Кибердиверсии как оружие спецслужб

#1

Как Россия нанимает элитных хакеров для ведения кибервойны

Информация о российском "кибероружии" остается за завесой тайны. Несмотря на это, попытки правительства РФ нанять экспертов по программированию в преддверии президентских выборов в США пролили свет на план Кремля по созданию собственной команды хакеров.

Об этом пишет
New York Times.



Генерал Валерий Герасимов, первый заместитель министра обороны РФ (слева), и глава МИД Сергей Лавров, октябрь 2016-го года. Замминистра обороны стал автором "доктрины Герасимова", которая утверждает, что границы между состояниями войны и мира стали размытыми, и что секретные тактики (такие, как ведение кибервойн) должны приобрести особую важность.

В статье под заголовком "Рядовой хакер", вышедшей в правительственной "Российской газете", замминистра обороны генерал Олег Остапенко сообщает, что в научные роты могут быть наняты хакеры с криминальным прошлым.

"С точки зрения использования научного потенциала это, наверное, предмет для обсуждения", - цитируют СМИ его интервью за 2013 год.

По словам экспертов, эти слова не были пустыми обещаниями.

"Бывали случаи, когда хакеров арестовывали, но в тюрьме они так и не оказывались", - рассказывает Дмитрий Альперович, сооснователь и главный инженер в CrowdStrike.

Его компания, специализирующаяся на кибербезопасности, первой идентифицировала взломщиков Национального комитета Демократической партии – хакерскую группу Fancy Bear.

Вяря – программист, отказавшийся от сотрудничества с правительством, - был по-своему привлекательной кандидатурой для такой работы. Это человек, чья деятельность заключалась в защите пользователей от хакерских атак. В частности, он занимался защитой сайтов от DDoS-атак, при которых ресурс "падает" из-за огромного потока фейкового трафика. Среди его клиентов была независимая газета "Ведомости", оппозиционный телеканал "Дождь" и сайт Алексея Навального.

По словам Вяри, в 2015 году его пригласили сопровождать представителя компании "Ростек" Василия Бровко в Софию (Болгария). Как оказалось, речь шла о демонстрации нового программного обеспечения для организации DDoS-атак. Вяря рассказывает, что болгарская фирма, разработавшая данное ПО, ненадолго вывела из строя сайт Министерства обороны Украины и российский новостной сайт Slon.ru. В "Слоне" подтвердили, что их сайт был недоступен на протяжении примерно двух минут в этот день (5 февраля 2015 года).

После демонстрации Бровко спросил у Вяри, каким образом можно улучшить такое ПО. Затем он якобы предложил ему работу, заключавшуюся в управлении DDoS-программами, которые россияне планировали купить у болгар за $1 млн. По словам Вяри, проблемы начались, когда он отказался от предложения: за ним установили слежку, а знакомый из правоохранительных органов и вовсе посоветовал ему покинуть страну. Как рассказал бывший работодатель Вяри, в 2015 году мужчина попросил убежища в Финляндии. Финское правительство не комментирует ситуацию по соображениям безопасности и неприкосновенности частной жизни.

"Как только мы поняли, к чему все идет, Сашу проинструктировали, чтобы он вернулся в гостиницу и прекратил контакты со всеми", - говорит его бывший босс Александр Лямин из московской компании Qrator.

Потенциальные работодатели были настойчивы, и Вяря был вынужден бежать из страны.
 
#3
Отчет разведки США: Путин приказал провести спецоперацию, чтобы помочь Трампу выиграть

The Washington Post

В пятницу 6 января три американских спецслужбы – Федеральное бюро расследований, Центральное разведывательное управление и Агентство национальной безопасности – рассекретили и обнародовали совместный отчет о вмешательстве РФ в избирательную кампанию в США.

Американские разведчики пришли к согласию относительно того, что российское высшее руководство, включая президента Путина, лично причастно к кампании по незаконному влиянию на ход президентских выборов в США.

"Вы оцениваем, что президент Владимир Путин отдал приказ о кампании, направленной на президентские выборы в США.

Целью России было подорвать публичное доверие к демократическому процессу в США, очернить (кандидата в президенты) Клинтон, нанести ущерб ее шансам на избрание и потенциальное президентство.

Мы также оцениваем, что президент Путин предоставил четкое предпочтение Трампу.

Мы (все три разведывательных органа) имеем высокую степень уверенности по поводу этих суждений", - говорится в отчете.

Среди прочего, Россия стояла за взломом почты штаба демократов, который стал источником информации, дискредитировавшей Клинтон.

Также американские разведчики сообщили об использовании технологии "интернет-троллей" для изменения результата выборов президента США. В отчете говорится о "стратегии массовых сообщений, усилившей прикрытие операции спецслужбы – включительно с действиями российских правительственных агентства, государственник СМИ, других посредников, а также проплаченных пользователей социальных медиа, так называемых троллей".

"Мы считаем, что Москва применит накопленный опыт для дальнейших действий во всем мире, включая влияние на выборы в государствах-союзниках США", - говорится в отчете.
 
#4
German security agency accuses Russia in cyber attacks on the OSCE

Глава Федерального ведомства по защите конституции Германии, Ханс-Георг Маассен утверждает, что контрразведка агентства подозревает российских хакеров в атаке на компьютеры ОБСЕ, которые произошли в начале ноября 2016 года

The office for the protection of Constitution of Germany came to the conclusion that in large-scale hacker attack on the servers of the Organization for Security and Cooperation in Europe (OSCE) in 2016 are suspected Russian hackers. As a result of attack on the OSCE computers the hackers could gain access to classified documents of the organization.

The head of the Federal office for the protection of the German Constitution, Hans-Georg Maassen states that counterintelligence agency suspects Russian hackers in the attack on the OSCE computers that occurred in early November 2016, according to the DPA (German Press Agency).

