Кибердиверсии как оружие спецслужб

Анализ образцов 11 вирусов (в сумме почти 1000 разновидностей) производства российских служб ГРУ и ФСБ и карта схожести их кода. https://research.checkpoint.com/russianaptecosystem



Вывод - ГРУ и ФСБ не обмениваются разработками. Можно считать, что россияне очень мудры, не допускают централизации и таким образом усиливают безопасность киберопераций. Но я такую закрытость повально наблюдал в СССР, причем во всех областях, от ядерной и ракетной до танко- и двигателестроения. Связано это с клановостью (порожденной глупостью и жадностью) группировок в ВПК и службах, конкурирующих между собой за власть и сокращающиеся ресурсы.
 
Изучая русских кибервоинов, всё время удивляюсь этой детской непосредственности (переходящей в запредельную наглость).

На днях NCSC и NSA (спецслужбы США и Британии) опубликовали отчет https://bit.ly/31Eqr28 о том, как киберподразделение Turla (РФ) втупую отжали тоолкит и инфраструктуру у иранского подразделения APT34. Атакованы были 35 стран, в основном Ближний Восток, военные, правительственные и научные организации.

Кстати, от Ирана я ожидал куда большего, чем свалка говна на JS инструменты Nautilus и Neuron https://github.com/laucyun/APT34.

Смешная реакция русских дипслужб: всё это отвратительные инсинуации вокруг отчета, и что сами спец. службы не выдвигали обвинений против РФ и российских граждан, и это, мол, попытка вбить клин между РФ и Ираном, и вместе с тем РФ всегда готова сотрудничать в области кибербезопасности. Неумирающая классика - разбросать везде свою мальварь, которая не меняется годами, оставить следы тушонки и надписи "кей-джи-би скул финишд" и потом удивляться, хлопая дурными глазёнками: "А нас за что?" и "Это не мы".
 
Последнее редактирование:

Кирилл С.

Помножен на ноль
Тема и биткоинов касается, но здесь больше не про двух жуликов из Сколково, которые обокрали на $4 млрд. японскую криптовалютную биржу и затем отмывали краденое на своей BTC-e в Москве. А про крышу этих жуликов. А крыша там - чекисты.

Изюминка в том, что чекисты свою долю взяли в т.ч. и биткоинами. А затем этими деньгами платили агентуре, в т.ч. и агентуре в США. Не понимая, что криптовалюты оставляют хвост. За этот хвост ФБР и потянуло. Сперва Винника потянуло (на суровую американскую тюрьму), а затем вышло и на FancyBear.


Alexander Vinnik is escorted by police officers while leaving a court in Thessaloniki, Greece, October 4, 2017.
Министр юстиции Греции подписал решение об экстрадиции во Францию россиянина Александра Винника, обвиняемого в вымогательстве. Выдачи бывшего оператора криптовалютной биржи BTC-е добивались также США, там его подозревают в отмывании $9 млрд.

 

nt00

 
...одним из вариантов противодействия, рассматриваемых USCYBERCOM, является возможность ответных операций, направленных против высших должностных лиц РФ. Командующий указывает, что речь идет главным образом о демонстрации силы. В случае вмешательства в американский избирательный процесс, операция возмездия будет направлена на конфиденциальные личные данные российской элиты.


...USCYBERCOM рассматривает возможность проведения операций, аналогичных тем, которые проводились до последних промежуточных выборов. В то время команда специалистов командования отправляла электронные письма и SMS-сообщения, чтобы использовать их для атаки на русских троллей, которые проводили вредоносную кампанию дезинформации в американских социальных сетях. Специалисты USCYBERCOM также разослали сообщения хакерам, работающим от имени ГРУ, в которых указывалось, что их личность известна и может быть опубликована в любое время.


Кроме того, USCYBERCOM планирует начать кибероперацию, предназначенную для руководства российских служб безопасности и армии, а также отдельных олигархов. Кампания будет основываться на ограниченной кибероперации, которая продемонстрирует силу и возможности Соединенных Штатов местной элите. Получение доступа к ключевым системам и сетям по определению должно быть предупреждением для Москвы о том, что если не остановить вредоносную кампанию, американские специалисты нанесут огромный ущерб им лично и РФ в целом.

