Кибер-оружие АНБ
В апреле хакеры, которые называют себя TheShadowBrokers, опубликовали ключ к изданному ими ранее архиву кибер-оружия [1], разрабатываемого компанией Equation Group по заказу и для нужд АНБ. Публикация архива сопровождалась антиамериканскими высказываниями, осуждающими атаку Сирии. В самом архиве содержались в основном информация об операциях АНБ и список IP-адресов, ранее взломанных этой спецслужбой. Кроме того, обнаружились и инструменты для взлома старого оборудования: серверов Digital Equipment Corp., Alpha, Sun Solaris 2 и почему-то китайской национальной операционной системы Red Flag Linux. При этом отмечается, что АНБ взламывала прежде всего информационные системы под управлением Sun Solaris. Там же были эксплойт EternalBlue для очень древней ошибки в Windows, которая была унаследована еще с OS/2, но исправлена Microsoft лишь в марте этого года, а также инструмент автоматического заражения под названием DoublePulsar.
Более 100 тыс. DoublePulsar
В середине апреля компания Countercept опубликовала на GitHub [2] скрипит на Python для Kali Linux, который позволял определить, установлен ли на конкретном адресе боевой имплант кибер-оружия АНБ DoublePulsar. Тут же исследователи по всему миру начали изучать ситуацию с распространением DoublePulsar и первоначально обнаружили [3] его на 10 тыс. компьютеров – эти данные были подтверждены самой Microsoft. Однако через несколько дней эта цифра выросла до 35 тыс. адресов, а еще через какое-то время и до 56 тыс. В результате к концу апреля уже назывался объем в 120 тыс. зараженных IP-адресов, доступных из Интернета. Скрипт предоставлял и возможность дистанционного удаления импланта и установки обновления, которое блокирует распространение вредоноса. Возможно, публикация скрипта позволила компаниям своевременно выявить DoublePulsar, удалить его со своих компьютеров и исправить уязвимость, через которую он проникал в информационные системы.
Жертвы вымогателей только в 45% случаев возвращают свои данные
Компания BitDefender опубликовала отчет об атаках вымогателей на средние и малые компании [4]. Результаты были получены с помощью анкетирования 250 сотрудников американских компаний сектора SMB. Исследование показало, что 38% компаний заплатили выкуп преступникам (в среднем 2,4 тыс. долл.), однако в большинстве случаев (55%) не вернули себе контроль над данными. При этом в 65% случаев удалось восстановить данные из резервной копии, в 52% – смягчить атаку за счет средств защиты, и только четверть опрошенных безвозвратно потеряли свои данные. В 56% случаев вредонос проник в систему как вложение электронной почты, в 54% – как вредоносная ссылка, в 36% – это была параллельная загрузка вредоноса в браузере, и только в 31% случаев было зафиксировано проникновение с помощью социальной инженерии. Саморазмножающиеся вредносы – «черви» и вирусы – вообще не указаны как возможные варианты для проникновения вымогателей.
«Русские хакеры» во Франции
Как все города России мечтают о своих пробках, чтобы быть похожим на Москву и Питер, так и выборы теперь не могут не сопровождаться «атакой русских хакеров». Не обошлись без этого и выборы во Франции, которые проходили в апреле этого года. В материале Reuters [5] указывается, что хакеры группировки Pawn Storm пытались повлиять на избирательную кампанию Эммануэля Макрона – были зафиксированы попытки с помощью фишинговых сообщений электронной почты проникнуть на сайт кампании и модифицировать его. С «русскими хакерами» из группировок APT 28, Fancy Bear, Sofancy и Strontium нападения на сайт Макрона связала американская компания CrowdStrike, которая активно не любит русских, а тем более хакеров. Эксперты из других компаний – Dell SecureWorks, FireEye, ThreatConnect и Trend Micro – более осторожны в оценках, хотя и не исключают связи нападавших с российским правительством.
«Ростелеком» заглянул в трафик 36 компаниям
Система контроля протокола BGP обнаружила 26 апреля искажение анонсов автономных систем со стороны российского провайдера «Ростелеком» [6]. В течение шести минут маршрутизаторы этого провайдера объявляли, что лучше знают маршрут до автономных систем таких компаний, как Visa, MasterCard, HSBC, EMC, Verisign, Symantec и некоторых других. В результате трафик, направленный этим компаниям, проходил через маршрутизаторы российского оператора. Чаще всего такие искажения маршрутного пространства возникают из-за ошибок персонала операторов в конфигурировании протокола BGP, но на этот раз в инциденте отметился достаточно профессиональный, но ассоциированный с российским государством оператор. Поэтому сразу же возникли подозрения в злом умысле, поскольку пострадали в основном финансовые компании. Конечно, сейчас трафик в большинстве случаев зашифрованный и вряд ли его просто расшифровать, однако оператор мог собрать данные о структуре контрагентов пострадавших компаний.
[2] https://github.com/countercept/doublepulsar-detection-script
[5] http://www.reuters.com/article/us-france-election-macron-cyber-idUSKBN17Q200