Инструменты АНБ для взлома Windows

Продукт

Разработчики:

Агентство национальной безопасности (АНБ) США

Содержание

2019: Использование инструмента EternalBlue для взлома ИТ-систем госучреждений Балтимора
2017
- Эксплойт АНБ EternalSynergy научили взламывать новые версии Windows
- Инструменты АНБ для взлома Windows выставлены на продажу
2016
- Хакеры украли инструментарий Equation Group, связанной с АНБ
Смотрите также
Примечания

2019: Использование инструмента EternalBlue для взлома ИТ-систем госучреждений Балтимора

В мае 2019 года хакеры атаковали компьютерные системы государственных органов американского города Балтимор (штат Мэриленд). В результате кибернападения из строя вышли все ведомственные системы, в том числе электронная почта и системы оплаты парковки, налогов, ЖКХ и т.п. Подробнее здесь.

2017

Эксплойт АНБ EternalSynergy научили взламывать новые версии Windows

В июле 2017 года стало известно, что некий эксперт по безопасности Воравит Ван (Worawit Wang) усовершенствовал эксплойт АНБ EternalSynergy так, что он стал работать на более поздних, нежели раньше, версиях Windows - до Windows 8 включительно. Этот эксплойт по-прежнему не функционирует под Windows 10 в силу архитектурных особенностей данной системы.

Эта вредоносная программа - одна из тех, которые были созданы группировкой Equation, связанной с Агентством национальной безопасности США. Её инструменты были похищены в 2016 году, и с тех пор некая группировка Shadow Brokers пытается их продавать или раздаёт задаром. Это уже имело крайне негативные последствия: например, шифровальщик WannaCry использовал как раз один из этих эксплойтов - EternalBlue - для своего распространения. Это в итоге вылилось в крупномасштабную эпидемию по всему миру.

Кроме того, эксплойты EternalBlue и EternalRomance (ещё одна программа от АНБ), использовались создателями шифровальщика NotPetya, который так же успел нанести значительный ущерб.

EternalSynergy, в свою очередь, - это один из семи эксплойтов, используемых многофункциональным червём EternalRocks.

И EternalBlue, и EternalSynergy используют уязвимости в протоколе SMBv1 (Server Message Block) в Windows. В частности, уязвимость EternalSynergy значится под индексом СVE-2017-0143 ^[1].Цифровизация ТЭК: тренды, перспективы, крупнейшие ИТ-поставщики. Обзор TAdviser 15 т

"Обновлённая" версия эксплойта, выполненная Ваном, использует всё ту же уязвимость, но применяет несколько иной метод эксплуатации, так что вероятность "падения" программы или всей системы в целом "стремится к нулю", утверждает разработчик. Код с пояснениями Ван опубликовал здесь.

Эксплойт EternalBlue был куда менее надёжным в этом отношении: на Windows XP он "падал", поэтому большая часть заражений пришлась на Windows 7 ^[2]

Тесты подтвердили, что эксплойт работает на следующих версиях Windows:

Windows 2016 x64
Windows 2012 R2 x64
Windows 8.1 x64
Windows 2008 R2 SP1 x64
Windows 7 SP1 x64
Windows 8.1 x86
Windows 7 SP1 x86

Уязвимость CVE-2017-0143 присутствует в трёх четвертях всех ПК на базе разных версий Windows. На сайте Microsoft среди уязвимых указаны и все версии Windows 10 до индекса 1607 включительно. Обновления безопасности, устраняющие проблему, были выпущены ещё весной 2017 года^[3].

Публикация "обновлённого" эксплойта - это, на самом деле сигнал тревоги для системных администраторов и пользователей, - считает Ксения Шилак, директор по продажам компании SEC Consult. - Обновления давно вышли, и их следует установить как можно скорее, в противном случае сохранится высокий риск эпидемий вроде WannaCry или NotPetya.

