9 современных хакерских групп, финансируемых государствами

Содержание:

Гэри Маккиннон
Роберт Тэппэн Моррис
Сниффинг пакетов
Лойд Блэнкеншип «Наставник»
Отказ в обслуживании
Суть технологии обмана
Китайская хакерская группировка APT10
WannaCry: как работает крупнейшее компьютерное вымогательство
Mailboming
Chaos Computer Club (ССС)
Кевин Поулсен
Драгонфлай
Заключение

Гэри Маккиннон

Гэри Маккиннон причастен к «величайшему компьютерному взлому в истории». Он взломал компьютеры военного ведомства США, тем самым нанеся серьезный урон всей организации. По словам Гэри, он всего лишь хотел получить неизвестные данные о НЛО и скрытую информацию, которая может быть потенциально полезна для человечества. Для этого шотландский хакер взломал всю систему NASA, выведя из строя около 2 тыс. компьютеров. В течение суток на официальном сайте космического управления висел баннер — «Ваша безопасность — полная чушь», что вывело из себя военное ведомство США. Если верить Маккиннону, факты контактов с НЛО действительно скрывались от общественности. Он говорит, что на сервере хранятся файлы проекта «Раскрытие», где описываются более 4 сотен случаев, доказывающих существование пришельцев или их технологий.

Дело Маккиннона до сих пор находится в суде, так как США требует его экстрадицию. Британское правительство дало согласие на вывоз хакера, но столкнулось с умелой защитой адвокатов Гэри и волной общественных протестов, требующих судить хакера исключительно в Великобритании. По слухам, американская судебная система уже приготовила приговор, в виде лишения свободы на 70 лет в лагере для террористов и военных преступников — Гуантанамо. Об этом месте мы писали в статье про самые страшные тюрьмы в мире. Неудивительно, что адвокаты Маккиннона оказывают столь мощное сопротивление.

Роберт Тэппэн Моррис

Роберт Тэппэн Моррис родился в 1965 году и прославился в качестве создателя первого сетевого компьютерного червя. Детище хакера смогло в 1988 году парализовать работу 6 тысяч компьютеров в США.

Программа-червь проникала в чужие сети и компьютеры, интенсивно размножаясь, портя при этом файлы и программы.

Червь Мориса пытался подобрать пароль к зараженным машинам, используя словарь из популярных слов. Его атака буквально парализовала сеть ARPANET, после чего в системы безопасности были внесены существенные изменения. В июле 1989 года Моррис был арестован и стал первым осужденным за компьютерное мошенничество.

Сам хакер заявил, что создал червя лишь для того, чтобы сосчитать количество компьютеров в сети. Однако суд счел такие доводы неубедительными, тем более что «невинные» действие нанесли ущерб в полмиллиона долларов. Хакеру был присуждено 3 года условного заключения и 400 часов общественных работ вместе со штрафом в 10 тысяч.

Сейчас Моррис работает в Массачусетском технологическом институте, являясь там профессором в области информатики и электроники. Можно утверждать, что со своим прошлым Роберт окончательно распрощался, ведь неслучайно именно его назначили руководителем исследований в Национальном Центре Компьютерной безопасности.

Сниффинг пакетов

Также довольно распространённый вид атаки, основанный на работе сетевой карты в режиме promiscuous mode, а также monitor mode для сетей Wi-Fi. В таком режиме все пакеты, полученные сетевой картой, пересылаются на обработку специальному приложению, называемому сниффером. В результате злоумышленник может получить большое количество служебной информации: кто, откуда и куда передавал пакеты, через какие адреса эти пакеты проходили. Самой большой опасностью такой атаки является получение самой информации, например логинов и паролей сотрудников, которые можно использовать для незаконного проникновения в систему под видом обычного сотрудника компании.