======
 

nt00

 
...
Еще один вариант дает небольшой ключик уже к пониманию всей этой картины. Так, компания планирует провести дезинформационную операцию, предметом которой станет существующий спор и соперничество в высших эшелонах российской власти.

Отсюда можно сделать вывод о том, что USCYBERCOM уже имеет доступ к тем данным, которые являются предметом демонстрации силы. Это следует из того, что в российской прессе вообще никак не упоминается какой-то конфликт в руководстве страны, а USCYBERCOM утверждает, что не просто в курсе самого конфликта, но и знает о том, кто и как в нем участвует, поскольку обещает устроить манипуляцию именно такого характера, которая обострит этот самый конфликт....
8CC7D694-9C46-4963-97CC-533763EB7444.jpeg
 
У вас лезет злоумышленник, по учеткам идет fishing. Как опознать, что забросили удочку из ГРУ?

Сложные киберзащитники уровня ФБР умничают, определяют, кто использован для регистрации домена злодея (проверяйте на Ititch, NameSilo и NameCheap), кто провайдер VPN (проверяйте на MivoCloud и M247), и конечно сразу звоните в контрразведку, если видите Яндекс для MX записей.

Спецы из Area-1 нашли способ попроще. Домен, из которого вас атакуют - будет называться согласно стр. 48 методических указаний для русских кибервоинов:



подробности
 
Два киберподразделения ФСБ, часто работают под маскировкой "хакеров":

Технические средства в/ч № 71330 (опера и аналитики)
Система «Арион» обеспечивает обработку информации как из структурированных источников (информационные системы, банки данных, внешние информационные каталоги в формате CronosPlus, DBF, MDB, doc, pdf, htm и др.), так и из неструктурированных (новости СМИ, сообщения информагентств, интернет-сайты).

Предназначена для оперативных, аналитических и следственных подразделений, может выявлять в автоматическом режиме связи между объектами заинтересованности. Предоставляет возможность визуализации и графического отображения данных в виде диаграмм последовательности событий, транзакций, поиска прямых и косвенных связок между объектами и отдельными группами.

Построена на поиске схожих случаев — т.н. «ситуаций». Поиск выполняется в соответствии с ранее подготовленными и введёнными в систему информационными шаблонами и позволяет устанавливать на постоянный мониторинг любой шаблон и автоматически отбирать из новой информации все случаи, подходящие под него. В конечном итоге система формирует карту-досье на определённый объект (как правило, лицо или организацию), содержащую графическое отображение его связей. Досье предоставляют либо в виде информационной карты «Объект-связь», либо в текстовом виде, как извлечение из обработанных материалов.
Технические средства в/ч № 64829 (специализация части атакующая, т.н. "активное противодействие")

Работает в программах «Фронтон», «Фронтон-3Д» и «Фронтон-18». Они предназначены для заражения цифровых устройств, и это не только персоналки или смартфоны. Известен их ботнет из IP-камер (цифровых видеорекордеров), с его помощью были атакованы DNS-сервера одной страны. Самое популярное применение - организация бот-сетей для DDoS-атак. Способны создавать крупные сети и организовывать атаки в масштабах страны.

Похожий функционал у Mirai malware. Есть версия, что ловкачи из ЗАО «ИнформИнвестГрупп» просто заменили "фейс" у этой бесплатной софты и продали в ФСБ под видом «Фронтон».
 
Тема
Тудэй тоже:
Сообщают, что ... упали сайты всех видов и родов вооруженных сил США за исключением Космических войск и Береговой охраны
355321E2-4FDE-4D88-A473-9607D2B34916.jpeg0963AC7A-0810-4C16-8731-3E627FF6A2E2.jpeg65D4CCF4-3CBC-4339-9936-43303284A4C7.jpeg
 
Два киберподразделения ФСБ, часто работают под маскировкой "хакеров":
Технические средства в/ч № 71330
Конкуренты чекистов также трудятся. 85-й главный центр специальной службы ГРУ выпустил свежачок «Дроворуб». 85 ГЦСС («Хамовнические казармы» на Комсомольском проспекте, 20, в/ч №26165) известен такими провалами, как забытые метаданные бойца Георгия Рошка в "утечках" Викиликс в якобы письмах французского Макрона. Или пойманый европейскими спецслужбами ГРУшник Алексей Моренец.

Особенность малвари - возможность нападать на сервера С2 (Command and Сontrol), работающие на достаточно свежих версиях Linux.