German security chief Hans-Georg Maassen explained that the infrastructure, through which the attack on the OSCE was carried out, is similar to the one used during APT28 campaign, in the framework of which cyber attack on Bundestag servers was carried out two years ago:

“Our analysis showed that the structural features of this attack are similar to those that are already familiar to us from other cyber-groups APT 28, in relation to the attack on the German Bundestag. There are signs indicating a connection APT28 with Russian sources”, – stressed Hans-Georg Maassen.
 

Progressor

Модератор
Команда форума
#5
Хамасовцы под видом молодых и красивых девушек заводят знакомства с солдатами и офицерами ЦАХАЛа в соцсетях. Также предлагали скачать "аппликацию для чата", которая являлась трояном и предоставляла полный доступ к телефону жертвы.

http://cursorinfo.co.il/news/novost...asa-soblaznyayut-izrailskih-voennosluzhashih/

http://www.ynet.co.il/articles/0,7340,L-4906100,00.html
 
#6
Похищение электронной переписки Владислава Суркова привело к отставке высокопоставленного чиновника

Об этом сообщают «Ведомости» со ссылкой на два близких к Администрации президента источника. Речь идет о руководителе аппарата Суркова Александре Павлове, который уволился в декабре прошлого года, пишет газета. В управлении президента по экономическому сотрудничеству со странами СНГ, Абхазией и Южной Осетией, которое возглавляет Сурков, эту информацию отвергли. «Три года отработал, устал», – сказал представитель ведомства.

В октябре прошлого года группа украинских хакеров опубликовала письма электронной почты, якобы принадлежавшей Суркову. Пресс-секретарь президента Дмитрий Песков тогда опроверг информацию о взломе личной электронной почты помощника президента, отметив, что он ею вообще не пользуется.
 
#7
Служба кибервоина-чекиста опасна и трудна

Обрастает подробностями арест начальника 2-го оперативного управления Центра информационной безопасности (ЦИБ) ФСБ Сергея Михайлова. Наши источники подтвердили, что Михайлова действительно задержали в ходе заседания коллегии ФСБ. При этом задержание прошло театрализованно-показательно: на голову офицера ФСБ, подозреваемого в государственной измене, надели светонепроницаемый мешок.

Первым эту информацию распространил сайт «Царьград», созданный «православным олигархом» Константином Малофеевым. Малофееву приписывают дружбу с Андреем Ивашко, руководителем Центра защиты информации и специальной связи ФСБ (ЦЗИ). ЦИБ и ЦЗИ — в какой-то мере дублирующие друг друга и потому конкурирующие структуры в системе ФСБ. Поэтому появление на сайте, контролируемом Малофеевым, подробностей ареста Михайлова не удивляет. Хотя несколько неожиданной выглядит версия, выдвинутая изданием, что арестованный офицер ФСБ был связан с хакерской группировкой «Шалтай-Болтай».

Намекают на украинские связи: Михайлов якобы покровительствовал и курировал хакеров «Шалтай-Болтай», прославившихся взломами личных переписок чиновников администрации президента.
 
#8
По утечкам этой внутричекистской разборки можно предположить, что русские кибер-воины организованы в два боевых соединения:
  • первое условно назовем духовные хакеры, им руководит ЦЗИ ФСБ.
  • второе бездуховные хакеры, подчиняется ЦИБ ФСБ.
По ЦИБ есть еще информация, что в рамках внутривидовой борьбы киберчекистов арестован (в декабре 2016 в рамках того же делопроизводства, что и Михайлов) топ-менеджер «Лаборатории Касперского» Руслан Стоянов. Возможно «Лаборатория Касперского» входит в соединение бездуховных. Впрочем, альтернативно сплетничают, что "топ-менеджер" - лишь мальчик от Касперского, который отвечал за установку антивируса в Кремле, и наказан за некомпетентность.

Ну и немного набросов из операции информприкрытия этой разборки:

 
#9
Еще по прикрытию скандала: ФСБшники набоасывают через "Росбалт", что якобы переписку Суркова слил задержанный майор хакер "Шалтай-Болтай" из ФСБ. Типа это был не косяк, косяков в Кремле не бывает, сливали по коварному плану, но перестарались.
Создатель сайта «Шалтай-Болтай», на котором размещалась переписка чиновников, журналист Владимир Аникеев, более известный в определенных кругах как Льюис, был задержан по прилету с Украины, где он, как предполагается, занимался размещением на местном сайте переписки помощника президента РФ Владислава Суркова. В своих показаниях Люьис говорил о сотруднике ЦИБ Михайлове.

Как рассказал источник «Росбалта», знакомый с ситуацией, Владимир Аникеев был задержан сотрудниками ФСБ в конце октября 2016 года, когда прибыл в Санкт-Петербург с Украины. «Операция стала результатом долгой работы. Была разыграна сложная оперативная комбинация с целью выманить Льюиса с Украины, откуда он возвращаться не собирался», — рассказал источник агентства. Аникеева доставили в Москву, где Следственное управление ФСБ предъявило ему обвинение по статье 272 УК РФ (Неправомерный доступ к компьютерной информации).

В первую очередь контрразведчиков интересовала ситуация с «утечкой» переписки Владислава Суркова — к тому времени было известно, что она в руках команды «Шалтая-Болтая». Поскольку речь шла об электронной почте с окончанием gov, то ситуация вызвала серьезную обеспокоенность и у ФСО. В результате эта переписка была опубликована на украинском сайте некоего объединения хакеров, называвшего себя «Киберхунтой». В реальности же подозревается, что ее размещением занимался Аникеев. Он и раньше постоянно бывал в этой стране, там жила его девушка; по имевшимся данным, в Россию он возвращаться не собирался. Также у Льюиса интересовались другими переписками чиновников, которые появлялись уже на сайте «Шалтай-Болтай».

«Аникеев сразу начал сотрудничать со следствием и давать развернутые показания, в которых неоднократно упоминался Михайлов — как лицо, связанное с командой «Шалтай-Болтая», — рассказал собеседник «Росбалта». А в декабре 2016 года были задержаны Михайлов и его «правая рука», тоже сотрудник ЦИБ, Дмитрий Докучаев. Суд принял решение об их аресте. Еще один сотрудник ЦИБ также был задержан, но после допроса, ему не стали избирать меру пресечения, связанную с лишением свободы.

