А для крутых парней барабаны - часть 19
Все серии
В отличие от ушлепков из Microsoft, Лаборатория Касперского приняла максимально на мой взгляд правильное решение о полной прозрачности, и, едва закончив расследование, выложила в сеть все детали инцидента в очень подробном техническом бюллетене. Зловред назвали Duqu 2.0. Авторы документа не скупились на похвалу взломщикам. Понятно, что немалая часть эти похвал - ровно та самая история с Crowdstrike, которую я уже описывал. «Если кто-то сумел нас взломать - то он должен быть супер-крут». Тем не менее, Евгений Валентинович сравнил подхваченную заразу с «Чужим, Терминатором и Хищником в одном флаконе», и заметил: «мы никогда не ожидали, что хакерская группа явно государственного уровня ворвется в нашу цифровую дверь»
http://cdn.securelist.com/files/2015/06/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf
Почитав снова детали той истории - я в принципе согласен с Касперским, ребята были хороши. Несколько атак нулевого дня, сначала заражение domain controller, и прочих серверов, которые постоянно остаются включенными. Они, в свою очередь, заразили остальные компьютеры. Удаленное управление защищенной внутренней сетью через взломанные машины с интернет доступом. Все данные туда и обратно передаются в виде «графических файлов» (JPEG/GIF) по HTTPS, и еще очень много красивых тонкостей.И, вишенка на торте, практически никаких следов атаки на серверах. Весь вирусный код находился только в памяти, причем в тех ее областях, которые обычно недоступны для проверки антивирусом.
«Атакующие были настолько профессиональны, и настолько уверены в своих силах, что не предприняли никаких усилий для того чтобы остаться на наших серверах даже после их перезагрузки. Они точно знали, что смогут в любой нужный момент взломать их снова, поэтому практически не оставили следов в системе». Ну и еще чуток дифирамбов: «на поколение впереди всех атак, которые мы видели по сей день», «мы абсолютно уверены, что проект таких масштабов под силу только государственным структурам», и т.д. и т.п.
Кроме сети Касперского Duqu 2.0 был обнаружен в компьютерах гостиниц, в которых переходили переговоры формата P5+1. Это аббревиатурой назвали переговоры США и ведущих европейских стран по поводу ядерной программы Ирана. В принципе, это достаточно четко обозначало «чьи уши торчат из-за кулис». Подобные технологические возможности плюс живой интерес к переговорам, на которые их не позвали, с практически стопроцентной вероятностью указывали на Израиль. Хороший пример того, что иногда разведка свое дело выполнила все сто, но этого оказалось недостаточно - желание Обамовской администрации подписать соглашение с Ираном во чтобы то ни стало, оказалось гораздо сильнее чем хай, поднятый республиканцами и про-израильским лобби после того как Моссад «слил» им все детали переговоров.
Читатели предыдущих серии не должны удивляться тому, что Израиль дважды не подумал перед тем как шпионить за своими ближайшими союзниками. Из документов Сноудена однозначно следует, что в мире кибер-шпионажа вполне нормальным считаются очень близкие отношение между спецслужбами, например союз Five Eyes Only (разведки англосаксонских стран - Англия, США, Канада, Австралия, Новая Зеландия) с почти автоматическим доступом израильтян к очень многим секретам «пятиглазых». И, тем не менее, NSA несколько раз «ловили за руку» при подслушивании израильских военных и гражданских сетей. Вплоть до слежки за премьер-министром. Вот и Израиль отплатил им той же монетой. «Милые бранятся только тешатся»
Так или иначе, есть правила протокола. Официальные лица выразили глубокую озабоченность, отношения израильского премьера с администрацией Обамы достигли своего исторического минимума, политики с умным видом несли с телеэкрана какую-то ахинею, и пока суд да дело, история взлома Касперского отошла на второй план даже специализированных сайтов, а чуть позже исчезла совсем, уступив место гораздо более интересным для широкой публики новостям.
