Разработчики: | Агентство национальной безопасности (АНБ) США |
Содержание |
2019: Использование инструмента EternalBlue для взлома ИТ-систем госучреждений Балтимора
В мае 2019 года хакеры атаковали компьютерные системы государственных органов американского города Балтимор (штат Мэриленд). В результате кибернападения из строя вышли все ведомственные системы, в том числе электронная почта и системы оплаты парковки, налогов, ЖКХ и т.п. Подробнее здесь.
2017
Эксплойт АНБ EternalSynergy научили взламывать новые версии Windows
В июле 2017 года стало известно, что некий эксперт по безопасности Воравит Ван (Worawit Wang) усовершенствовал эксплойт АНБ EternalSynergy так, что он стал работать на более поздних, нежели раньше, версиях Windows - до Windows 8 включительно. Этот эксплойт по-прежнему не функционирует под Windows 10 в силу архитектурных особенностей данной системы.
Эта вредоносная программа - одна из тех, которые были созданы группировкой Equation, связанной с Агентством национальной безопасности США. Её инструменты были похищены в 2016 году, и с тех пор некая группировка Shadow Brokers пытается их продавать или раздаёт задаром. Это уже имело крайне негативные последствия: например, шифровальщик WannaCry использовал как раз один из этих эксплойтов - EternalBlue - для своего распространения. Это в итоге вылилось в крупномасштабную эпидемию по всему миру.
Кроме того, эксплойты EternalBlue и EternalRomance (ещё одна программа от АНБ), использовались создателями шифровальщика NotPetya, который так же успел нанести значительный ущерб.
EternalSynergy, в свою очередь, - это один из семи эксплойтов, используемых многофункциональным червём EternalRocks.
И EternalBlue, и EternalSynergy используют уязвимости в протоколе SMBv1 (Server Message Block) в Windows. В частности, уязвимость EternalSynergy значится под индексом СVE-2017-0143 [1].Облачные сервисы для бизнеса: особенности рынка и крупнейшие поставщики. Обзор TAdviser
"Обновлённая" версия эксплойта, выполненная Ваном, использует всё ту же уязвимость, но применяет несколько иной метод эксплуатации, так что вероятность "падения" программы или всей системы в целом "стремится к нулю", утверждает разработчик. Код с пояснениями Ван опубликовал здесь.
Эксплойт EternalBlue был куда менее надёжным в этом отношении: на Windows XP он "падал", поэтому большая часть заражений пришлась на Windows 7 [2]
Тесты подтвердили, что эксплойт работает на следующих версиях Windows:
- Windows 2016 x64
- Windows 2012 R2 x64
- Windows 8.1 x64
- Windows 2008 R2 SP1 x64
- Windows 7 SP1 x64
- Windows 8.1 x86
- Windows 7 SP1 x86
Уязвимость CVE-2017-0143 присутствует в трёх четвертях всех ПК на базе разных версий Windows. На сайте Microsoft среди уязвимых указаны и все версии Windows 10 до индекса 1607 включительно. Обновления безопасности, устраняющие проблему, были выпущены ещё весной 2017 года[3].
Публикация "обновлённого" эксплойта - это, на самом деле сигнал тревоги для системных администраторов и пользователей, - считает Ксения Шилак, директор по продажам компании SEC Consult. - Обновления давно вышли, и их следует установить как можно скорее, в противном случае сохранится высокий риск эпидемий вроде WannaCry или NotPetya.
Стоит отметить, впрочем, что EternalBlue уже успели адаптировать под Windows 10, так что не исключено скорое появление новых версий и всех остальных эксплойтов.
Инструменты АНБ для взлома Windows выставлены на продажу
В январе 2017 года стало известно о том, что хакерская группировка ShadowBrokers выставила на продажу набор эксплойтов для Windows и средств обхода антивирусной защиты, которую использовала кибершпионская группировка Equation Group, предположительно связанная со спецслужбами США. [4]
В 2016 году Shadow Brokers опубликовали в открытом доступе первый набор вредоносного ПО Equation, а второй выставили на торги. Сейчас на продажу выставлен третий набор под названием Equation Group Windows Warez. Помимо эксплойтов и сетевых "имплантов", в него входят средства обнаружения ошибок в безопасности ПО и средства удалённого администрирования. Как минимум один из них — DanderSpritz — упоминался в документах, опубликованных Эдвардом Сноуденом. За весь архив хакеры просят 750 биткоинов (более $600 тыс. ).
