×
Анатомия хакерской атаки на государственном уровне

Кибербезопасность защищает не только от киберпреступников. Речь идет также о защите от кибершпионов, которые могут быть даже большей угрозой. Наряду со спамом, фишинговыми сообщениями и прочими бесполезными и опасными сообщениями, которые ежедневно приходят вам на электронную почту, может прийти сообщение, созданное хакерами, работающими на правительство, а не на преступную группировку.

 

К сожалению, ничем другим эти сообщения, по сути, не выделяются. Они похожи на любую другую сетевую угрозу. Это происходит потому, что создатели этих вредоносных программ, как правило, используют одни и те же уязвимости программного обеспечения в качестве основы вредоносного ПО, они распространяются с помощью одних и тех же взломанных компьютеров, давят на одни и те же человеческие слабости, что делает типичное вредоносное ПО более успешным.

 

«Охранные компании также имеют проблемы с их обнаружением, – утверждает Джордан Берри, стратегический аналитик по безопасности фирмы FireEye, – не в последнюю очередь потому, что вредоносные программы, созданные хакерами при поддержке и по заказу государства, весьма малочисленны».

 

И, по его словам, методы, которые они используют для  достижения своих целей, весьма разнообразны. Некоторые государства готовы тратить много времени и денег на создание вредоносных программ для служения их интересам. Именно так обстоит дело со Stuxnet – червем, созданным для саботажа иранской ядерной программы. Анализ его «электронных внутренностей» показал, что это – высокоточное оружие, на создание которого потребовалось несколько месяцев. Stuxnet использовал четыре отдельных, ранее неизвестных уязвимости программного обеспечения и начинал действовать только тогда, когда обнаруживал себя в сети с очень специфической конфигурацией.

 

Вирус Stuxnet

 

К другим столь же сложным вирусам относятся Flame, Gauss, Regin и PlugX. Но, как сказал Берри, не каждая атака использует такое точно выверенное вредоносное ПО. Порой подобные атаки гораздо более грубы.

 

«Иногда им не приходится использовать большие пушки, – сказал он, – и они используют что-то, что просто выполнит поставленную задачу».

 

Независимо от того, какой из вирусов попадет в государственную сеть, становится легче понять, кто стоит за этим, как только вредоносная программа приступит к работе.

 

«Контекст вокруг вируса – вот что важно, – говорит Берри. – Если происходит атака на Министерство иностранных дел и она не имеет финансовой мотивации, то, возможно, за этим стоит другое государство».

 

Знакомство с вирусами

 

В попытке получить более полное представление о том, насколько вредным может быть вирус, созданный другим государством, мы попросили Кевина О’Рейли из охранной фирмы Context познакомить нас с вредоносной программой PlugX.

 

Впервые она была замечена в середине 2012 года и с тех пор много раз обновлялась, изменялась и улучшалась. Предполагается, что она был создана в Китае и использовалась во многих кампаниях против промышленных объектов других стран, а также против диссидентских групп в Тибете и других местах, говорит О’Рейли.

 

Китай, кажется, использует модель франшизы, когда речь идет о национальном вредоносном ПО, говорит он. Context и другие кампании, следящие за китайскими вирусами, могут сказать, что Китай создает вредоносное ПО, а затем передает его множеству других групп, которые используют его от своего имени.

 

Тем не менее, сказал О‘Рейли, все это является лишь домыслами, потому как нет никаких прямых доказательств связи PlugX и Китая.

 

Современная версия PlugX является крайне сложным вирусом и использует несколько различных методов для захвата цели. Показанная нам версия распространяется как приложение к электронной почте.

 

Электронная почта является ключом к атаке. Группы хакеров, которые используют PlugX, как правило, проводят тщательную подготовку перед отправкой «заминированного» e-mail. Они тщательно выбирают и изучают своих жертв, после чего создают сообщение таким образом, что оно будет наиболее привлекательно для них. Таким образом, письмо для каждого человека составляется с учетом его индивидуальных интересов, и шанс того, что он его откроет, оказывается велик.

 

«Также часто, – добавил О’Рейли, – документы перепрофилируются из законных источников и «снабжаются» вредоносным ПО».

 

Одним из документов, в котором путешествует PlugX, по иронии судьбы, является доклад о нарушениях прав человека в Тибете.

 

Удаленный агент

 

Открытие документа запускает процесс заражения. Вирус находит уязвимость в Windows, благодаря которой устанавливает три файла, содержащих вредоносное ПО. Самым интересным в схеме является то, что два из них взаимодействуют друг с другом. Один из них является абсолютно легальным файлом Windows, и как только он начинает работать, он ищет конкретный системный файл для начала заражения.

 

PlugX включает в себя файл, необходимый для установки фактического вредоносного ПО. Способ работы Windows обеспечивает то, что он использует прикрепленный к сообщению файл, а не любой другой, сохраненный в зараженном компьютере.

 

«После получения точки опоры вирус будет работать автоматически вместе с Windows, которая теперь управляется хозяином вируса», – говорит О’Рейли. PlugX фактически дает злоумышленникам удаленный доступ к компьютеру, на котором он установлен.

 

«Там много встроенных функций, – добавляет он. – Они могут использовать расширения для получения ключевых записей или снимков экрана».

 

Очевидно, что PlugX делает все традиционные для вредоносного ПО вещи, такие как кража учетных данных и номеров кредитных карт.

 

Внедрение PlugX

 

«В конечном счете, – говорит О’Рейли, – он находится под контролем человека и мало что делает сам по себе».

 

Context – одна из немногих фирм, которые исследовали правонарушения, осуществленные с помощью PlugX, и сумели отследить, откуда пришли злоумышленники и что они сделали.

 

«Во время одной из атак PlugX был замечен антивирусом, и мы смогли наблюдать, как он добирается до логов и пытается их очистить, – говорит О’Рейли. – Вирус точно знал, что нужно делать».

 

Для ветерана контрразведки Эрика О’Нила, бывшего агента ФБР, который помог разоблачить двойного агента Роберта Хансена, переход шпионажа в цифровой формат не должен был стать сюрпризом. Это оказалось вполне ожидаемо.

 

«В прежние времена шпионам необходимо было проникнуть в здание для кражи документов, – говорит он. – В настоящее время они так не делают. Шпионаж и шпионы эволюционировали».

 

Успешная киберкампания, проводимая государством, может добыть гораздо больше информации, чем любой двойной агент может себе представить, говорит О’Нил.

 

Кража данных о людях вполне может быть осуществлена для того, чтобы дать иностранным державам более полное представление о том, как они уязвимы и что может быть сделано для защиты.

 

«Есть три основных способа завербовать кого-то, – говорит О’Нил, – идеология, жадность и шантаж».

 

Информация, содержащаяся в базах данных, может дать подсказки о медицинских условиях, долгах или личных проблемах, что может поставить под угрозу физическое лицо. Зная личную информацию о ком-либо, можно получить рычаги влияния на этого человека.

 

«Вы должны знать, кого вы атакуете, и находится ли он с большой долей вероятности под влиянием идеологии, жадности или шантажа. Такую атаку не так легко провести».

 

«Это шпионы, а не хакеры, – говорит О’Нил, который сейчас работает в охранной фирме Carbon Black. – Вы должны остановить шпионов – людей, которые охотятся на других людей. И они не просто бросают разные штуки наобум, надеясь, что это сработает».

 

Скорее подобные атаки похожи на хорошо спланированные операции, где хакер точно знает свою цель и свои задачи.

 

Перевод: Вячеслав Гладков

 

Оригинал фото: bbc