http://www.jpost.com/Israel-News/Politics-And-Diplomacy/Report-Israel-spied-on-US-nuclear-talks-with-Iran-394883
Маркетинг Касперского пытался, конечно, использовать взлом по полной программе - «наши технологии настолько круты, что даже игроки первой лиги готовы рискнуть своим самым продвинутым кибер-оружием для того чтобы украсть секреты наших продуктов, которые мы вам за вполне разумные деньги предложим уже очень скоро». Не знаю насколько хорошо у них это получилось. Конец истории? Не совсем - у нее будет еще крайне интересное продолжение через несколько лет, и мы рано или поздно до него дойдем. Но, чисто хронологически, есть несколько вещей которые я хочу вам рассказать до этого.
В 2015м году Касперский столкнулся с группой кибер-криминалов под названием Carbanak, которые умудрились написать зловреда, воровавшего деньги с банковских счетов через зараженные банкоматы. Я удивлен почему про это до сих пор не сняли кино. В первых кадрах должны были показать уже не очень молодого банковского служащего в скучном галстуке и костюме-тройке фасона восьмидесятых, открывающего невинно выглядящий Word-файл о новых регуляциях в сфере пенсионного страхования. В следующей сцене молодой парень в бейсболке и hoodie (футболка с капюшоном) поглядывает на часы, и ожидает пока секундная стрелка коснется центральной отметки (тут могла бы быть реклама каких-нибудь дорогущих швейцарских часов, но вряд ли они согласятся быть так сильно ассоциированными с явным криминалом). В искомый момент парень подбегает к банкомату, открывает большую матерчатую черную сумку, и начинает аккуратно в нее складывать пачки долларов, которые по непонятной причине шайтан-машина начинает выплевывать наружу.На тот момент основными жертвами Carbanak были банки в России, США, Германии, Китае и Украине. Суммарный ущерб - от полумиллиарда до миллиарда долларов.Мало того, что участников Carbanak до сих пор не поймали, так они еще и продолжают активную деятельность по сей день.
http://securityaffairs.co/wordpress/58706/cyber-crime/carbanak-new-technique.html
Судя по тому, что этих товарищей интересуют только деньги - есть все основания предполагать, что это кибер-криминал чистой воды, то есть никаких разведывательных целей создатели Carbanak не преследуют.
С другой стороны, мы опять-таки ничего точно не знаем - может быть бывший командир 8200 Эхуд Шнеерсон (да, фамилия вам правильно намекает, какой-то очень далекий родственник покойного Любавического ребе) отпустил ребят на вольные хлеба, когда вдруг армейского финансирования на ремонт столовой не хватило. Тут я издеваюсь, конечно, но в каждой шутке есть доля шутки - в 2016м году пара десятков офицеров из 8200 залезли в компьютеры армейского кадрового отдела, и выписали себе незаслуженные премии, ваучеры на гостиницы и т.п. Их, понятное дело, поймали и вставили по самое не балуй.
http://www.ynet.co.il/articles/0,7340,L-4763085,00.html
Кстати, наткнулся на интересную байку, которую до этого не слышал - по слухам командиров 8200 назначают так чтобы чередовать между «ботанами» и «командос». То есть нормальная смена руководства происходит, когда бригадный генерал, отслуживший кучу лет в спецназе генштаба, с многочисленными наградами за секретные операции «где-то далеко», о которых нельзя будет рассказывать еще пару десятков лет отдает ключи от офиса мужику, который в 9 лет сломал шею в автокатастрофе, и еле уговорил армию его призвать на срочную службу.
Впрочем, самое забавное в истории про Carbanak совсем другое - в тот же самый день Лабаратория Касперского оповестила о том, что столкнулась с еще одним APT, который назвала «The Equation Group».
И, при всем моем уважении к авторам Duqu 2.0, на фоне мощностей “Группы Уравнителей” их «самое современное кибер-оружие» оказалось детской лопаткой для игры в песочнице.
