?

Log in

No account? Create an account
поговорим

alexandr_palkin


МИРОСТРОИТЕЛЬСТВО

Будущее России рождается в каждом из нас


Previous Entry Поделиться Next Entry
WSJ выдумал "российских хакеров", "совершивших диверсии", о коих на месте "диверсии" никто и не знал
Для Вас
alexandr_palkin
вWSJ: российские хакеры* причастны к диверсиям на энергетических объектах 24 штатов США

Хакеры, следы которых ведут в Россию, в 2016-2017 годах проводили целенаправленные атаки на сотни подрядчиков в США и готовили плацдарм для масштабной диверсии с целью вывода из строя энергетической системы США, утверждает американская газета The Wall Street Journal.


В Министерстве внутренней безопасности (МВБ) США пришли к выводу, что у атак был российский след. Некоторые подробности произошедшего стали известны из бесед с представителями подвергнувшихся взлому предприятий, благодаря изучению документов и архивов компьютерных данных, интервью с бывшими и действующими должностными лицами США, а также с экспертами. Просуммировав данные, WSJ пришла к выводу, что российские хакеры в 2016-2017 годах с целью внедрения в компоненты энергосистемы Соединенных Штатов проводили диверсии в отношении сотен фирм-подрядчиков в 24 американских штатах, а также в Канаде и Великобритании.


В частности, объектами атак стали All-Ways Excavating USA, Commercial Contractors в штате Вашингтон, Carlson Testing в Орегоне, передает ТАСС. Кроме того, хакеры атаковали такие крупные энергетические предприятия с долевым участием государства как Bonneville Power и PacifiCorp., принадлежащая холдингу Berkshire Hathaway Inc. Уоррена Баффета. В ряде этих компаний узнали о хакерских атаках от представителей ФБР и МВБ США, другим сообщили об угрозе специалисты в области кибербезопасности, до третьих информация дошла только во время бесед с сотрудниками WSJ.


"Россияне занимались тем, чтобы подготовить поле будущего сражения, не нажимая на спусковой крючок", - приводит газета мнение бывшего помощника главы МВБ по вопросам кибербезопасности Роберта Силверса, работающего ныне в юридической фирме Paul Hastings.


По словам нынешнего помощника министра внутренней безопасности по вопросам кибербезопасности Джанет Манфра, первые признаки упомянутых выше диверсий были выявлены летом 2016 года. Как утверждает Манфра, на "российский след" указывают примененные хакерами "инструменты и тактика". В одном конкретном случае использовались IP-адреса, зарегистрированные в Турции, Франции и Нидерландах.


Изложенные в статье данные схожи с содержанием уведомления, распространенного в марте прошлого года совместно МВБ и ФБР. Эти ведомства утверждали, что некие связанные с властями РФ структуры проводили "многоуровневую кампанию" с целью вторжения в "сети небольших коммерческих предприятий". Хакеры якобы "внедряли вредоносное программное обеспечение, занимались целевым фишингом, а также получали удаленный доступ к сетям в энергетическом секторе". По версии МВБ и ФБР, кибератаками были "затронуты многочисленные организации в сферах энергетики, ядерной энергетики, водоснабжения, авиации, строительства и важнейшей промышленности".


В уведомлении МВБ и ФБР утверждалось, что сотрудники этих ведомств выявили свидетельства кибератак и предприняли соответствующие меры, в том числе оповестили затронутые компании. В документе приводилось подробное техническое описание действий, которые совершались хакерами.


Российская сторона обвинения в причастности к хакерским нападениям неоднократно отвергала. На пресс-конференции по итогам саммита с президентом США Дональдом Трампом в Хельсинки 16 июля 2018 года президент РФ Владимир Путин подчеркнул, что Москва готова работать в рамках совместной группы по кибербезопасности.Источник


Подробнее: https://www.vestifinance.ru/articles/82278

Подробнее: https://www.vestifinance.ru/articles/82278

Symantec подтверждает соответствие между кибершпионскими инструментами ЦРУ и тем, что опубликовала WikiLeaks






Компания Symantec на днях опубликовала результаты изучения информации, опубликованной WikiLeaks. Речь идет о Vault 7, пакете документов с описанием принципов работы программного обеспечения, используемого ЦРУ для взлома компьютеров и компьютерных систем частных лиц и организаций.