Первое сообщение об Equation Group относится к февралю 2015 года: "Лаборатория Касперского" тогда назвала группировку "Звездой смерти" и "самым сильным на данный момент игроком в мире кибершпионажа". Эксперты "Лаборатории" провели анализ целого ряда троянских программ, использовавшихся Equation, отметив, что, скорее всего, большая их часть остается пока неизвестной.[5]
В 2016 году Shadow Brokers, ранее никому неизвестная хакерская группировка, выставила на своеобразные торги набор вредоносного ПО, которое, по утверждению продавцов, было похищено у Equation. Shadow Brokers выложили в Сеть два набора: один раздавался бесплатно, а второй был выставлен на торги. "Аукцион" отличался большим своеобразием: потенциальным покупателям предлагалось переслать на указанный кошелёк биткоины, и тот, кто предложит наибольшую сумму, должен был получить товар. При этом остальным деньги никто возвращать не собирался. Shadow Brokers также пообещали, что если наберут миллион биткоинов, то опубликуют весь имеющийся у них арсенал Equation совершенно бесплатно.
Позднее Shadow Brokers сетовали, что никто не захотел покупать инструменты Equation на таких условиях: им переслали меньше 2 биткоинов. В декабре 2016 года группа анонсировала запуск краудфандинговой кампании с целью собрать 10 тысяч биткоинов (около $6,4 млн), чтобы затем опубликовать пароль к архиву со зловредами Equation. Впоследствии хакеры начали распродавать украденные инструменты поштучно.
Стоит отметить, что сторонние эксперты, проанализировав содержание первого — бесплатного — комплекта ПО, опубликованного Shadow Brokers, согласились, что это действительно инструменты Equation, а конкретнее — эксплойты для продукции Cisco, Fortigate, Juniper, TOPSEC и Watchguard. Самый новый эксплойт был датирован 2013 годом, остальные — и того старше.
Эксперты теряются в догадках, кто такие Shadow Brokers. Все сообщения представителей этой группировки написаны на подчеркнуто ломаном английском и отличаются вычурной эмоциональностью. О происхождении Shadow Brokers существуют две теории. Первая предполагает, что это хакеры, действующие в интересах России, и, вероятно, причастные к взлому электронной почты Демократической партии США. Эдвард Сноуден в серии публикаций в твиттере указывает, что "утечка" инструментов Equation — это "предупреждение, что кто-то может доказать причастность США к атакам", производившимся с конкретного сервера, который, по словам Сноудена, используется АНБ для распространения вредоносного ПО. [6]
Вся утечка выглядит так, как будто кто-то посылает сигнал: игры в атрибуцию будут иметь существенные последствия, — написал Сноуден. |
Другая теория гласит, что утечку инструментов Equation по каким-то причинам организовал инсайдер из АНБ.
2016
Хакеры украли инструментарий Equation Group, связанной с АНБ
Как говорится в заявлении[7] Shadow Brokers (до сих пор эта группа широко известна не была), хакерам удалось взломать создателей известного компьютерного «червя» Stuxnet, с помощью которого были заражены компьютеры ядерных объектов в Иране. Stuxnet называют кибероружием, созданным при участи правительства США, а его авторами считается хакерский коллектив Equation Group.
О существовании этой группы в 2015 году рассказали российские эксперты по безопасности Kaspersky Labs. По их данным, Equation Group контролировала создание «червей» Stuxnet и Flame, а также причастна к не менее чем 500 взломам в 42 странах мира. Объектами взломов Equation Group часто были государственные структуры. Существует мнение, что эта хакерская группа напрямую связана с АНБ и действует в интересах властей США[8].
