Спецпроекты

ПО Безопасность Интернет ИТ в госсекторе Маркет

Американские кибершпионы научились распознавать на чужих ПК дружественных хакеров и прятаться от врагов

Эксперты по безопасности исследовали малоизвестный до сих пор инструмент хакерской группы Equation, который предназначен для выявления признаков заражения чужими шпионскими инструментами. Выяснилось, что правительственным хакерам США было известно о большем количестве APT-кампаний, чем кому бы то ни было еще.

Территориальные споры

Операторы кибершпионских программ Агентства нацбезопасности США (АНБ) имеют техническую возможность распознавать на зараженных ими компьютерах чужие хакерские программы и оперативно выводить с машин свой код, чтобы не «засвечивать» свои инструменты.

К такому выводу пришли венгерские исследователи, которые изучили вредоносные программы АНБ, утекшие в апреле 2017 г., и описали утилиту под названием Territorial Dispute («территориальный спор»).

По мнению экспертов, она не привлекла к себе должного интереса сразу исключительно потому, что все внимание было приковано к эксплойтам EternalBlue, EternalRomance и др. В немалой степени это связано с тем, что EternalBlue использовался создателями вредоноса WannaCry, вызвавшего в 2017 г. глобальную эпидемию.

Как работает утилита АНБ

Territorial Dispute не имеет «наступательных» характеристик. По принципам работы этот инструмент напоминает антивирус, хотя и работает в связке со шпионским фреймворком DanderSpritz. Эта комбинация опрашивает зараженную систему, и Territorial Dispute, в частности, целенаправленно ищет файлы и записи в системном реестре, являющиеся признаками активности хакерских групп, связанных с другими государствами.

В АНБ умеют распознавать на сторонних ПК дружественных хакеров и прятаться от врагов

Если эти признаки обнаруживаются, то TerritorialDisputeотправляет оператору предупреждения следующих видов: «Пожалуйста, сверните операцию», «Срочно обратитесь за помощью», «Инструменты дружественной стороны», «Опасный вредонос» и т. д. Иными словами, указывают венгерские исследователи, TerritorialDisputeспособен различать между собой кибершпионские инструменты союзников и противников США. Инструмент содержит список индикаторов заражения, распределенных по 45 категориям. Каждая из этих категорий соответствует отдельно взятой кибершпионской группировке.

Исследователи сравнили эти индикаторы с теми, что были ранее обнародованы различными экспертами и антивирусными компаниями. Выяснилось, что TerritorialDisputeраспознает хакерские группировки, известные как Turla, FancyBear, Duqu, Stuxnet, Flame, DarkHotel и ряд других помельче. Кроме этого обнаружились прежде неизвестные индикаторы заражений: это означает, что на момент кражи их инструментов, хакеры АНБ были в курсе деятельности целого ряда кибершпионских групп, о которых широкой публике ничего не было известно.

Стоит отметить, что на сегодняшний день в тематический ресурсе «Лаборатории Касперского» содержится информация почти о 70 хакерских группировках.

«Эксплойты АНБ»

В конце лета 2016 г. некая никому доселе неизвестная группа ShadowBrokersзаявила о том, что в ее распоряжении находятся эксплойты кибергруппировки Equation. О существовании последней стало известно годом ранее от «Лаборатории Касперского». Эксперты «Лаборатории» назвали Equation – «Звездой смерти в галактике вредоносного ПО», отметив, что действовать она могла с конца 1990-х, и что всегда получала доступ к эксплойтам нулевого дня раньше других групп, известных к тому моменту. Впоследствии Equationс высокой долей достоверности связали со специальным подразделением АНБ.

После неуспешной попытки продать эксплойты Equationна импровизированном аукционе, ShadowBrokersв апреле 2017 г. выложила значительную их часть в общий доступ.

Как оказалось, многие из этих эксплойтов сохранили эффективность. В частности, EternalBlue, как уже сказано, был использован создателями вредоноса WannaCry, заразившего 230 тыс. компьютеров в 150 странах мира. В конце января 2018 г. стало известно, что тот же эксплойт теперь использует криминальный криптомайнер, занимающийся производством валюты Monero. Им заразились более 500 тыс. компьютеров. Очевидно, что эти же эксплойты использовались и другими злоумышленниками – в менее публичных атаках.

Эксперты отмечают, что само использование таких инструментов многое говорит о методах работы Equation/АНБ: «правительственные хакеры» США стараются проводить свои операции как можно тише и прилагают немало усилий, чтобы скрыть следы своей деятельности. Тем не менее, с 2015 г. их деятельность уже является «секретом Полишинеля».

«В 2016 году американские документалисты выпустили фильм ZeroDays, где на условиях анонимности представители ЦРУ и АНБ признали “соавторство” вируса Stuxnetи заявили, что его утечка – следствие ошибки программистов, — указывает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Если бы Stuxnet отработал скрытно, как и предполагалось, не исключено, что о существовании кибероружия мир узнал бы намного позже. Самым удручающим следствием прошлогодней утечки инструментов Equation/АНБ стала их доступность для хакеров всех мастей. Эпидемия WannaCryи криптомайнера, использующего EternalBlue, также показали, насколько печально обстоят дела с кибербезопасностью во всем мире».

Роман Георгиев

Короткая ссылка