Согласно версии источника агентства, события развивались следующим образом. В начале 2016 года в подразделение, возглавляемое Михайловым, поступила указание «поработать» с ресурсом «Шалтай-Болтай», который публиковал переписку госслужащих. Непосредственным исполнителем был Докучаев. Сотрудникам ЦИБ удалось вычислить команду «Шалтая-Болтая», участники который взяли себе прозвища из произведения Льюиса Кэрролла «Алиса в стране чудес»: Алиса, Мартовский Заяц и т. д. У создателя ресурса и организатора команды Аникеева было прозвище Льюис. Летом в Санкт-Петербурге были проведены обыски. Хотя формально для них нашлись другие причины.

По версии источника «Росбалта», как раз после летней атаки у команды «Шалтая-Болтая» появился хозяин, точнее — куратор. По мнению собеседника агентства, им мог быть Сергей Михайлов. В результате изменились и методы работы команды Льюиса, и объекты, чья переписка стала публиковаться для широкого доступа. Раньше люди Льюиса вычисляли объекты в местах, где он будет пользоваться мобильным телефоном. Они получали доступ к содержимым трубок при помощи фальшсоты (если речь шла о мобильном интернете) или при помощи лже-Wi-FI (если человек подключался к Wi-FI). Дальше скачанный контент отправлялся члену команды Льюиса, проживающему в Эстонии. Он его «разгребал» и выбирал, что нужно выставить в открытый доступ, что — на продажу за биткоины. Всей финансовой частью «Шалтая-Болтая» занимались несколько человек, проживающих в Таиланде. Полученные биткоины обналичивались на Украине. Изредка источники Льюиса «подбрасывали» уже «снятую» другими хакерами почту.

После лета «Шалтай Болтай» стал работать исключительно с предоставленным ему куратором контентом. Если раньше в открытый доступ выкладывалась переписка скорее «развлекательного» характера, а также лиц, чьи «тайны» особого вреда не доставят, то потом стала выкладываться почта госслужащих, содержащая сведения, способные доставить серьезные неприятности. Когда стало известно, что на Украину «утекла» переписка Суркова, это переполнило чащу терпения. «Михайлов великолепный специалист. Лучший в своем деле. Можно сказать, что ЦИБ — это Михайлов. Но он заигрался», — высказал мнение собеседник «Росбалта».
 
#10
У меня начинает складываться логическая последовательность. Сперва недоумевал, когда читал, что полковнику ФСБ надели мешок на голову во время совещания за то, что он плохо руководил хакерами Шалтая. Недоумевал и за хакеров Шалтая, которых снимали в Питере прямо с самолета, прилетевшего с Украины (несмотря на то, что пассажирское авиасообщение между странами прервано с началом украино-российской войны). Ну, думаю, выгодно в России работать хакером ФСБ, хватает на личный бизнес-джет. Думал, что ответ в арестах в Лаборатории Касперского, где проморгали украинских диверсантов в личных письмах Суркова. Тех самых, которых по словам Суркова, у него нет.

А оказывается хакеры Шалтая летают в Украину на личных джетах за деньги ЦРУ.
Арестованных офицеров ФСБ обвинили в сотрудничестве с ЦРУ
Интерфакс 16:08, 31 января 2017

Арестованные по делу о госизмене сотрудники ФСБ России передавали конфиденциальную информацию Центральному разведывательному управлению США, сообщил «Интерфаксу» источник, знакомый с ходом расследования.

Он также рассказал, что кроме начальника отдела Центра информационной безопасности ФСБ РФ Сергея Михайлова и его заместителя Дмитрия Докучаева по делу о госизмене арестованы еще два человека.

В качестве соучастников, по словам собеседника агентства, по делу проходят еще восемь человек. Им обвинения не предъявлены, возможно, добавил он, они «отделаются статусом свидетелей».

Другой источник агентства рассказал, что «темы хакерских атак и предательства как бы накладываются друг на друга по делу, но не пересекаются».

«Каждый из фигурантов занимался своим делом — кто-то разрабатывал и применял схемы кибератак, а кто-то сотрудничал с иностранными спецслужбами. И эти направления шли параллельно и, как правило, не пересекались», — сказал собеседник «Интерфакса».

Всю группу, по его данным, связывало то, что они были знакомы друг с другом и имели отношение к IT-технологиям и сфере информационной безопасности.

«Причем главным в этой цепочке был не старший по должности и званию», — добавил он.

Офицеры ФСБ Сергей Михайлов и Дмитрий Докучаев были взяты под стражу в декабре 2016 года. Михайлову и Докучаеву были предъявлены обвинения в госизмене. Михайлова, как сообщалось, также подозревают в получении денег от иностранной компании.
Еще одним фигурантом дела, как сообщалось, является сотрудник «Лаборатории Касперского» Руслан Стоянов.
По некоторым данным, не подтвержденным официально, арестованные сотрудники ФСБ связаны с хакерской группой «Шалтай-Болтай» («Анонимный интернационал»). По сведениям «Новой газеты», в управлении собственной безопасности ФСБ считают, что Сергей Михайлов курировал «Шалтай-Болтай», а взломы осуществлял Дмитрий Докучаев.
В январе также стало известно, что осенью 2016 года под стражу взят Владимир Аникеев, которого «Росбалт» называет основателем «Шалтая-Болтая». Аникеева подозревают в компьютерном взломе. По версии источников «Росбалта», офицеров ФСБ задержали после того, как Аникеев дла против них показания.
 
#11
Другой источник агентства рассказал, что «темы хакерских атак и предательства как бы накладываются друг на друга по делу, но не пересекаются».
«Каждый из фигурантов занимался своим делом — кто-то разрабатывал и применял схемы кибератак, а кто-то сотрудничал с иностранными спецслужбами. И эти направления шли параллельно и, как правило, не пересекались», — сказал собеседник «Интерфакса».
Всю группу, по его данным, связывало то, что они были знакомы друг с другом и имели отношение к IT-технологиям и сфере информационной безопасности.
Ага-ага... И при этом их объединяют в одно дело... Уржаться... По таким критериям можно всю контору закрыть...
 