Лойд Блэнкеншип «Наставник»

Лойд Блэнкеншип входит в хакерскую группировку под названием Legion of Doom, которая в свое время враждовала с Masters of Deception. Считается, что в 90-х между двумя группами развернулась настоящая борьба, которая вошла в историю, как «Великая война хакеров», хотя на деле все участники LOD и MOD отрицают какие-либо конфликты. Что касается Лойда Блэнкеншипа, известного по нику «Наставник», он прославился своей работой, получившей название «Манифест хакера». Лойд опубликовал ее в середине 80-х после ареста ФБР. В манифесте говорится, что единственное преступление хакеров, это их любопытство. Также Лойд сформировал некий кодекс чести взломщиков, в котором говорится о безразличии хакеров к вероисповеданию, расе или политических предпочтениях, единственная цель — получение доступа к сокрытой информации. Этот манифест стал своего рода «Библией» хакеров всего мира, которые и сегодня свято чтят все предписания Лойда Блэнкеншипа, ставшего настоящей легендой.

Отказ в обслуживании

Основная статья: DoS-атака

DoS (от англ. Denial of Service — Отказ в обслуживании) — атака, имеющая своей целью заставить сервер не отвечать на запросы. Такой вид атаки не подразумевает получение некоторой секретной информации, но иногда бывает подспорьем в инициализации других атак. Например, некоторые программы из-за ошибок в своём коде могут вызывать исключительные ситуации и при отключении сервисов способны исполнять код, предоставленный злоумышленником, или атаки лавинного типа, когда сервер не может обработать огромное количество входящих пакетов.

DDoS (от англ. Distributed Denial of Service — Распределенная DoS) — подтип DoS атаки, имеющий ту же цель, что и DoS, но производимой не с одного компьютера, а с нескольких компьютеров в сети. В данных типах атак используется либо возникновение ошибок, приводящих к отказу сервиса, либо срабатывание защиты, приводящей к блокированию работы сервиса, а в результате также к отказу в обслуживании. DDoS используется там, где обычный DoS неэффективен. Для этого несколько компьютеров объединяются, и каждый производит DoS-атаку на систему жертвы. Вместе это называется DDoS-атака. Размер ботнета может составлять от нескольких десятков до нескольких сотен тысяч компьютеров.

Любая атака представляет собой не что иное, как попытку использовать несовершенство системы безопасности жертвы либо для получения информации, либо для нанесения вреда системе, поэтому причиной любой удачной атаки является профессионализм крэкера и ценность информации, а также недостаточная компетенция администратора системы безопасности, в частности, несовершенство программного обеспечения и недостаточное внимание к вопросам безопасности в компании в целом.

Суть технологии обмана

Deception относится к решениям класса Intrusion Detection System (IDS) — системам обнаружения вторжений. Основная цель такой системы — выявлять попытки нежелательного доступа к сети. Иными словами, Deception помогает обнаруживать сетевые атаки.

В чем отличие Deception от ханипотов? Ханипот — это отдельный сетевой ресурс, который ни с кем не взаимодействует, а только ждет атакующего, чтобы записать его действия. Deception же — это централизованная система управления ложными сетевыми объектами, которые принято называть ловушками (decoys). Каждая ловушка представляет собой, по сути, отдельный ханипот, однако все они связаны с центральным сервером.

Такие решения обычно имеют удобный интерфейс для управления ловушками. Оператор может создавать ловушки с желаемым набором эмулируемых сетевых сервисов, в выбранной подсети, с нужным способом получения IP-адреса и так далее.

Ловушки и эмулируемые на них сервисы поддерживают постоянное соединение с сервером. Так же как и ханипоты, ловушки в Deception не предусматривают легитимного сетевого взаимодействия (за исключением взаимодействия с другими компонентами Deception).

Ловушка будет сообщать на сервер о любой попытке взаимодействия с ней: это служит индикатором атаки. При этом оператор может моментально получить уведомление о произошедшем событии. В нем будут указаны детали произошедшего: адрес и порт источника и цели, протокол взаимодействия, время срабатывания и так далее.

Дополнительные модули в составе Deception также могут предоставлять возможность ручного или автоматизированного реагирования на инциденты.