ПРОДОЛЖЕНИЕ СЛЕДУЕТ
В отличие от ушлепков из Microsoft, Лаборатория Касперского приняла максимально на мой взгляд правильное решение о полной прозрачности, и, едва закончив расследование, выложила в сеть все детали инцидента в очень подробном техническом бюллетене. Зловред назвали Duqu 2.0. Авторы документа не скупились на похвалу взломщикам. Понятно, что немалая часть эти похвал - ровно та самая история с Crowdstrike, которую я уже описывал. «Если кто-то сумел нас взломать - то он должен быть супер-крут». Тем не менее, Евгений Валентинович сравнил подхваченную заразу с «Чужим, Терминатором и Хищником в одном флаконе», и заметил: «мы никогда не ожидали, что хакерская группа явно государственного уровня ворвется в нашу цифровую дверь»
http://cdn.securelist.com/files/2015/06/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf
Почитав снова детали той истории - я в принципе согласен с Касперским, ребята были хороши. Несколько атак нулевого дня, сначала заражение domain controller, и прочих серверов, которые постоянно остаются включенными. Они, в свою очередь, заразили остальные компьютеры. Удаленное управление защищенной внутренней сетью через взломанные машины с интернет доступом. Все данные туда и обратно передаются в виде «графических файлов» (JPEG/GIF) по HTTPS, и еще очень много красивых тонкостей.И, вишенка на торте, практически никаких следов атаки на серверах. Весь вирусный код находился только в памяти, причем в тех ее областях, которые обычно недоступны для проверки антивирусом.
«Атакующие были настолько профессиональны, и настолько уверены в своих силах, что не предприняли никаких усилий для того чтобы остаться на наших серверах даже после их перезагрузки. Они точно знали, что смогут в любой нужный момент взломать их снова, поэтому практически не оставили следов в системе». Ну и еще чуток дифирамбов: «на поколение впереди всех атак, которые мы видели по сей день», «мы абсолютно уверены, что проект таких масштабов под силу только государственным структурам», и т.д. и т.п.
Кроме сети Касперского Duqu 2.0 был обнаружен в компьютерах гостиниц, в которых переходили переговоры формата P5+1. Это аббревиатурой назвали переговоры США и ведущих европейских стран по поводу ядерной программы Ирана. В принципе, это достаточно четко обозначало «чьи уши торчат из-за кулис». Подобные технологические возможности плюс живой интерес к переговорам, на которые их не позвали, с практически стопроцентной вероятностью указывали на Израиль. Хороший пример того, что иногда разведка свое дело выполнила все сто, но этого оказалось недостаточно - желание Обамовской администрации подписать соглашение с Ираном во чтобы то ни стало, оказалось гораздо сильнее чем хай, поднятый республиканцами и про-израильским лобби после того как Моссад «слил» им все детали переговоров.
Читатели предыдущих серии не должны удивляться тому, что Израиль дважды не подумал перед тем как шпионить за своими ближайшими союзниками. Из документов Сноудена однозначно следует, что в мире кибер-шпионажа вполне нормальным считаются очень близкие отношение между спецслужбами, например союз Five Eyes Only (разведки англосаксонских стран - Англия, США, Канада, Австралия, Новая Зеландия) с почти автоматическим доступом израильтян к очень многим секретам «пятиглазых». И, тем не менее, NSA несколько раз «ловили за руку» при подслушивании израильских военных и гражданских сетей. Вплоть до слежки за премьер-министром. Вот и Израиль отплатил им той же монетой. «Милые бранятся только тешатся»
Так или иначе, есть правила протокола. Официальные лица выразили глубокую озабоченность, отношения израильского премьера с администрацией Обамы достигли своего исторического минимума, политики с умным видом несли с телеэкрана какую-то ахинею, и пока суд да дело, история взлома Касперского отошла на второй план даже специализированных сайтов, а чуть позже исчезла совсем, уступив место гораздо более интересным для широкой публики новостям.