Стоит отметить, впрочем, что EternalBlue уже успели адаптировать под Windows 10, так что не исключено скорое появление новых версий и всех остальных эксплойтов.

Инструменты АНБ для взлома Windows выставлены на продажу

В январе 2017 года стало известно о том, что хакерская группировка ShadowBrokers выставила на продажу набор эксплойтов для Windows и средств обхода антивирусной защиты, которую использовала кибершпионская группировка Equation Group, предположительно связанная со спецслужбами США. ^[4]

В 2016 году Shadow Brokers опубликовали в открытом доступе первый набор вредоносного ПО Equation, а второй выставили на торги. Сейчас на продажу выставлен третий набор под названием Equation Group Windows Warez. Помимо эксплойтов и сетевых "имплантов", в него входят средства обнаружения ошибок в безопасности ПО и средства удалённого администрирования. Как минимум один из них — DanderSpritz — упоминался в документах, опубликованных Эдвардом Сноуденом. За весь архив хакеры просят 750 биткоинов (более $600 тыс. ).

Офис АНБ в США

Первое сообщение об Equation Group относится к февралю 2015 года: "Лаборатория Касперского" тогда назвала группировку "Звездой смерти" и "самым сильным на данный момент игроком в мире кибершпионажа". Эксперты "Лаборатории" провели анализ целого ряда троянских программ, использовавшихся Equation, отметив, что, скорее всего, большая их часть остается пока неизвестной.^[5]

В 2016 году Shadow Brokers, ранее никому неизвестная хакерская группировка, выставила на своеобразные торги набор вредоносного ПО, которое, по утверждению продавцов, было похищено у Equation. Shadow Brokers выложили в Сеть два набора: один раздавался бесплатно, а второй был выставлен на торги. "Аукцион" отличался большим своеобразием: потенциальным покупателям предлагалось переслать на указанный кошелёк биткоины, и тот, кто предложит наибольшую сумму, должен был получить товар. При этом остальным деньги никто возвращать не собирался. Shadow Brokers также пообещали, что если наберут миллион биткоинов, то опубликуют весь имеющийся у них арсенал Equation совершенно бесплатно.

Позднее Shadow Brokers сетовали, что никто не захотел покупать инструменты Equation на таких условиях: им переслали меньше 2 биткоинов. В декабре 2016 года группа анонсировала запуск краудфандинговой кампании с целью собрать 10 тысяч биткоинов (около $6,4 млн), чтобы затем опубликовать пароль к архиву со зловредами Equation. Впоследствии хакеры начали распродавать украденные инструменты поштучно.

Стоит отметить, что сторонние эксперты, проанализировав содержание первого — бесплатного — комплекта ПО, опубликованного Shadow Brokers, согласились, что это действительно инструменты Equation, а конкретнее — эксплойты для продукции Cisco, Fortigate, Juniper, TOPSEC и Watchguard. Самый новый эксплойт был датирован 2013 годом, остальные — и того старше.

Эксперты теряются в догадках, кто такие Shadow Brokers. Все сообщения представителей этой группировки написаны на подчеркнуто ломаном английском и отличаются вычурной эмоциональностью. О происхождении Shadow Brokers существуют две теории. Первая предполагает, что это хакеры, действующие в интересах России, и, вероятно, причастные к взлому электронной почты Демократической партии США. Эдвард Сноуден в серии публикаций в твиттере указывает, что "утечка" инструментов Equation — это "предупреждение, что кто-то может доказать причастность США к атакам", производившимся с конкретного сервера, который, по словам Сноудена, используется АНБ для распространения вредоносного ПО. ^[6]

Вся утечка выглядит так, как будто кто-то посылает сигнал: игры в атрибуцию будут иметь существенные последствия, — написал Сноуден.

Другая теория гласит, что утечку инструментов Equation по каким-то причинам организовал инсайдер из АНБ.