#12
Ага-ага... И при этом их объединяют в одно дело... Уржаться... По таким критериям можно всю контору закрыть...
Там темы хакерских атак и предательства так накладываются, что я даже приблизительно мозаику построить не берусь.

Из известных фактов:
  • У чекистов есть два боевых отряда кибервоинов, ЦИБ и ЦЗИ ФСБ.
  • Есть сливы по американским демам в Wikileaks, который до боли похож на сливной бачок чекистов.
  • Есть некий доклад спецслужб президенту США, после которого 35 российских воинов невидимого фронта отъезжают на родину вместе с беременными супругами, беременными приемными дочками и беременными приемными сестрами.
  • Есть дамп почты из приемной Суркова.
  • Есть "уставший" руководитель аппарата Суркова, который быстро отошел от дел.
  • Есть дохлый генерал ФСБ (см. например здесь).
  • Есть полковник ФСБ с мешком на голове, начальник отдела ЦИБ, там же с мешком есть и его зам майор.
  • Есть запытанный в застенках ФСБ "топ-менеджер" Касперского, который непрерывно дает показания на всех чекистов, кого знал, или пусть даже и не знал.
  • Агентура ФСБ из Шалтая также поет в застенках, не останавливаясь.
Как и какие из этих фактов связаны между собой - непростая задачка. Начать хотя бы с вопроса, кто из ЦИБ и ЦЗИ ФСБ - активный, а кто пассивный гомосек чекист. В смысле - кто контрразведка, а кто диверсии? По логике духовные хакеры (ЦЗИ) должны быть контрразведчиками, они как раз карают сейчас своих сослуживцев, да и тесты IQ подсказывают, что духовных логично в оборону отправлять. Но слухи как раз утверждают обратное ...
 
#13
Спецслужбы Норвегии обвинили хакеров из РФ в попытке взлома их почты

В Норвегии зафиксировали хакерские атаки на девять ящиков электронной почты ряда сотрудников госслужб. По версии правоохранителей, попытку взлома осуществили хакеры группы APT29, предположительно связанной с российской военной и гражданской разведкой. Атакам, в частности, подверглись, электронная почта работников службы безопасности Норвегии, членов Рабочей партии, сотрудников министерства иностранных дел и военного университета.

Представитель полицейской службы безопасности Норвегии Мартин Бернсен сообщил, что служба была предупреждена ранее в этом году зарубежным партнером о возможных атаках. Хакеры, скорее всего, не смогли получить "секретную информацию", добавил Бернсен.

Хакерская группа ATP29 также известна под названием Cozy Bear ("уютный медведь"). Ее подозревают в попытках взлома серверов Демократической партии США, Белого дома, Госдепа и Пентагона.
 
#14
Продолжаем наш шпионский триллер о 18-й центре ЦИБ ФСБ.

31 января стало известно об аресте еще двух человек по "делу Михайлова – Докучаева – Стоянова". Это Константин Тепляков и Александр Филинов.
“Ъ” стали известны имена еще двух фигурантов уголовного дела, по одной из версий связанного с хакерской группировкой «Шалтай-Болтай». Наряду с ее предполагаемым лидером Владимиром Аникеевым с начала декабря в СИЗО находятся его знакомый Константин Тепляков и Александр Филинов. Про последнего почти ничего не известно, зато господин Тепляков еще в 2009 году создал десятки фишинговых сайтов, а в последние годы жил в Таиланде и Киеве, управляя агентствами недвижимости.

Константин Тепляков и Александр Филинов, обвиняемые в нарушении ст. 272 УК РФ (неправомерный доступ к компьютерной информации), арестованы по постановлению Лефортовского районного суда Москвы в начале декабря, подтвердила пресс-секретарь суда Екатерина Краснова. По данным “Ъ”, аресты произведены в рамках уголовного дела, фигурантом которого также выступает предполагаемый участник хакерской группы «Шалтай-Болтай» Владимир Аникеев, арестованный в ноябре 2016 года по обвинению в неправомерном доступе к компьютерной информации.

Почему расследование вокруг ЦИБ ФСБ привело к аресту сотрудника «Лаборатории Касперского»

Ряд СМИ связали этот арест с другим громким уголовным делом в сфере кибербезопасности: в декабре 2016 года по обвинению в нарушении ст. 275 УК РФ (государственная измена) следственное управление ФСБ арестовало сотрудников Центра информационной безопасности службы Сергея Михайлова и Дмитрия Докучаева, а также главу отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслана Стоянова. Впрочем, руководитель правозащитной организации «Команда 29» Иван Павлов, выступающий адвокатом одного из фигурантов дела о госизмене, связь отрицает. По его словам, сотрудников ФСБ и «Лаборатории Касперского» обвиняют в передаче информации иностранным спецслужбам.

О том, что Владимир Аникеев под псевдонимом Льюис может быть организатором группы «Шалтай-Болтай», несколько лет взламывавшей электронные почтовые ящики и аккаунты в социальных сетях российских политиков и бизнесменов, сообщало ИА «Росбалт». По его информации, Владимир Аникеев в 1990-е работал журналистом в петербургских СМИ, а затем начал добывать компромат на бизнесменов и чиновников, который продавал им самим или заинтересованным лицам. По данным «Росбалта», арест был санкционирован после того, как в руках «Шалтая-Болтая» якобы появилась переписка помощника президента РФ Владислава Суркова, украденная из электронного ящика в домене gov.ru, администрируемого Федеральной службой охраны.


