Разработчики: | Агентство национальной безопасности (АНБ) США |
Содержание |
2019: Использование инструмента EternalBlue для взлома ИТ-систем госучреждений Балтимора
В мае 2019 года хакеры атаковали компьютерные системы государственных органов американского города Балтимор (штат Мэриленд). В результате кибернападения из строя вышли все ведомственные системы, в том числе электронная почта и системы оплаты парковки, налогов, ЖКХ и т.п. Подробнее здесь.
2017
Эксплойт АНБ EternalSynergy научили взламывать новые версии Windows
В июле 2017 года стало известно, что некий эксперт по безопасности Воравит Ван (Worawit Wang) усовершенствовал эксплойт АНБ EternalSynergy так, что он стал работать на более поздних, нежели раньше, версиях Windows - до Windows 8 включительно. Этот эксплойт по-прежнему не функционирует под Windows 10 в силу архитектурных особенностей данной системы.
Эта вредоносная программа - одна из тех, которые были созданы группировкой Equation, связанной с Агентством национальной безопасности США. Её инструменты были похищены в 2016 году, и с тех пор некая группировка Shadow Brokers пытается их продавать или раздаёт задаром. Это уже имело крайне негативные последствия: например, шифровальщик WannaCry использовал как раз один из этих эксплойтов - EternalBlue - для своего распространения. Это в итоге вылилось в крупномасштабную эпидемию по всему миру.
Кроме того, эксплойты EternalBlue и EternalRomance (ещё одна программа от АНБ), использовались создателями шифровальщика NotPetya, который так же успел нанести значительный ущерб.
EternalSynergy, в свою очередь, - это один из семи эксплойтов, используемых многофункциональным червём EternalRocks.
И EternalBlue, и EternalSynergy используют уязвимости в протоколе SMBv1 (Server Message Block) в Windows. В частности, уязвимость EternalSynergy значится под индексом СVE-2017-0143 [1].Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга
"Обновлённая" версия эксплойта, выполненная Ваном, использует всё ту же уязвимость, но применяет несколько иной метод эксплуатации, так что вероятность "падения" программы или всей системы в целом "стремится к нулю", утверждает разработчик. Код с пояснениями Ван опубликовал здесь.
Эксплойт EternalBlue был куда менее надёжным в этом отношении: на Windows XP он "падал", поэтому большая часть заражений пришлась на Windows 7 [2]
Тесты подтвердили, что эксплойт работает на следующих версиях Windows:
- Windows 2016 x64
- Windows 2012 R2 x64
- Windows 8.1 x64
- Windows 2008 R2 SP1 x64
- Windows 7 SP1 x64
- Windows 8.1 x86
- Windows 7 SP1 x86
Уязвимость CVE-2017-0143 присутствует в трёх четвертях всех ПК на базе разных версий Windows. На сайте Microsoft среди уязвимых указаны и все версии Windows 10 до индекса 1607 включительно. Обновления безопасности, устраняющие проблему, были выпущены ещё весной 2017 года[3].
Публикация "обновлённого" эксплойта - это, на самом деле сигнал тревоги для системных администраторов и пользователей, - считает Ксения Шилак, директор по продажам компании SEC Consult. - Обновления давно вышли, и их следует установить как можно скорее, в противном случае сохранится высокий риск эпидемий вроде WannaCry или NotPetya.
Стоит отметить, впрочем, что EternalBlue уже успели адаптировать под Windows 10, так что не исключено скорое появление новых версий и всех остальных эксплойтов.
Инструменты АНБ для взлома Windows выставлены на продажу
В январе 2017 года стало известно о том, что хакерская группировка ShadowBrokers выставила на продажу набор эксплойтов для Windows и средств обхода антивирусной защиты, которую использовала кибершпионская группировка Equation Group, предположительно связанная со спецслужбами США. [4]
В 2016 году Shadow Brokers опубликовали в открытом доступе первый набор вредоносного ПО Equation, а второй выставили на торги. Сейчас на продажу выставлен третий набор под названием Equation Group Windows Warez. Помимо эксплойтов и сетевых "имплантов", в него входят средства обнаружения ошибок в безопасности ПО и средства удалённого администрирования. Как минимум один из них — DanderSpritz — упоминался в документах, опубликованных Эдвардом Сноуденом. За весь архив хакеры просят 750 биткоинов (более $600 тыс. ).