2016

Хакеры украли инструментарий Equation Group, связанной с АНБ

Как говорится в заявлении^[7] Shadow Brokers (до сих пор эта группа широко известна не была), хакерам удалось взломать создателей известного компьютерного «червя» Stuxnet, с помощью которого были заражены компьютеры ядерных объектов в Иране. Stuxnet называют кибероружием, созданным при участи правительства США, а его авторами считается хакерский коллектив Equation Group.

О существовании этой группы в 2015 году рассказали российские эксперты по безопасности Kaspersky Labs. По их данным, Equation Group контролировала создание «червей» Stuxnet и Flame, а также причастна к не менее чем 500 взломам в 42 странах мира. Объектами взломов Equation Group часто были государственные структуры. Существует мнение, что эта хакерская группа напрямую связана с АНБ и действует в интересах властей США^[8].

У хакеров есть доказательства — и они убедительные. В заявлении о взломе Equation Group приведены ссылки на исходный код части украденного инструментария. Как пишет The New York Times^[9], в основном специалисты по компьютерной безопасности считают, что речь действительно идет об инструментарии АНБ — по крайней мере, выложенные хакерами программы напоминают те, о которых говорилось в материалах АНБ, опубликованных с помощью Сноудена. Исследователи «Лаборатории Касперского», первоначально выявившие Equation Group, изучили опубликованные хакерами доказательства и пришли к выводу: Shadow Brokes с большой долей вероятности действительно взломали группу, близкую к АНБ.

Во взломе АНБ заподозрили российский след. Эта версия стала популярна в том числе и из-за ломаного английского, на котором написано объявление о продаже хакерского инструментария. Издание Motherboard, к примеру, пишет^[10], что «враг времен холодной войны играет в старую игру, в этот раз делает это публично». Опрошенные Motherboard эксперты склоняются к версии, что взлом мог быть осуществлен либо Россией, либо Китаем. В пользу версии о «российском следе» говорит также и то, что файлы были опубликованы на российском «Яндекс.Диске». По словам Эдварда Сноудена, на связь хакеров с Россией может указывать демонстративность поступка, который выглядит как предупреждение для США. Тема российских хакеров сейчас чрезвычайно популярна в Америке: именно их обвиняют в передаче WikiLeaks переписки руководства Демократической партии и в игре на руку Дональду Трампу.

Кибероружие отдадут тому, кто больше заплатит. Хакеры из Shadow Brokers устроили своего рода аукцион: они обещают отдать ключ от зашифрованного архива с инструментами АНБ (сам архив может скачать любой желающий) тому, кто переведет на их кошелек наибольшее количество биткоинов. При этом проигравшим участникам аукциона деньги возвращать никто не собирается, а сколько продлится сам аукцион, остается на усмотрение хакеров. Никакой гарантии, что ключ от архива хакеры вообще собираются передавать, нет. Если вдруг хакерам дадут в общей сложности больше миллиона биткоинов (более полумиллиарда долларов), то они выложат еще одну часть украденной у АНБ информации в открытый доступ — по их утверждениям, она не менее качественна, чем та, которая предлагается на аукционе.

Взломщики АНБ опубликовали манифест против «богатых элит». Объявление о продаже кибероружия завершается обращением к неким «богатым элитам», которые устанавливают законы для защиты себя и друзей, и разрушают жизнь остальных людей. Эти элиты дружат с властями, нарушают законы — всем об этом известно, но никаких мер не принимается. Репортеры, говорится в манифесте, могут купаться в роскоши, только лишь однажды хорошо написав об «элитах» и убедив «тупое стадо», что все нормально. А затем, говорится в манифесте, эти элиты пытаются завладеть властью, что, вероятно, можно рассмотреть как намек на президентские выборы в США, участие в которых в это время принимают влиятельный политик Хиллари Клинтон и миллиардер Дональд Трамп. Возможно, говорится в обращении, у Equation Group были инструменты для проникновения в банковские системы, и если они попадут в нужные руки, то неизвестно, что с этими «богатыми элитами» произойдет.