В понятие Deception могут входить и другие вещи

Некоторые компоненты помогают упростить настройки и автоматизацию развертывания, другие делают ловушки больше похожими на настоящие сетевые сервисы, еще одни — привлекают внимание хакеров к ложным целям

Некоторые компоненты могут решать смежные задачи — например, реагировать на инциденты, собирать индикаторы компрометации с рабочих станций и искать на них уязвимое ПО.

Китайская хакерская группировка APT10

Хакерская группа APT10 (aka Menupass, aka Red Apollo, aka Stone Panda, aka CVNX) регулярно попадает на радары аналитиков с 2009 года. Она ориентирована в первую очередь на строительные, инженерные, аэрокосмические и телекоммуникационные компании, а также правительственные организации в США, Европе и Японии. Выбор этих отраслей соответствует целям национальной безопасности Китая. По данным FireEye, за счет кибершпионажа APT10 китайское правительство получило доступ к военным разработкам, агентурным данным и другой ценной информации. Эта же группа ответственна за кражу сведений, составляющих коммерческую тайну и обеспечивающих конкурентное преимущество китайских корпораций (особенно в сфере телекома) на международном рынке.

Долгое время считалось, что после серии атак группа APT10 ушла со сцены, однако в 2016 году она снова привлекла внимание специалистов по информационной безопасности. В 2016–2017 годах APT10 провела массированные фишинговые атаки, затронувшие все шесть континентов (да, она задела даже полярные станции Антарктиды)

WannaCry: как работает крупнейшее компьютерное вымогательство

Программа-вымогатель 12 мая заблокировала десятки тысяч компьютеров по всему миру, в том числе в государственных учреждениях и крупных компаниях. Больше всего пострадала Россия. Отвечаем на главные вопросы о новой угрозе.

Что это за вирус?

Программа-вымогатель WannaCry (она же WCry и WannaCryptor) шифрует файлы пользователя, в результате чего их больше нельзя использовать. Для расшифровки файлов программа требует оплату в биткойнах, эквивалентную 300, по другим данным — 600 долларам.

Злоумышленники обещают удвоить стоимость выкупа 15 мая и сделать изменения на компьютере безвозвратными 19 мая. Также они обещают «бесплатные мероприятия» для бедных пользователей. Связаться со злоумышленниками можно прямо через программу.

Кто уже пострадал?

Больше всего от вируса страдают страны бывшего СССР

Причем здесь Агентство национальной безопасности США?

Судя по русскоязычной версии программы, условия выкупа изначально были написаны на другом языке и переведены машинным способом

Бывший сотрудник американских спецслужб Эдвард Сноуден заявил, что АНБ может быть косвенно причастна к атаке.

АНБ пока никак не прокомментировало эти утверждения, в то время как министерство внутренней безопасности США заявило, что осведомлено о ситуации с вирусом WannaCry и работает над предотвращением его последствий на гражданские и государственные сети.

Сколько уже «заработали» вымогатели?

Для сбора средств злоумышленники используют по меньшей мере четыре кошелька для биткойнов (1, 2, 3, 4). Меньше чем за сутки пострадавшие перевели на них более 7 биткойнов, что равно 12 тыс. долларов. Учитывая, что пользователи обычно откладывают выкуп на последний день, «прибыль» может вырасти многократно.

Почему это работает?

Как защититься?

Программы-вымогатели обычно устанавливаются через документы, распространяемые по электронной почте. Как называется файл-переносчик в случае с WannaCry, пока также не ясно.

Mailboming

Mailboming можно назвать «классикой» хакерских атак. В данном случае действия хакеров направлены на отправку большого количества почтовых сообщений, что приведет к отказу в работе сначала почтового ящика, а затем сервера. Несмотря на примитивность этой атаки, ее очень сложно предотвратить. Самым эффективным способом являются специальные антиспам-фильтры. Многие провайдеры также ограничивают максимально возможное число писем от одного отправителя. Но такая профилактика не всегда эффективна ввиду того, что хакеры генерируют множество почтовых ящиков, откуда будет отправлен спам.