Есть подозрение, что «Дроворуб» - усовершенствованная версия старого Linux-бэкдора Doki.
The National Security Agency (NSA) and the Federal Bureau of Investigation (FBI) released a new Cybersecurity Advisory about previously undisclosed Russian malware.

The Russian General Staff Main Intelligence Directorate (GRU) 85th Main Special Service Center (GTsSS) military unit 26165, whose activity is sometimes identified by the private sector as Fancy Bear, Strontium, or APT 28, is deploying malware called Drovorub, designed for Linux systems as part of its cyber espionage operations. Further details on Drovorub, to include detection techniques and mitigations, can be found in the joint NSA and FBI Cybersecurity Advisory.

"This Cybersecurity Advisory represents an important dimension of our cybersecurity mission, the release of extensive, technical analysis on specific threats," NSA Cybersecurity Director Anne Neuberger said. "By deconstructing this capability and providing attribution, analysis, and mitigations, we hope to empower our customers, partners, and allies to take action. Our deep partnership with FBI is reflected in our releasing this comprehensive guidance together."

“For the FBI, one of our priorities in cyberspace is not only to impose risk and consequences on cyber adversaries but also to empower our private sector, governmental, and international partners through the timely, proactive sharing of information,” said FBI Assistant Director Matt Gorham. “This joint advisory with our partners at NSA is an outstanding example of just that type of sharing. We remain committed to sharing information that helps businesses and the public protect themselves from malicious cyber actors.”

Drovorub is a Linux malware toolset consisting of an implant coupled with a kernel module rootkit, a file transfer and port forwarding tool, and a command and control (C2) server. When deployed on a victim machine, Drovorub provides the capability for direct communications with actor-controlled C2 infrastructure; file download and upload capabilities; execution of arbitrary commands; port forwarding of network traffic to other hosts on the network; and implements hiding techniques to evade detection.

Drovorub represents a threat to National Security Systems, Department of Defense, and Defense Industrial Base customers that use Linux systems. Network defenders and system administrators can find detection strategies, mitigation techniques, and configuration recommendations in the advisory to reduce the risk of compromise.

Read the Fact Sheet and FAQ here.
 
Тема:

...

...
Список "достижений"
Шестерку, в частности, обвиняют в атаках на Украину: блэкаут в Ивано-Франковской области 23 декабря 2015 г. и перебои с электричеством на киевской подстанции 17 декабря 2016 г.
 
Почти через месяц после 25 сентября сего года последовала официальная реакция Вашингтона на предложение Кремля подписать некий «пакт» о сотрудничестве в области кибербезопасности и о взаимных обязательствах не вмешиваться в выборы друг друга.

Госсекретарь Майк Помпео, заявивший на прошлой неделе, что «Россия является одним из величайших разрушителей» в киберпространстве, присоединился к мнению помощника генерального прокурора США по национальной безопасности Джона Демерса о том, что «мирное предложение» Кремля о киберсотрудничестве с США «не более, чем лживая риторика, циничная и дешевая пропаганда».

Эти громкие слова Демерс высказал на прошлой неделе на пресс-конференции Минюста США, на которой было выдвинуто заочное обвинение в международном хакерстве шести гражданам России, которые являются, как утверждает Вашингтон, офицерами ГРУ. По версии следствия, хакерские атаки всего лишь на три американские компании понесли им финансовый ущерб на более чем $1 млрд.

Кроме того, по утверждению американских властей, хакеры из ГРУ стоят также за кибератаками:
-— на Украину в 2015 году, когда там рухнула электрическая сеть;
-— на Францию в 2017 году, когда был слит компромат против тогдашнего президентского кандидата Эммануэля Макрона;
-— на компьютеры Ангелы Меркель и многих депутатов Бундестага в 2015 году;
-— на эстонские банки, парламент, министерства, газеты и телевизионные и радиостанции;
-— на нефтехимический завод в Саудовской Аравии в 2017 г.;
-— на Южную Корею во время зимней олимпиады 2018 года, когда Россия якобы хотела отомстить МОКу за то, что её команду унизительным образом наказали за допинговый скандал.
 
Израильской компании Check Point Software Technologies сообщила, что израильские компании, ставшие в последние месяцами жертвами кибератак, выплатили иранским хакерам в общей около 112 тысяч долларов.