Первое сообщение об Equation Group относится к февралю 2015 года: "Лаборатория Касперского" тогда назвала группировку "Звездой смерти" и "самым сильным на данный момент игроком в мире кибершпионажа". Эксперты "Лаборатории" провели анализ целого ряда троянских программ, использовавшихся Equation, отметив, что, скорее всего, большая их часть остается пока неизвестной.[5]
В 2016 году Shadow Brokers, ранее никому неизвестная хакерская группировка, выставила на своеобразные торги набор вредоносного ПО, которое, по утверждению продавцов, было похищено у Equation. Shadow Brokers выложили в Сеть два набора: один раздавался бесплатно, а второй был выставлен на торги. "Аукцион" отличался большим своеобразием: потенциальным покупателям предлагалось переслать на указанный кошелёк биткоины, и тот, кто предложит наибольшую сумму, должен был получить товар. При этом остальным деньги никто возвращать не собирался. Shadow Brokers также пообещали, что если наберут миллион биткоинов, то опубликуют весь имеющийся у них арсенал Equation совершенно бесплатно.
Позднее Shadow Brokers сетовали, что никто не захотел покупать инструменты Equation на таких условиях: им переслали меньше 2 биткоинов. В декабре 2016 года группа анонсировала запуск краудфандинговой кампании с целью собрать 10 тысяч биткоинов (около $6,4 млн), чтобы затем опубликовать пароль к архиву со зловредами Equation. Впоследствии хакеры начали распродавать украденные инструменты поштучно.
Стоит отметить, что сторонние эксперты, проанализировав содержание первого — бесплатного — комплекта ПО, опубликованного Shadow Brokers, согласились, что это действительно инструменты Equation, а конкретнее — эксплойты для продукции Cisco, Fortigate, Juniper, TOPSEC и Watchguard. Самый новый эксплойт был датирован 2013 годом, остальные — и того старше.
Эксперты теряются в догадках, кто такие Shadow Brokers. Все сообщения представителей этой группировки написаны на подчеркнуто ломаном английском и отличаются вычурной эмоциональностью. О происхождении Shadow Brokers существуют две теории. Первая предполагает, что это хакеры, действующие в интересах России, и, вероятно, причастные к взлому электронной почты Демократической партии США. Эдвард Сноуден в серии публикаций в твиттере указывает, что "утечка" инструментов Equation — это "предупреждение, что кто-то может доказать причастность США к атакам", производившимся с конкретного сервера, который, по словам Сноудена, используется АНБ для распространения вредоносного ПО. [6]
Вся утечка выглядит так, как будто кто-то посылает сигнал: игры в атрибуцию будут иметь существенные последствия, — написал Сноуден. |
Другая теория гласит, что утечку инструментов Equation по каким-то причинам организовал инсайдер из АНБ.
2016
Хакеры украли инструментарий Equation Group, связанной с АНБ
Как говорится в заявлении[7] Shadow Brokers (до сих пор эта группа широко известна не была), хакерам удалось взломать создателей известного компьютерного «червя» Stuxnet, с помощью которого были заражены компьютеры ядерных объектов в Иране. Stuxnet называют кибероружием, созданным при участи правительства США, а его авторами считается хакерский коллектив Equation Group.
О существовании этой группы в 2015 году рассказали российские эксперты по безопасности Kaspersky Labs. По их данным, Equation Group контролировала создание «червей» Stuxnet и Flame, а также причастна к не менее чем 500 взломам в 42 странах мира. Объектами взломов Equation Group часто были государственные структуры. Существует мнение, что эта хакерская группа напрямую связана с АНБ и действует в интересах властей США[8].