Предположительный организатор группы «Шалтай-Болтай» Владимир Аникеев

По информации “Ъ”, господин Аникеев сразу начал активно сотрудничать со следствием, ходатайствовал о досудебном соглашении и «сдал» не только своих друзей-хакеров Теплякова и Филинова, но и якобы курировавших «Шалтай-Болтай» Сергея Михайлова и его заместителя Дмитрия Докучаева. Как убедился “Ъ”, Константин Тепляков находится в списке друзей Владимира Аникеева во всех популярных социальных сетях. Согласно аккаунтам, в 2005 году он окончил Санкт-Петербургский государственный университет информационных технологий, механики и оптики, затем несколько лет работал разработчиком компьютерных игр Destiny Sphere, NetWars и Astronix, с 2007 года ушел на «вольные хлеба» и переехал в Таиланд, а в октябре 2016 года сообщал, что «полгода как» перебрался в Киев. Он также называет себя одним из учредителей агентства «Белый слон» и управляющим партнером Q Property — компании специализируются на продаже недвижимости в Таиланде и Черногории. По данным RIPE, домен belij-slon.com, на котором находится сайт одноименной компании, также зарегистрирован на господина Теплякова.

Чем известен лидер группировки «Шалтай-Болтай»

Согласно информации MalwareDomainList.com, Константин Тепляков еще в 2009 году зарегистрировал более 30 веб-сайтов, с которых распространялось вредоносное ПО, в том числе трояны и фальшивые антивирусы. Об этом также упоминал в своем блоге аналитик американской PhishMe Гари Уорнер. Один из собеседников “Ъ” на рынке информационной безопасности отмечает, что именно с заражения компьютеров жертв вредоносным ПО, вероятно, начинали свою деятельность члены «Шалтая-Болтая». По данным СМИ, затем хакеры обзавелись фальшивой базовой станцией мобильного оператора и Wi-Fi-роутером, которые позволяли красть данные в общественных местах.

Обнаружить какую-либо достоверную информацию о втором арестованном, Александре Филинове, не удалось. По данным ряда источников “Ъ”, он работал инженером в структурах одного из сотовых операторов и также являлся поставщиком конфиденциальной информации.
 
#15
Рассказ еще одного российского кибервоина (точнее начальника в какой-то русской шараге), завербованного ЦИБ ФСБ.
Тимур (имя изменено по просьбе собеседника), топ-менеджер одной из крупных российских хостинговых компаний, рассказал Радио Свобода, что с департаментом Сергея Михайлова он, как и владельцы других аналогичных фирм в сфере IT, начал сотрудничать еще в конце 2000-х. "Мне стали звонить из приемной ФСБ (номер я проверил в интернете), но я не поднимал трубку – никаких официальных запросов от ФСБ нам тогда не поступало, – вспоминает Тимур. – Тогда они стали звонить всем возможным родственникам, супруге и говорить, что я должен немедленно с ними связаться, что это дело государственной важности. Я молодой тогда был, свои права не знал, конечно, я к ним пошел".

По словам молодого человека, сначала его пытались запугать, сказали, что на его компанию пришел запрос от ФБР, но они ответили американцам, что фирма легальная ("Мы работали официально, но как зарубежное юрлицо", – уточняет Тимур). Потом предложили сотрудничество. Поначалу всё было условно в рамках закона, люди Михайлова просили информацию о сомнительных клиентах Тимура, которую могли бы получить и с помощью официальных запросов. "Мы старались держать их в рамках, – говорит Тимур. – Когда они попросили данные по одному региональному оппозиционному сайту, мы ответили, что у нас на них ничего нет".

Денег ФСБ своему информатору не платила, но оказывала разные услуги, "помогая с бизнесом": "Однажды нам пришел неприятный запрос от МВД, они сказали: шли их на хрен, скажи, чтобы обращались к нам, если что. Мы так и сделали. В другой раз у коллеги зависли деньги на одном из счетов WebMoney – кошелек был оформлен на человека, который уволился из компании. Они говорят, иди в WebMoney и звони оттуда. Я позвонил, через какое-то время спустился, по всей видимости, начальник службы безопасности WebMoney и сказал удивленной операционистке, что нужно сделать, как я прошу".

Очень быстро, впрочем, запросы изменились: "В начале 2010-х вошли в моду DDoS-атаки, с помощью которых стали разбираться с конкурентами. Стоило это примерно тысячу долларов в сутки. Тогда многих из тех, кто сотрудничал с ЦИБом, начали привлекать для установки контактных данных и платежных реквизитов людей, предоставляющих эти услуги, выманивая их под видом клиентов. Но как я быстро понял, сажать они их не собирались", – рассказывает Тимур. В 2012-м массированной DDoS-атаке подвергся сайт ИД "Коммерсант", а в 2013-м сайт журнала The New Times. По мнению Тимура, сделали это "специалисты" по DDoS, на которых с помощью своих внештатных помощников вышел ЦИБ ФСБ. "Если в начале нашего сотрудничества ребята в ЦИБ вообще ничего не понимали в IT и постоянно консультировались с представителями отрасли по техническим вопросам, то через несколько лет там уже работали обычные айтишники и бывшие хакеры, которые изначально никакого отношения к спецслужбам не имели. Одного из них звали Димой, я не видел фотографии арестованного Докучаева, но думаю, что это он", – говорит Тимур.

С руководителем службы Сергеем Михайловым Тимур не знаком, он общался лишь с "кураторами", которые описывали своего начальника как "безбашенного" и "оторванного", говорили, что он любит лично ездить на задержания, "класть всех лицом в пол" и коллеги его не очень любят. При этом Михайлов часто ездил не только на IT-мероприятия в России, где общался с руководством всех крупных компаний – от "Лаборатории Касперского" до Microsoft. Судя по рассказам коллег, он контактировал и с американскими спецслужбами: "Я удивлялся, мы же вроде враги, а он ездил, по их словам, на какие-то конференции по обмену опытом", – говорит Тимур, рассказывая, что еще в 2010 году услышал от своих кураторов об идее создания реестра запрещенных сайтов – по аналогу американских сайтов spamhaus.org и clean-mx.com, которые борются с вирусными и фишинговыми веб-ресурсами (российский реестр при Роскомнадзоре создан в 2012-м, формально ФСБ к его созданию отношения не имела. – РС).
 