У хакеров есть доказательства — и они убедительные. В заявлении о взломе Equation Group приведены ссылки на исходный код части украденного инструментария. Как пишет The New York Times[9], в основном специалисты по компьютерной безопасности считают, что речь действительно идет об инструментарии АНБ — по крайней мере, выложенные хакерами программы напоминают те, о которых говорилось в материалах АНБ, опубликованных с помощью Сноудена. Исследователи «Лаборатории Касперского», первоначально выявившие Equation Group, изучили опубликованные хакерами доказательства и пришли к выводу: Shadow Brokes с большой долей вероятности действительно взломали группу, близкую к АНБ.
Во взломе АНБ заподозрили российский след. Эта версия стала популярна в том числе и из-за ломаного английского, на котором написано объявление о продаже хакерского инструментария. Издание Motherboard, к примеру, пишет[10], что «враг времен холодной войны играет в старую игру, в этот раз делает это публично». Опрошенные Motherboard эксперты склоняются к версии, что взлом мог быть осуществлен либо Россией, либо Китаем. В пользу версии о «российском следе» говорит также и то, что файлы были опубликованы на российском «Яндекс.Диске». По словам Эдварда Сноудена, на связь хакеров с Россией может указывать демонстративность поступка, который выглядит как предупреждение для США. Тема российских хакеров сейчас чрезвычайно популярна в Америке: именно их обвиняют в передаче WikiLeaks переписки руководства Демократической партии и в игре на руку Дональду Трампу.
Кибероружие отдадут тому, кто больше заплатит. Хакеры из Shadow Brokers устроили своего рода аукцион: они обещают отдать ключ от зашифрованного архива с инструментами АНБ (сам архив может скачать любой желающий) тому, кто переведет на их кошелек наибольшее количество биткоинов. При этом проигравшим участникам аукциона деньги возвращать никто не собирается, а сколько продлится сам аукцион, остается на усмотрение хакеров. Никакой гарантии, что ключ от архива хакеры вообще собираются передавать, нет. Если вдруг хакерам дадут в общей сложности больше миллиона биткоинов (более полумиллиарда долларов), то они выложат еще одну часть украденной у АНБ информации в открытый доступ — по их утверждениям, она не менее качественна, чем та, которая предлагается на аукционе.
Взломщики АНБ опубликовали манифест против «богатых элит». Объявление о продаже кибероружия завершается обращением к неким «богатым элитам», которые устанавливают законы для защиты себя и друзей, и разрушают жизнь остальных людей. Эти элиты дружат с властями, нарушают законы — всем об этом известно, но никаких мер не принимается. Репортеры, говорится в манифесте, могут купаться в роскоши, только лишь однажды хорошо написав об «элитах» и убедив «тупое стадо», что все нормально. А затем, говорится в манифесте, эти элиты пытаются завладеть властью, что, вероятно, можно рассмотреть как намек на президентские выборы в США, участие в которых в это время принимают влиятельный политик Хиллари Клинтон и миллиардер Дональд Трамп. Возможно, говорится в обращении, у Equation Group были инструменты для проникновения в банковские системы, и если они попадут в нужные руки, то неизвестно, что с этими «богатыми элитами» произойдет.
Смотрите также
Контроль и блокировки сайтов
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
- Запросы силовиков на телефонные и банковские данные в России
- Закон о регулировании Рунета
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Блокировка сайтов в России
- Ревизор - система контроля блокировки сайтов в России
Анонимность
- Даркнет (теневой интернет, DarkNet)
- VPN и приватность (анонимность, анонимайзеры)
- VPN - Виртуальные частные сети
- СОРМ (Система оперативно-розыскных мероприятий)
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
- Ястреб-М Статистика телефонных разговоров
Критическая инфраструктура
- Цифровая экономика России
- Электронное правительство России
- Информационная безопасность цифровой экономики России
- Защита критической информационной инфраструктуры России
- Закон О безопасности критической информационной инфраструктуры Российской Федерации
- Основы государственной политики РФ в области международной информационной безопасности
- Доктрина информационной безопасности России
- Стратегия национальной безопасности России
- Соглашение стран СНГ в борьбе с преступлениями в сфере информационных технологий
- Автономный интернет в России
- Киберполигон России для обучения информационной безопасности
- Национальная биометрическая платформа (НБП)
- Единая биометрическая система (ЕБС) данных клиентов банков
- Биометрическая идентификация (рынок России)
- Каталог решений и проектов биометрии
- Единая сеть передачи данных (ЕСПД) для госорганов (Russian State Network, RSNet)
- Статья:Единая система программной документации (ЕСПД).