У хакеров есть доказательства — и они убедительные. В заявлении о взломе Equation Group приведены ссылки на исходный код части украденного инструментария. Как пишет The New York Times[9], в основном специалисты по компьютерной безопасности считают, что речь действительно идет об инструментарии АНБ — по крайней мере, выложенные хакерами программы напоминают те, о которых говорилось в материалах АНБ, опубликованных с помощью Сноудена. Исследователи «Лаборатории Касперского», первоначально выявившие Equation Group, изучили опубликованные хакерами доказательства и пришли к выводу: Shadow Brokes с большой долей вероятности действительно взломали группу, близкую к АНБ.
Во взломе АНБ заподозрили российский след. Эта версия стала популярна в том числе и из-за ломаного английского, на котором написано объявление о продаже хакерского инструментария. Издание Motherboard, к примеру, пишет[10], что «враг времен холодной войны играет в старую игру, в этот раз делает это публично». Опрошенные Motherboard эксперты склоняются к версии, что взлом мог быть осуществлен либо Россией, либо Китаем. В пользу версии о «российском следе» говорит также и то, что файлы были опубликованы на российском «Яндекс.Диске». По словам Эдварда Сноудена, на связь хакеров с Россией может указывать демонстративность поступка, который выглядит как предупреждение для США. Тема российских хакеров сейчас чрезвычайно популярна в Америке: именно их обвиняют в передаче WikiLeaks переписки руководства Демократической партии и в игре на руку Дональду Трампу.
Кибероружие отдадут тому, кто больше заплатит. Хакеры из Shadow Brokers устроили своего рода аукцион: они обещают отдать ключ от зашифрованного архива с инструментами АНБ (сам архив может скачать любой желающий) тому, кто переведет на их кошелек наибольшее количество биткоинов. При этом проигравшим участникам аукциона деньги возвращать никто не собирается, а сколько продлится сам аукцион, остается на усмотрение хакеров. Никакой гарантии, что ключ от архива хакеры вообще собираются передавать, нет. Если вдруг хакерам дадут в общей сложности больше миллиона биткоинов (более полумиллиарда долларов), то они выложат еще одну часть украденной у АНБ информации в открытый доступ — по их утверждениям, она не менее качественна, чем та, которая предлагается на аукционе.
Взломщики АНБ опубликовали манифест против «богатых элит». Объявление о продаже кибероружия завершается обращением к неким «богатым элитам», которые устанавливают законы для защиты себя и друзей, и разрушают жизнь остальных людей. Эти элиты дружат с властями, нарушают законы — всем об этом известно, но никаких мер не принимается. Репортеры, говорится в манифесте, могут купаться в роскоши, только лишь однажды хорошо написав об «элитах» и убедив «тупое стадо», что все нормально. А затем, говорится в манифесте, эти элиты пытаются завладеть властью, что, вероятно, можно рассмотреть как намек на президентские выборы в США, участие в которых в это время принимают влиятельный политик Хиллари Клинтон и миллиардер Дональд Трамп. Возможно, говорится в обращении, у Equation Group были инструменты для проникновения в банковские системы, и если они попадут в нужные руки, то неизвестно, что с этими «богатыми элитами» произойдет.
Смотрите также
Контроль и блокировки сайтов
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
- Запросы силовиков на телефонные и банковские данные в России
- Закон о регулировании Рунета
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Блокировка сайтов в России
- Ревизор - система контроля блокировки сайтов в России
Анонимность
- Даркнет (теневой интернет, DarkNet)
- VPN и приватность (анонимность, анонимайзеры)
- VPN - Виртуальные частные сети
- СОРМ (Система оперативно-розыскных мероприятий)
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
- Ястреб-М Статистика телефонных разговоров
Критическая инфраструктура
- Цифровая экономика России
- Электронное правительство России
- Информационная безопасность цифровой экономики России
- Защита критической информационной инфраструктуры России
- Закон О безопасности критической информационной инфраструктуры Российской Федерации
- Основы государственной политики РФ в области международной информационной безопасности
- Доктрина информационной безопасности России
- Стратегия национальной безопасности России
- Соглашение стран СНГ в борьбе с преступлениями в сфере информационных технологий
- Автономный интернет в России
- Киберполигон России для обучения информационной безопасности
- Национальная биометрическая платформа (НБП)
- Единая биометрическая система (ЕБС) данных клиентов банков
- Биометрическая идентификация (рынок России)
- Каталог решений и проектов биометрии
- Единая сеть передачи данных (ЕСПД) для госорганов (Russian State Network, RSNet)
- Статья:Единая система программной документации (ЕСПД).