#16
CyberCaliphate. Je suIS IS

Российские спецслужбы проводили кибератаки, прикрываясь, как "КиберИГИЛ".

Russia mobilises an elite band of cyber warriors
Since the 2015 hack of France’s TV5Monde, the Kremlin-backed APT 28 has become bolder in its choice of targets



читать
 
#18
только для подписчиков
Упс, сорри. FT использует какой-то суровый скрипт, который режет копи-пасту, поленился с ним бороться (я не насколько продвинут в javascript). Исправляюсь.

Cyber Warfare
Russia mobilises an elite band of cyber warriors

Since the 2015 hack of France’s TV5Monde, the Kremlin-backed APT 28 has become bolder in its choice of targets
February 23, 2017 by: Sam Jones

It was an early dinner by Parisian standards, 8.40pm, on a mild spring evening at Prunier, an opulent seafood restaurant near the Arc de Triomphe. Amid the hum of conversation, the cracking of shellfish and the gentle chinking of glasses, Yves Bigot missed the insistent ringing. “Then I saw — multiple missed calls, SMS messages, emails, the whole shebang,” he recalls. “Both my phones were going berserk.”

Frantic staff at TV5Monde’s nearby offices had been trying to get in touch with their boss. Something had gone terribly wrong.

It was April 9 2015, and the channels across TV5Monde’s network, the world’s largest francophone broadcaster, began switching off, one by one. Hundreds of television screens at its headquarters, from the lobby to its broadcast galleries, had fallen silent. In its basement, the TV network’s servers were being systematically erased, digital piece by digital piece.


As he scrolled through panicked emails, Mr Bigot, the broadcaster’s director-general, opened a picture message on his phone. A colleague had taken screengrabs from the channel’s website and social media accounts: in place of the usual turquoise signage was the shahada — the Muslim profession of faith — written in white on black. Above it: “CyberCaliphate. Je suIS IS”.

Surrounded by squads of heavily armed counterterror police, a team of engineers worked through the night to save the network. They did so by a hair’s breadth.

In the days that followed the expected claim from Isis of responsibility for the attack never arrived. Cyber intelligence agents were on site for weeks conducting a forensic search to identify the culprits. Two months later, ANSSI, France’s cyber security agency, briefed Mr Bigot. The attack had not been the work of the Islamist group at all. Instead they believed responsibility lay with a group known as APT 28. They were Russian.

Attack on the DNC
A year later, in the spring of 2016 during the US election campaign, APT 28 would initiate an even more audacious operation. The group hacked the Democratic National Committee, releasing thousands of files to discredit Hillary Clinton and calling into question the sanctity of the US democratic system.

APT 28's hacking of Democratic National Committee files damaged Hillary Clinton's presidential campaign © AFP

The scale of the attack shocked the US, if not the entire western security community. But for those familiar with APT 28’s evolution, and the shift in its operations represented by the attack on TV5Monde, it came as no surprise.

“The curtain is still being pulled back,” says Shawn Henry, a former assistant director of the Federal Bureau of Investigation, now president of CrowdStrike, the cyber security company drafted in to defend the DNC. “People still don’t understand the implications and the impact of these types of attack . . . We’re further away from [security in cyber space], in the US, than we were eight years ago.”

The Financial Times has spoken to more than a dozen leading professionals with close knowledge of APT 28’s activities — including senior intelligence and military officials, as well as civilian cyber security experts who have first-hand experience of the group’s hacks.

Officials in the US, UK, Israel and Germany have all told the FT that they believe APT 28 is run by Russia’s sprawling military intelligence arm, the GRU. Moscow has consistently denied any connection to APT 28.

CrowdStrike president Shawn Henry: 'We’re further away from [security in cyber space], in the US, than we were eight years ago' © Bloomberg

Many fear the group’s activities are far from over. Cyber attacks on Nato are up 60 per cent in the past year, according to one official at the alliance. Attacks against EU institutions are up 20 per cent, says one senior security source at the commission.

The trail of evidence left by these attacks, while far from comprehensive, goes some way toward indicating the way Russia under President Vladimir Putin sees the world, and how the modern Russian state must secure its place within it. It is one of tactical opportunism and flexibility, but also deep and considered strategic commitments, lines of attack and influence, that have been years in development.

  • $100,000 - Cost to hackers of mounting a ‘zero-day’ attack on a system’s unpatched flaws

APT 28 has already compromised the computers of political parties in both France and Germany, which have national elections this year, says one senior industry analyst who declined to be named. Since the DNC hack, it has initiated “several” significant new operations, he adds. And hacked dozens of non-governmental organisations targeting most of the aid organisations working in Syria, including those providing information about casualties, according to a senior western security official. Russia claims forces there are fighting terrorism. The west insists Moscow’s bombing is done solely in support of the Assad regime. Independent information from the conflict is critical to establishing who is telling the truth.

“Putin and his team are the heirs of the Tsarist, and particularly the Communist secret services,” says Chris Donnelly, founder of the Institute for Statecraft and former adviser to successive Nato secretaries-general. “Their understanding is one of permanent conflict with the west in which information has always been a very important issue. Influence and subversion and the whole issue of what they call active measures, or dirty tricks, anything short of declared war, is there to be run.”

Kremlin connections
A forensic analysis of high-profile hacks suggests APT 28 has been active for at least a decade, hitting some of the most sensitive military and diplomatic organisations in the west. According to cyber security analysts, previous targets have included Academi, the private military company formerly known as Blackwater; US defence and intelligence contractor SAIC; the French and Hungarian defence ministries; Nato military attachés; the Organisation for Security and Co-operation in Europe; and the US State Department.

Its coding and technical capability is “top level”, says one British security official. But more distinctive is the group’s mastery of phishing attacks — sophisticated fake emails with realistic, but infected attachments. The FT was shown samples of some of the lures used by the group. In 2010, for example, Nato military attachés in Ankara were sent emails purporting to be from colleagues, with Excel files attached containing a list of their Nato peers’ contact details. The trick proved effective and was repeated two years later when APT 28 sent a tweaked version — a list of contact details for senior British military figures — to embassies across London featuring the names and contact details of their spouses, for added realism.

