих украинских противников.
И я хотел бы закончить статью оценкой позиции китайского правительства относительно кризиса в Крыму. Для этого я связался с профессионалом, которого считаю лучшим специалистом в области китайских кибервоенных технологий, лейтенантом-полковником корпуса Морской пехоты США в отставке и президентом компании Cyber Defence and Network Security Биллом ГЕДЖСТАДОМ:
– Учитывая свой опыт, как вы оцениваете позицию Китая в этих событиях? Заинтересован ли Китай в этом споре и почему (верховенство, энергетика, вооружение)?
- Да, конечно. Китай очень заинтересован как в событиях, которые разворачиваются в Украине, геостратегических энергетических вопросах, так и в Крыму, фокусе геополитической внимания.
– Считаете ли вы, что подразделения кибербезопасности Китая могут вмешаться в нынешней киберконфликт между Украиной и Россией? Если да, то как и почему?
- Нет, Китай не будет вмешиваться, если его не попросят помочь России в плане обеспечения руткитом на основе китайского алфавита или другой формы злонамеренного ПО, которое украинские технические средства и команды информационной безопасности не смогут обнаружить с помощью IDS/IPS систем на основе кириллицы. Имеется в виду эксплойт Zero Day.
С эскалацией напряженности в Крыму количество кибератак значительно возрастет, и существует конкретная угроза, что пострадают и другие объекты критической инфраструктуры страны.
ОБ АВТОРЕ
Пьерлуиджи Паганини – директор отдела информационной безопасности в компании Bit4ld, одном из флагманов в области IdM (управление учетными записями), а также пропагандист компьютерной безопасности, аналитик в области безопасности и журналист-фрилансер. Паганини – главный редактор журнала кибербезопасности Cyber Defense Magazine. Его стаж в области кибербезопасности – более 20 лет. Паганини – сертифицированный испытатель систем ІТ-безопасности при лондонском отделении Международного совета консультантов по вопросам электронной коммерции (EC-Council).
Любовь к публицистике и убеждения, что безопасность невозможна без взаимодействия и осведомленности, подсказали Пьерлуиджи Паганини идею блога по ІТ-безопасности «Security Affairs», который недавно назвали главным ресурсом национальной безопасности в США. Пьерлуиджи – член команды The Hacker News и пишет статьи для ключевых изданий в области, например Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine и многих других журналов по ІТ-безопасности.
Автор книг «The Deep Dark Web» и «Digital Virtual Currency and Bitcoin».
Пьерлуиджи Паганини
По материалам: День
Поделиться новостью