- Сеть передачи данных органов государственной власти (СПДОВ)
- Единая сеть электросвязи РФ
- Единый портал государственных услуг (ФГИС ЕПГУ)
- Гособлако - Государственная единая облачная платформа (ГЕОП)
- Госвеб Единая платформа интернет-порталов органов государственной власти
Импортозамещение
- Импортозамещение в сфере информационной безопасности
- Обзор: Импортозамещение информационных технологий в России
- Главные проблемы и препятствия импортозамещения ИТ в России
- Преимущества замещения иностранных ИТ-решений отечественными
- Основные риски импортозамещения ИТ
- Импортозамещение информационных технологий: 5 "За" и 5 "Против"
- Как импортозамещение ИТ сказалось на бизнесе иностранных вендоров? Взгляд из России
- Как запуск реестра отечественного ПО повлиял на бизнес российских вендоров
- Какие изменения происходят на российском ИТ-рынке под влиянием импортозамещения
- Оценки перспектив импортозамещения в госсекторе участниками рынка
Информационная безопасность и киберпреступность
- Киберпреступность в мире
- Требования NIST
- Глобальный индекс кибербезопасности
- Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
- Locked Shields (киберучения НАТО)
- Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
- Число киберпреступлений в России, Русские хакеры
- Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- CERT NZ
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
* Регулирование интернета в Казахстане, KZ-CERT
- Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
- Информационная безопасность в США
- Как США шпионили за производством микросхем в СССР
- Киберпреступность и киберконфликты : Европа, ENISA, ANSSI, Joint Cyber Unit, National Cyber Force
- Стратегия кибербезопасности ЕС
- Регулирование интернета в странах Евросоюза
- Информационная безопасность в Германии
- Информационная безопасность во Франции
- Информационная безопасность в Греции
- Информационная безопасность в Австралии
- Tactical Edge Networking (военный интернет)
- Киберпреступность и киберконфликты : Израиль
- Киберпреступность и киберконфликты : Иран
- Киберпреступность и киберконфликты : Китай
- Информационная безопасность в Китае
- Импортозамещение информационных технологий в Китае
- Киберпреступность и киберконфликты : КНДР
- Информационная безопасность в Молдавии
- Информационная безопасность в Японии
- Безопасность в интернете
- Безопасность интернет-сайтов
- Безопасность программного обеспечения (ПО)
- Безопасность веб-приложений
- Безопасность мессенджерах
- Угрозы безопасности общения в мобильной сети
- Безопасность в социальных сетях
- Киберзапугивание (кибербуллинг, киберсталкинг)
- Информационная безопасность в банках
- Информационная безопасность в судах
- CERT-GIB Computer Emergency Response Team - Group-IB
- Мошенничество с банковскими картами
- Взлом банкоматов
- Обзор: ИТ в банках 2016
- Политика ЦБ в сфере защиты информации (кибербезопасности)
- Потери организаций от киберпреступности
- Потери банков от киберпреступности
- Тренды развития ИТ в страховании (киберстрахование)
- Кибератаки
- Threat intelligence TI киберразведка
- Число кибератак в России и в мире
- Кибератаки на автомобили
- Обзор: Безопасность информационных систем
- Информационная безопасность
- Информационная безопасность в компании
- Информационная безопасность в медицине
- Информационная безопасность в электронной коммерции
- Информационная безопасность в ритейле
- Информационная безопасность (мировой рынок)
- Информационная безопасность (рынок России)
- Информационная безопасность на Украине
- Информационная безопасность в Белоруссии
- Главные тенденции в защите информации
- ПО для защиты информации (мировой рынок)
- ПО для защиты информации (рынок России)
- Pentesting (пентестинг)
- ИБ - Средства шифрования
- Криптография
- Управление инцидентами безопасности: проблемы и их решения
- Системы аутентификации
- Закон о персональных данных №152-ФЗ
- Защита персональных данных в Евросоюзе и США
- Расценки пользовательских данных на рынке киберпреступников
- Буткит (Bootkit)
- Уязвимости в ПО и оборудовании
- Джекпоттинг_(Jackpotting)
- Вирус-вымогатель (шифровальщик), Ramsomware, WannaCry, Petya/ExPetr/GoldenEye, CovidLock, Ragnar Locker, Ryuk, EvilQuest Вредонос-вымогатель для MacOS, Ransomware of Things (RoT), RegretLocker, Pay2Key, DoppelPaymer, Conti, DemonWare (вирус-вымогатель), Maui (вирус-вымогатель), LockBit (вирус-вымогатель)
- Защита от программ-вымогателей: существует ли она?