- Сеть передачи данных органов государственной власти (СПДОВ)
- Единая сеть электросвязи РФ
- Единый портал государственных услуг (ФГИС ЕПГУ)
- Гособлако - Государственная единая облачная платформа (ГЕОП)
- Госвеб Единая платформа интернет-порталов органов государственной власти
Импортозамещение
- Импортозамещение в сфере информационной безопасности
- Обзор: Импортозамещение информационных технологий в России
- Главные проблемы и препятствия импортозамещения ИТ в России
- Преимущества замещения иностранных ИТ-решений отечественными
- Основные риски импортозамещения ИТ
- Импортозамещение информационных технологий: 5 "За" и 5 "Против"
- Как импортозамещение ИТ сказалось на бизнесе иностранных вендоров? Взгляд из России
- Как запуск реестра отечественного ПО повлиял на бизнес российских вендоров
- Какие изменения происходят на российском ИТ-рынке под влиянием импортозамещения
- Оценки перспектив импортозамещения в госсекторе участниками рынка
Информационная безопасность и киберпреступность
- Киберпреступность в мире
- Требования NIST
- Глобальный индекс кибербезопасности
- Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
- Locked Shields (киберучения НАТО)
- Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
- Число киберпреступлений в России, Русские хакеры
- Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- CERT NZ
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
* Регулирование интернета в Казахстане, KZ-CERT
- Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
- Информационная безопасность в США
- Как США шпионили за производством микросхем в СССР
- Киберпреступность и киберконфликты : Европа, ENISA, ANSSI, Joint Cyber Unit, National Cyber Force
- Стратегия кибербезопасности ЕС
- Регулирование интернета в странах Евросоюза
- Информационная безопасность в Германии
- Информационная безопасность во Франции
- Информационная безопасность в Греции
- Информационная безопасность в Австралии
- Tactical Edge Networking (военный интернет)
- Киберпреступность и киберконфликты : Израиль
- Киберпреступность и киберконфликты : Иран
- Киберпреступность и киберконфликты : Китай
- Информационная безопасность в Китае
- Импортозамещение информационных технологий в Китае
- Киберпреступность и киберконфликты : КНДР
- Информационная безопасность в Молдавии
- Информационная безопасность в Японии
- Безопасность в интернете
- Безопасность интернет-сайтов
- Безопасность программного обеспечения (ПО)
- Безопасность веб-приложений
- Безопасность мессенджерах
- Угрозы безопасности общения в мобильной сети
- Безопасность в социальных сетях
- Киберзапугивание (кибербуллинг, киберсталкинг)
- Информационная безопасность в банках
- Информационная безопасность в судах
- CERT-GIB Computer Emergency Response Team - Group-IB
- Мошенничество с банковскими картами
- Взлом банкоматов
- Обзор: ИТ в банках 2016
- Политика ЦБ в сфере защиты информации (кибербезопасности)
- Потери организаций от киберпреступности
- Потери банков от киберпреступности
- Тренды развития ИТ в страховании (киберстрахование)
- Кибератаки
- Threat intelligence TI киберразведка
- Число кибератак в России и в мире
- Кибератаки на автомобили
- Обзор: Безопасность информационных систем
- Информационная безопасность
- Информационная безопасность в компании
- Информационная безопасность в медицине
- Информационная безопасность в электронной коммерции
- Информационная безопасность в ритейле
- Информационная безопасность (мировой рынок)
- Информационная безопасность (рынок России)
- Информационная безопасность на Украине
- Информационная безопасность в Белоруссии
- Главные тенденции в защите информации
- ПО для защиты информации (мировой рынок)
- ПО для защиты информации (рынок России)
- Pentesting (пентестинг)
- ИБ - Средства шифрования
- Криптография
- Управление инцидентами безопасности: проблемы и их решения
- Системы аутентификации
- Закон о персональных данных №152-ФЗ
- Защита персональных данных в Евросоюзе и США
- Расценки пользовательских данных на рынке киберпреступников
- Буткит (Bootkit)
- Уязвимости в ПО и оборудовании
- Джекпоттинг_(Jackpotting)
- Вирус-вымогатель (шифровальщик), Ramsomware, WannaCry, Petya/ExPetr/GoldenEye, CovidLock, Ragnar Locker, Ryuk, EvilQuest Вредонос-вымогатель для MacOS, Ransomware of Things (RoT), RegretLocker, Pay2Key, DoppelPaymer, Conti, DemonWare (вирус-вымогатель), Maui (вирус-вымогатель), LockBit (вирус-вымогатель)
- Защита от программ-вымогателей: существует ли она?