Кибершпионажем в ЦРУ занималась специальная группа, которую в Symantec окрестили Longhorn. Ее участники инфицировали компьютерные сети правительственных органов разных государств, заражались также системы телекоммуникационных, энергетических предприятий, равно, как и авиапромышленных компаний. Пакет инструментов, о котором заявили представители WikiLeaks, использовался, по данным Symantec, с 2007 по 2011 годы. За это время группа скромпрометировала, по меньшей мере, 40 целей в 16 различных государствах, включая Средний Восток, Европу, Азию, Африку и США (в этом случае, скорее всего, по ошибке).

Инструментарий группы Longhorn был очень обширен. Symantec удалось найти соответствие между информацией, предоставленной WikiLeaks и атаками, осуществленными в прошлом, при помощи различных методов. Это совпадение криптографических протоколов (например, кастомизированного протокола RC5), изменения в используемом компиляторе и способах осуществления атак на компьютерные сети и системы. Как
оказалось, сама компания Symantec внимательно следила в меру своих возможностей за деятельностью Longhorn с 2014 года. Во всяком случае, именно тогда Symantec обнаружила нового зловреда, распространяемого в документах Word.

«Longhorn использовала современные киберинструменты и уязвимости нулевого дня для поражения целей по всему миру», —
сообщила компания в своем блоге. — «Система методов, инструментов и способов, используемых Longhorn, выделялась среди всех прочих, так что практически нет сомнений в причастности группы ко всем этим атакам».

Один из индикаторов, по которым проводилось отслеживание — это зловред
Fluxwire. Изменения, которым подвергалось ПО, соответствует программе, описанной Symanteс. Специалисты этой компании, правда, назвали обнаруженный зловред Corentry. Но оно, насколько можно судить, точно соответствует ПО, которое фигурирует в архивах WikiLeaks как FluxWire. Например, изменения во FluxWare, задокументированные WikiLeaks, полностью соответствуют изменениям Corentry, зафиксированным Symantec. Если проще, то это одно и то же ПО со специфическими элементами «поведения», которое описано и Symantec, и WikiLeals. 25 февраля 2015 года специалисты Symantec отметили, что разработчики этого ПО теперь используют компилятор Microsoft Visual C++. Эти же данные содержатся в архиве Vault 7.

Гораздо больше схожих моментов можно найти в ПО, которое в Vault7 значится под названием Archangel. По архивам Symantec оно проходит как Plexor. Спецификации и модули этого ПО практически одинаково описываются в архивах ЦРУ и Symantec. Сомнений нет — это тоже одна и та же программа. В Vault7 есть информация о криптографических особенностях сетевой активности ПО ЦРУ. Эти особенности отмечают и в Symantec.



«Прежде, чем направлять свое malware на цель, Longhorn занималась предварительной настройкой пакета программ, следы которой можно было обнаружить по специфическим словам, C&C доменам и IP адресам, с которыми должно было „общаться“ это ПО. Longhorn использовала слова, написанные заглавными буквами, часто это „groupid“ и „siteid“, которые использовались для идентификации кампаний и жертв. Изучено более 40 таких идентификаторов, очень часто это были слова из фильмов, включая персонажей, еду или музыку. Один из примеров — отсылка на группу „The Police“, с кодовыми словами REDLIGHT и ROXANNE», — говорится в отчете специалистов Symantec.

WikiLeaks опубликовала первую часть коллекции секретных документов ЦРУ 8 марта. Эта коллекция, получившая название Vault 7, дают неплохое представление о масштабах кибершпионской работы этой организации. При помощи разработанных своими сотрудниками программ ЦРУ получила возможность проникать в компьютерные сети практически любых организаций. После обнародования этих документов стало ясно, что возможности ЦРУ превосходят возможности АНБ.

Сейчас WikiLeaks
не публикует исходный код инструментов, информация о которых содержится в первой части архива. Делается это по разным соображениям, включая опасность попадания такой информации в руки киберпреступников.

Ну а реакция ЦРУ вполне закономерна. «Как мы и говорили ранее, Джулиан Ассанж вовсе не бастион правды и честности. Американское общество должно быть глубоко взволновано раскрытием документов Wikileaks, что ведет к ограничению возможностей ЦРУ по защите Америки от террористов и прочих злоумышленников», — заявил пресс-секретарь управления.


Источник

*WikiLeaks: ЦРУ совершает кибератаки под чужим флагом