http://www.jpost.com/Israel-News/Politics-And-Diplomacy/Report-Israel-spied-on-US-nuclear-talks-with-Iran-394883
Маркетинг Касперского пытался, конечно, использовать взлом по полной программе - «наши технологии настолько круты, что даже игроки первой лиги готовы рискнуть своим самым продвинутым кибер-оружием для того чтобы украсть секреты наших продуктов, которые мы вам за вполне разумные деньги предложим уже очень скоро». Не знаю насколько хорошо у них это получилось. Конец истории? Не совсем - у нее будет еще крайне интересное продолжение через несколько лет, и мы рано или поздно до него дойдем. Но, чисто хронологически, есть несколько вещей которые я хочу вам рассказать до этого.
В 2015м году Касперский столкнулся с группой кибер-криминалов под названием Carbanak, которые умудрились написать зловреда, воровавшего деньги с банковских счетов через зараженные банкоматы. Я удивлен почему про это до сих пор не сняли кино. В первых кадрах должны были показать уже не очень молодого банковского служащего в скучном галстуке и костюме-тройке фасона восьмидесятых, открывающего невинно выглядящий Word-файл о новых регуляциях в сфере пенсионного страхования. В следующей сцене молодой парень в бейсболке и hoodie (футболка с капюшоном) поглядывает на часы, и ожидает пока секундная стрелка коснется центральной отметки (тут могла бы быть реклама каких-нибудь дорогущих швейцарских часов, но вряд ли они согласятся быть так сильно ассоциированными с явным криминалом). В искомый момент парень подбегает к банкомату, открывает большую матерчатую черную сумку, и начинает аккуратно в нее складывать пачки долларов, которые по непонятной причине шайтан-машина начинает выплевывать наружу.На тот момент основными жертвами Carbanak были банки в России, США, Германии, Китае и Украине. Суммарный ущерб - от полумиллиарда до миллиарда долларов.Мало того, что участников Carbanak до сих пор не поймали, так они еще и продолжают активную деятельность по сей день.
http://securityaffairs.co/wordpress/58706/cyber-crime/carbanak-new-technique.html
Судя по тому, что этих товарищей интересуют только деньги - есть все основания предполагать, что это кибер-криминал чистой воды, то есть никаких разведывательных целей создатели Carbanak не преследуют.
С другой стороны, мы опять-таки ничего точно не знаем - может быть бывший командир 8200 Эхуд Шнеерсон (да, фамилия вам правильно намекает, какой-то очень далекий родственник покойного Любавического ребе) отпустил ребят на вольные хлеба, когда вдруг армейского финансирования на ремонт столовой не хватило. Тут я издеваюсь, конечно, но в каждой шутке есть доля шутки - в 2016м году пара десятков офицеров из 8200 залезли в компьютеры армейского кадрового отдела, и выписали себе незаслуженные премии, ваучеры на гостиницы и т.п. Их, понятное дело, поймали и вставили по самое не балуй.
http://www.ynet.co.il/articles/0,7340,L-4763085,00.html
Кстати, наткнулся на интересную байку, которую до этого не слышал - по слухам командиров 8200 назначают так чтобы чередовать между «ботанами» и «командос». То есть нормальная смена руководства происходит, когда бригадный генерал, отслуживший кучу лет в спецназе генштаба, с многочисленными наградами за секретные операции «где-то далеко», о которых нельзя будет рассказывать еще пару десятков лет отдает ключи от офиса мужику, который в 9 лет сломал шею в автокатастрофе, и еле уговорил армию его призвать на срочную службу.
Впрочем, самое забавное в истории про Carbanak совсем другое - в тот же самый день Лабаратория Касперского оповестила о том, что столкнулась с еще одним APT, который назвала «The Equation Group».
И, при всем моем уважении к авторам Duqu 2.0, на фоне мощностей “Группы Уравнителей” их «самое современное кибер-оружие» оказалось детской лопаткой для игры в песочнице.
ПРОДОЛЖЕНИЕ СЛЕДУЕТ