Chaos Computer Club (ССС)

Chaos Computer Club является очень старой хакерской группой. Она основана ещё в 1981 году немецкими хакерами. На сегодняшний день это очень крупная сеть, которая объединяет преимущественно немецкоговорящих хакеров.

Это говорит о том, что у этих людей есть свой определённый кодекс поведения. Отчасти их стратегия законности обеспечила группе выживание на такой длительный период времени. Однако не все в этой огромной группе действовали исключительно в рамках закона, потому что CCC является по большей части дезорганизованной группой. Хакеры CCC стали известны в 1980-х гг, когда уведомили компанию Deutsche Bundespost (бывшая немецкая почтовая компания) о том, что их компьютерные системы недостаточно надёжны, что делало их лёгкой мишенью для ранних корыстных хакеров. Провайдер Deutsche Bundespost высокомерно заявил, что всё в порядке. Активисты CCC доказали, что провайдер ошибается, когда украли со счетов почтовиков 134 000 немецких марок. Деньги были возвращены на следующий день после атаки.

Кевин Поулсен

Кевин Поулсен в свое время был больше известен по прозвищу «Темный Данте». Его самой известной выходкой стал взлом телефонных линий радиостанции KIIS-FM, которая проводила конкурс. Именно Кевин стал 102 дозвонившимся и смог выиграть в прямом эфире автомобиль Порше 944. Родился хакер в 1965 году и уже в возрасте 13 лет он стал путешественникам по междугородним телефонным линиям.

Его излюбленным местом стали телеконференции Лос-Анджелеса, в которых он мог общаться со своими ровесниками, скрывая свою стеснительную сущность. Родители были заняты работой и собой, вот и рос мальчик замкнутым.

К 16 годам Кевин уже научился прослушивать чужие телефонные разговоры, к тому же родители подарили ему первый компьютер.

В 18 лет юного хакера впервые поймали за незаконное проникновение в сеть UCLA, однако ввиду несовершеннолетия преступника отпустили. Повзрослев, Поулсен стал работать в компьютерных компаниях, изучая безопасность. Но ночью он превращался в «Темного Данте», воруя файлы с планами военных, организовывая прослушки и слежение.

В 1991 году ФБР наконец-то объявила кибер-преступника в розыск, а в 1993 состоялся его самый известный взлом телефонных сетей. В результате в 1994 году Поулсен был арестован, выплатил штраф и отсидел 4 года. Сейчас бывший хакер занимается журналистикой, публикуя статьи по знакомой ему тематике компьютерной безопасности.

Драгонфлай

Драгонфлай является спонсируемой государством группой хакеров из России и стран Восточной Европы. Их основные цели — это электрические сети, энергетическая индустрия, и командные системы государств Европы и США. Драгонфлай обозначается как постоянно активная угроза. Активисты Драгонфлай внедряли трояны в легально распростроняемое программное обеспечение для промышленных систем управления, что очень похоже на вирус Staxnet. Данное вредоносное ПО может нарушать работы многих промышленных и инфраструктурных объектов, что делает группировку Драгонфлай крайне опасным противником.

Заключение

Техники китайских хакерских APT-групп очень наглядно выявляют реальные проблемы безопасности. В узком кругу специалисты могут дискутировать о тонкостях алгоритмов детектирования угроз разными антивирусами, обсуждать продвинутые методы анализа трафика и особенности SIEM, но реальность куда прозаичнее. Самые массовые атаки выполняются с использованием самых примитивных средств.

Пользователи упорно кликают на все подряд и сами отключают защитные средства по инструкции из фишинговых писем. Доверие к поставщикам облачных услуг часто оказывается необоснованным, а инертность собственных системных администраторов приводит к тому, что тысячи организаций страдают из-за двух старых уязвимостей.

Подобное происходит регулярно, и именно это в итоге заставляет разработчиков принимать непопулярные решения. В частности, отчеты аналитиков подвигли Microsoft сделать в Windows 10 систему принудительной установки обновлений, которая вызывает сейчас столько недовольства.