By opening the files, recipients would unwittingly install APT 28’s malware on to their computers. From those initial small digital bridgeheads, the group spread its surveillance tools across target networks, often giving it access to classified material and opportunities to cause immense damage.

Costin Raiu, head of global research at Moscow-based cyber security firm Kaspersky Labs, says APT 28’s resources distinguish it from other hacking groups. What sets it apart, Mr Raiu says, is the number of “zero day” attacks — operations which exploit flaws in software unknown to the manufacturer — that it carries out at a cost to the group of well over $100,000 a time. In 2015, the group carried out six known zero-day attacks.

  • $300m - Russia’s annual spend on its ‘cyber army’ of about 1,000, people, according to Kommersant

The group’s activities can be traced back to 2007 by analysing the code in its malware but it was not until 2014 that the scale of its work became too difficult to disguise. “[That] was when we got our first real foothold on the infrastructure this group was operating,” says Laura Galante, director of global intelligence at FireEye.

By taking samples of the hackers’ malware, essentially their digital fingerprints, the cyber security group compiled a history of the group’s activities. It was FireEye that first dubbed the group APT — advanced persistent threat — 28 in a 2014 report. Other cyber security and tech companies have conjured even more elaborate monikers for the group: Sofacy, Strontium and Fancy Bear among them.

The evidence, collected from hundreds of historical incidents involving APT 28, points towards Russia. “There is a decade-old professional effort behind this, with at least two different sets of minds in the operation. One a tool development effort and one researching what the targets look like and orchestrating the operations,” says Ms Galante, adding that it has all the hallmarks of classic spycraft.

Spycraft in the digital age
French intelligence agencies that investigated the TV5Monde case have stopped short of drawing a firm line between the group and the Kremlin.

Regardless the ANSSI concluded that the TV5Monde assault was a work of considerable sophistication. Beginning in January 2015, just days after the attack on the Paris office of the satirical magazine Charlie Hebdo, APT 28 mapped out the interlocking computer networks and broadcasting hardware that formed the backbone of TV5Monde’s systems. The endeavour would have required telecommunications engineers, skilled coders and, to plan and execute it, tacticians. There were at least seven different “vectors” of entry, ANSSI found. APT 28 even hacked into the third-party companies that supplied TV5Monde with their hardware, implanting malware into the automatic cameras being used in the TV station’s studios.

Increased security around the TV5Monde office after the April 2015 cyber attack on its network © EPA

The attack was only thwarted by luck. TV5Monde had 10 IT specialists working that evening instead of the usual two because of the launch of a new channel earlier that day. It was one of the extras who identified the internal server APT 28 was using to orchestrate its rampage. He ran down to the basement and yanked its cabling out of the sockets. “He’s kind of a hero here,” says Mr Bigot.

The crucial question, though, is why APT 28 shifted from years of covert, if predictable, intelligence gathering to a riskier operation of aggression, sabotage and manipulation. The attack on TV5Monde, says Mr Bigot, “was like a demo tape”.

Kremlinologists and the western intelligence community are still divided on the timing of Russia’s altered course in relations with the west: some date it to Kiev’s Maidan revolution in 2014 and subsequent invasion of eastern Ukraine; some see a slower-burning breakdown, with Moscow’s paranoia exacerbated by years of freewheeling US foreign policy and enthusiasm for regime change; a smaller group see an ever wider arc in which Russia is reasserting its Soviet, even Tsarist, geopolitical behaviour.

Russia’s military does not tend to talk of cyber warfare, as the west does, in tightly proscribed, legally measured actions, but rather discusses the broader concept of an information war — a concept that precedes the Soviet era — in which the toolkit has been brought up to speed for the digital era.

On Wednesday, Russian defence minister Sergei Shoigu confirmed the existence of “information troops”, rumoured for years but long denied by officials. “Propaganda must be smart, literate and effective,” he told the lower house of parliament. Russia spends $300m annually on its “cyber army” of about 1,000 people annually, according to the Kommersant business newspaper.

Andrei Soldatov, co-author of The Red Web, says the Kremlin has long seen cyber security as part of a broader concept of information warfare. “They really believe they are under some sort of siege,” Mr Soldatov says. “They believe that they lost the first Chechen war thanks to journalists, so when they are in a crisis, the first thing they need to do is control the information space.”

Russia analysts say there is a structural dynamic to the rise in APT 28’s activity. In 2013, Mr Putin ordered a modernisation of the way Russia controls its operations abroad. It created the National Defence Control Centre, designed to co-ordinate everything from propaganda, economic influence and intelligence through to conventional military operations.

“When they are looking at all these forms of conflict and competition now, they do so with a unified coherent view of how they should play things,” says Mr Donnelly. “It’s a militarised conception of how to operate.”

It has catapulted the GRU into a central role in Russia’s engagement with its adversaries. “The GRU has become very significant,” says James Sherr, associate fellow at the Chatham House think-tank. “And if you’re very significant then in the Russian system you expand.”

It is a volatile situation. Real-world tensions between Russia and Nato are running high in militarised zones like the Baltic and the Black Sea. “Cyber space,” jokes a recently retired senior British general, “is the new Balkans.”

No ‘back to normal’: How TV5Monde imposed digital detox after attack
For the first six months after APT 28’s attack on TV5Monde, the broadcaster went back to a pre-digital era.

There was just one secure computer on each floor. Staff had to queue, rarely less than 20 of them in the line, just to check their emails. Messaging services like Skype were banned. People could not use external flash drives. Uploaded files had to be rigorously decontaminated first.

Yves Bigot, TV5Monde’s director-general, has found a new vocation as an evangelist for cyber security. There is still no obvious motive for why the broadcaster was hit. That should be a warning to any large modern company, says Mr Bigot, anyone, in any industry, is a target.