- Big Brother (вредоносная программа)
- MrbMiner (вирус-майнер)
- Защита от вирусов-вымогателей (шифровальщиков)
- Вредоносная программа (зловред)
- APT - Таргетированные или целевые атаки
- Исследование TAdviser и Microsoft: 39% российских СМБ-компаний столкнулись с целенаправленными кибератаками
- DDoS и DeOS
- Атаки на DNS-сервера
- DoS-атаки на сети доставки контента, CDN Content Delivery Network
- Как защититься от DDoS-атаки. TADетали
- Визуальная защита информации - Визуальное хакерство - Подглядывание
- Ханипоты (ловушки для хакеров)
- Руткит (Rootkit)
- Fraud Detection System (fraud, фрод, система обнаружения мошенничества)
- Каталог Антифрод-решений и проектов
- Как выбрать антифрод-систему для банка? TADетали
- Security Information and Event Management (SIEM)
- Threat intelligence (TI) - Киберразведка
- Каталог SIEM-решений и проектов
- Чем полезна SIEM-система и как её внедрить?
- Для чего нужна система SIEM и как её внедрить TADетали
- Системы обнаружения и предотвращения вторжений
- Отражения локальных угроз (HIPS)
- Защита конфиденциальной информации от внутренних угроз (IPC)
- Спуфинг (spoofing) - кибератака
- Фишинг, Фишинг в России, DMARC, SMTP
- Сталкерское ПО (программы-шпионы)
- Троян, Trojan Source (кибератака)
- Ботнет Боты, TeamTNT (ботнет), Meris (ботнет)
- Backdoor
- Черви Stuxnet Regin Conficker
- EternalBlue
- Рынок безопасности АСУ ТП
- Флуд (Flood)
- Предотвращения утечек информации (DLP)
- Скимминг (шимминг)
- Спам, Мошенничество с электронной почтой
- Социальная инженерия
- Телефонное мошенничество
- Звуковые атаки
- Warshipping (кибератака Военный корабль)
- Антиспам программные решения
- Классические файловые вирусы
- Антивирусы
- ИБ : средства защиты
- Система резервного копирования
- Система резервного копирования (технологии)
- Система резервного копирования (безопасность)
- Межсетевые экраны
Примечания
- ↑ СVE-2017-0143 Eternalblue exploit for Windows 7/2008
- ↑ Exploit Derived From ETERNALSYNERGY Upgraded to Target Newer Windows Versions
- ↑ CVE-2017-0143 Windows SMB Remote Code Execution Vulnerability
- ↑ ShadowBrokers offers for sale the stolen NSA Windows Hacking Tools
- ↑ Equation: Звезда смерти Галактики Вредоносного ПО
- ↑ Страница Эдварда Сноудена в Twitter
- ↑ Equation Group - Cyber Weapons Auction
- ↑ В середине августа 2016 года на сайте Pastebin появилось объявление хакерской группы Shadow Brokers на ломаном английском. Хакеры выставили на продажу краденый инструментарий для проникновения в компьютерные системы. Хакеры утверждают, что им удалось заполучить «кибероружие», которое использовала связанная с Агентством национальной безопасности группа. Упоминания программ, схожих с украденными, встречались в документах АНБ, опубликованных Эдвардом Сноуденом.
- ↑ ‘Shadow Brokers’ Leak Raises Alarming Question: Was the N.S.A. Hacked?
- ↑ Hack of NSA-Linked Group Signals a Cyber Cold War