Специалисты компании сообщили, что хакеры используют для атак механизм удаленного подключения сотрудников компаний к корпоративной сети. Сайт "Калькалист" указал, что жертвами атак, в частности стали, крупная адвокатская фирма и компания по разработке компьютерных игр. Компьютеры в фирмах были заблокированы, а данные о фирмах, ставших жертвами атаки, была слита в даркнет. Хакеры требовали выкуп в размере 7-9 биткойнов за расшифровку данных.

Специалисты по компьютерной безопасности отмечают, что разновидность вируса-вымогателя Pay2Key является сложной, вирус шифрует целые корпоративные сети за час, что может привести к потере огромного объема данных, если не будет выплачен выкуп.

По данным Check Point, четыре израильские компании заплатили вымогателям, что позволило следователям отследить денежные переводы между счетами биткойн-кошельками. Вместе с израильской исследовательской блокчейн-компанией Whitestream удалось отследить операции, и цепочка привела к иранской платформе для покупки и продажи цифровой валюты Excoino.

 
В минувшие выходные неизвестными хакерами была осуществлена кибератака на десятки компаний, занимающихся доставкой и импортом товаров в Израиле. Атака началась со взлома компьютеров компании-разработчика программного обеспечения Amital, пишут в газете "Калькалист" Меир Орбах и Голан Хазани.

В публикации отмечается, что на сей раз хакеры не требовали выкуп. Есть основания полагать, что речь идет о "государственной" кибератаке с целью нанести ущерб Израилю.

По оценке специалистов, с которыми беседовала редакция "Калькалиста", взлом компьютеров Amital привел к тому, что пострадали около 40 израильских компаний, специализирующихся на доставке и импорте товаров. Похищенная информация также может иметь стратегическое значение для вражеских государств, отмечается в публикации.

Компания Amital разрабатывает программное обеспечение для логистических и экспедиторских компаний. Взломав компьютеры Amital, злоумышленники похитили список клиентов, данные для входа в систему, а затем взломали компьютеры клиентов, пишет "Калькалист".

NEWSru.co.il :: "Калькалист": хакеры атаковали израильские компании, занимающиеся доставкой и импортом товаров
 
Группа иранских хакеров Pay2Key опубликовала в сети секретную информацию якобы из системы израильской компании Habana Labs, которая занимается разработками искусственного интеллекта и была год назад куплена корпорацией Intel за два миллиарда долларов, сообщает "Глобс".

Это уже третье хакерское нападение на израильские компании за последние две недели. Первой атаке подверглась страховая компания "Ширбит", после чего хакеры взломали компьютеры компании-разработчика программного обеспечения Amital - в результате чего пострадали около 40 израильских компаний, специализирующихся на доставке и импорте товаров.

По мнению специалистов, за этими взломами стоят разные люди или организации.
Напомним, группа хакеров Pay2Key оказалась в центре внимания израильских СМИ в минувшем ноябре, когда компания Check Point Software Technologies сообщила, что израильские компании, ставшие в последние месяцами жертвами кибератак, выплатили иранским хакерам в общей около 112 тысяч долларов. По данным Check Point, четыре израильские компании заплатили вымогателям, что позволило следователям отследить денежные переводы между счетами биткойн-кошельками. Вместе с израильской исследовательской блокчейн-компанией Whitestream удалось отследить операции, и цепочка привела к иранской платформе для покупки и продажи цифровой валюты Excoino.

NEWSru.co.il :: Иранские хакеры заявили об атаке на еще одну израильскую компанию
 
В воскресенье, 13 декабря, администрация Белого дома признала, что хакеры, действовавшие по заданию иностранного государства (почти наверняка, по заданию российских спецслужб), взломали ряд ключевых сетей правительства США, в том числе сервера министерств финансов и торговли, получив свободный доступ к их системам электронной почты, пишет издание The New York Times.


Масштаб причиненного ущерба уточняется. Но уже сейчас ясно, что речь идет об одной из самых изощренных и, возможно, одной из крупнейших атак на федеральные системы США за последние пять лет.
По некоторым данным, были также атакованы агентства, связанные с национальной безопасностью.