He has few words of comfort. “The digital world is supposed to be fun and easy and cool and natural. But now it’s just the opposite,” he says.

When the network’s staff are abroad, their passwords change every time they log in. Phones cannot be plugged into computers to charge batteries. “What it comes down to basically is, we won’t go back to normal ever again, whatever normal is.”

Mr Bigot says TV5Monde is lucky. It has learnt and adapted. Other businesses will have to do so too. But many are still hesitating.

“Other companies I speak to understand they have to do something,” he says.

“But it’s like when you’re driving. The accident is never going to be you because you’re careful and you’re a good driver and you don’t drink. Until it has happened to you . . . you don’t take it seriously.”
 
#19
Трогательная смычка ленты российских черносотенцев Малофеева (они связаны с ЦЗИ ФСБ) с сайтом WikiLeaks
Царьград - новости‏ ЦРУ может стоять за кибератаками, в которых обвиняют Россию http://1st.tsargrad.tv/Y

WikiLeaks: ЦРУ может стоять за кибератаками, в которых обвиняют Россию
 
#20
The Washington Post Минюст США предъявит обвинения двум сотрудникам ФСБ и двум нанятым ими хакерам во взломе почтового сервиса Yahoo.
The Justice Department will announce indictments related to the heist of 500 million Yahoo user accounts in 2014. (Karen Bleier/Agence France-Presse via Getty Images)
By Ellen Nakashima March 15 at 9:46 AM

The Justice Department is set to announce Wednesday the indictments of two Russian spies and two criminal hackers in connection with the heist of 500 million Yahoo user accounts in 2014, marking the first U.S. criminal cyber charges ever against Russian government officials.

The indictments target two members of the Russian intelligence agency FSB, and two hackers hired by the Russians.

The charges include hacking, wire fraud, trade secret theft and economic espionage, according to officials, who spoke on the condition of anonymity because the charges have not yet been announced. The indictments are part of the largest hacking case brought by the United States.


The charges are unrelated to the hacking of the Democratic National Committee and the FBI’s investigation of Russian interference in the 2016 presidential campaign. But the move reflects the U.S. government’s increasing desire to hold foreign governments accountable for malicious acts in cyberspace.

The FBI and the Justice Department declined to comment.

The United States does not have an extradition treaty with Russia, but officials have said that taking steps such as charges and imposing sanctions can be a deterrent. People also sometimes slip up and travel to a country that is able and willing to transfer them to the United States for prosecution.

Yahoo reported the 2014 hack last fall — in what was then considered the largest data breach in history. The company later disclosed another intrusion affecting more than 1 billion user accounts in 2013, far surpassing the 2014 event. Officials have not determined whether there is a link between the two.

The twin hacks clouded the prospects for the sale of Yahoo’s core business to telecommunications giant Verizon. The deal is proceeding after Verizon negotiated the price down in the wake of the breaches.

The compromised accounts may have affected more than just email. Breaking into a Yahoo account would give the hackers access to users’ activity on Flickr, Tumblr, fantasy sports and other Yahoo applications.

In the 2014 hack, the FSB — Russia’s Federal Security Service, and a successor to the KGB — sought the information for intelligence purposes, targeting journalists, dissidents and U.S. government officials, but allowed the criminal hackers to use the email cache for the officials’ and the hackers’ financial gain, through spamming and other operations.

The charges “illustrate the murky world of Russian intel services using criminal hackers in a wide variety of ways,” said Milan Patel, a former FBI Cyber Division supervisory special agent who is now a managing director at K2 Intelligence, a cyber firm.

Although FBI agents have long suspected that the Russians have used cyber mercenaries to do their work, this case is among the first in which evidence is offered to show that.

This is how Yahoo got the billion accounts that were recently hacked
Play Video2:36
Here's who was affected, and what you can do to keep your accounts safe. (Jhaan Elker/The Washington Post)
The indicted FSB officers are Dmitry Dokuchaev and Igor Sushchin, his superior. Particularly galling to U.S. officials is that the men worked for the cyber investigative arm of the FSB — a rough equivalent of the FBI’s Cyber Division. That the agency that is supposed to investigate computer intrusions Russia is itself engaged in hacking is “pretty sad,” one official said.

Dokuchaev, whose hacker alias was “Forb,” was arrested in December in Moscow, according to the news agency Interfax, on charges of state treason for passing information to the CIA. He had reportedly agreed to work for the FSB to avoid prosecution for bank card fraud.

Another man indicted in the case is Alexsey Belan, who is on the list of most-wanted cyber criminals and has been charged twice before, in connection with intrusions into three major tech firms in Nevada and California in 2012 and 2013. He was in custody in Greece for a time, but made his way back to Russia, where he is being protected by authorities, officials said.

The other hacker-for-hire is Karim Baratov, who was born in Kazakhstan but has Canadian citizenship. He was arrested in Canada on Tuesday.

The indictments grew out of a nearly two-year investigation by the San Francisco FBI with the aid of international law enforcement, officials said. Sanctions and criminal charges are two tools that the Obama administration began using to punish and deter nation state hackers.

“They have the effect of galvanizing other countries that are watching what’s happening,” said Luke Dembosky, a former deputy assistant attorney general for national security. “They show that we have the resources and capabilities to identify the people at the keyboard, even in the most sophisticated cases.”

Three years ago, the United States charged five Chinese military hackers for economic espionage, marking the first time cyber-related charges were levied against foreign government officials.

After the Chinese military hackers were indicted, officials said their activity seemed to dwindle. And the indictments, Dembosky said, helped wrest a pledge in 2015 from the Chinese to stop economic cyber espionage against U.S. firms.

In early 2015, the Obama administration imposed economic sanctions on North Korea for its cyberattack on Sony Pictures’ systems.

And in late December, the Obama administration levied economic sanctions on Moscow for its election-year meddling. At the same time, the government sanctioned two Russian criminal hackers with no apparent connection to the Kremlin’s interference campaign. They included Belan, who is one of the four indicted in the Yahoo case.

ellen.nakashima@washpost.com