- Big Brother (вредоносная программа)
- MrbMiner (вирус-майнер)
- Защита от вирусов-вымогателей (шифровальщиков)
- Вредоносная программа (зловред)
- APT - Таргетированные или целевые атаки
- Исследование TAdviser и Microsoft: 39% российских СМБ-компаний столкнулись с целенаправленными кибератаками
- DDoS и DeOS
- Атаки на DNS-сервера
- DoS-атаки на сети доставки контента, CDN Content Delivery Network
- Как защититься от DDoS-атаки. TADетали
- Визуальная защита информации - Визуальное хакерство - Подглядывание
- Ханипоты (ловушки для хакеров)
- Руткит (Rootkit)
- Fraud Detection System (fraud, фрод, система обнаружения мошенничества)
- Каталог Антифрод-решений и проектов
- Как выбрать антифрод-систему для банка? TADетали
- Security Information and Event Management (SIEM)
- Threat intelligence (TI) - Киберразведка
- Каталог SIEM-решений и проектов
- Чем полезна SIEM-система и как её внедрить?
- Для чего нужна система SIEM и как её внедрить TADетали
- Системы обнаружения и предотвращения вторжений
- Отражения локальных угроз (HIPS)
- Защита конфиденциальной информации от внутренних угроз (IPC)
- Спуфинг (spoofing) - кибератака
- Фишинг, Фишинг в России, DMARC, SMTP
- Сталкерское ПО (программы-шпионы)
- Троян, Trojan Source (кибератака)
- Ботнет Боты, TeamTNT (ботнет), Meris (ботнет)
- Backdoor
- Черви Stuxnet Regin Conficker
- EternalBlue
- Рынок безопасности АСУ ТП
- Флуд (Flood)
- Предотвращения утечек информации (DLP)
- Скимминг (шимминг)
- Спам, Мошенничество с электронной почтой
- Социальная инженерия
- Телефонное мошенничество
- Звуковые атаки
- Warshipping (кибератака Военный корабль)
- Антиспам программные решения
- Классические файловые вирусы
- Антивирусы
- ИБ : средства защиты
- Система резервного копирования
- Система резервного копирования (технологии)
- Система резервного копирования (безопасность)
- Межсетевые экраны
Примечания
- ↑ СVE-2017-0143 Eternalblue exploit for Windows 7/2008
- ↑ Exploit Derived From ETERNALSYNERGY Upgraded to Target Newer Windows Versions
- ↑ CVE-2017-0143 Windows SMB Remote Code Execution Vulnerability
- ↑ ShadowBrokers offers for sale the stolen NSA Windows Hacking Tools
- ↑ Equation: Звезда смерти Галактики Вредоносного ПО
- ↑ Страница Эдварда Сноудена в Twitter
- ↑ Equation Group - Cyber Weapons Auction
- ↑ В середине августа 2016 года на сайте Pastebin появилось объявление хакерской группы Shadow Brokers на ломаном английском. Хакеры выставили на продажу краденый инструментарий для проникновения в компьютерные системы. Хакеры утверждают, что им удалось заполучить «кибероружие», которое использовала связанная с Агентством национальной безопасности группа. Упоминания программ, схожих с украденными, встречались в документах АНБ, опубликованных Эдвардом Сноуденом.
- ↑ ‘Shadow Brokers’ Leak Raises Alarming Question: Was the N.S.A. Hacked?
- ↑ Hack of NSA-Linked Group Signals a Cyber Cold War