NEWSru.co.il :: New York Times: российские хакеры осуществили изощренную атаку на государственные структуры США
 
Думаю надо сюда:
СПИСОК ВЫПУСКНИКОВ 2020 ГОДА
ФЕДЕРАЛЬНОГО ГОСУДАРСТВЕННОГО КАЗЁННОГО ВОЕННОГО ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ ВЫСШЕГО ОБРАЗОВАНИЯ "ВОЕННЫЙ УНИВЕРСИТЕТ"
МИНИСТЕРСТВА ОБОРОНЫ РФ НАПРАВЛЕННЫХ ДЛЯ ПРОХОЖДЕНИЯ СЛУЖБЫ В ГЛАВНОЕ РАЗВЕДЫВАТЕЛЬНОЕ УПРАВЛЕНИЕ ГШ ВС РФ


полковник ДЕМИН Юрий Александровичв/ч 45807, г. Москва
полковник ЕРЕМЕНКИН Сергей Геннадиевичв/ч 29155, г. Москва
полковник ЖУРАХОВСКИЙ Сергей Михаиловичв/ч 45807, г. Москва
полковник КУЗНЕЦОВ Игорь Петровичв/ч 45807, г. Москва
полковник МИНЕНКОВ Дмитрий Евгеньевичв/ч 45807, г. Москва
полковник РЕПИН Михаил Валерьевичв/ч 45807, г. Москва
полковник ШПИЛЕВСКИЙ Олег Борисовичв/ч 51428, Московская область
полковник ШКЕДА Сергей Фёдоровичв/ч 51428, Московская область
подполковник МАЧЕХИН Сергей Анатольевичв/ч 55111, г. Москва
подполковник ЛАКТИНОВ Олег Владимировичв/ч 45807, г. Москва
подполковник СТОЛЯРОВ Дмитрий Георгиевичв/ч 46188, г. Москва
подполковник КУДРЯШОВ Владимир Вениаминовичв/ч 11135, г. Москва
подполковник ЛЕЖАВА Александр Самсоновичв/ч 09920, г. Москва
подполковник НЕВИДАНЧУК Игорь Сергеевичв/ч 54777, г. Москва
подполковник ШВЕЦ Сергей Олеговичв/ч 54726, г. Москва
майор СИРЕНКО Владимир Владимировичв/ч 20978, г. Москва
майор ТИТОВ Петр Владимировичв/ч 54777, г. Москва
майор КРЮКОВ Виталий Игоревичв/ч 92154, Московская область
лейтенант БЕКБУЛАТОВ Андрей Сергеевичв/ч 99450, г. Москва
лейтенант БЕСЕДИН Владимир Геннадьевичв/ч 99450, г. Москва
лейтенант ГРЕЧИШКИН Тимофей Петровичв/ч 55111, г. Москва
лейтенант ГРИШНИН Андрей Михайловичв/ч 99450, г. Москва
лейтенант ГОРБУНОВ Сергей Сергеевичв/ч 25739, г. Санкт-Петербург
лейтенант ОРЛОВ Денис Юрьевичв/ч 76836, г. Санкт-Петербург
лейтенант КИСЕЛЕВ Андрей Андреевичв/ч 92154, Московская область
лейтенант ЛАГУТКИН Георгий Сергеевичв/ч 76836, г. Санкт-Петербург
лейтенант ЛАКИЗОВ Артем Витальевичв/ч 99450, г. Москва
лейтенант ЛИПИХО Никита Сергеевичв/ч 43104, Калининградская область
лейтенант МИТРОФАНОВ Александр Сергеевичв/ч 43071, г. Севастополь
лейтенант МИХАЛЕВ Сергей Романовичв/ч 55111, г. Москва
лейтенант ПОЛКОВНИКОВ Кирилл Игоревичв/ч 55111, г. Москва
лейтенант РЕПЕЦКИЙ Руслан Николаевичв/ч 99450, г. Москва

Кто захочет узнать больше «белой» части информации о наших героях, спокойно сможет сделать это в интернете.
Главный герой сегодня это Андрей Игоревич Масалович:

В начале девяностых запомнился участием в компании Eagle Dynamics создавшей нашумевший авиационный симулятор «Су-27 Фланкер».

Президент Консорциума «Инфорус». Его компания разработчик платформы интернет-разведки Avalanche, кандидат физ.-мат. наук, подполковник ФАПСИ в отставке.

Очень любит славу, большие контракты и выдавать чужие заслуги за свои.
Второе по списку, но не по значимости это руководство Общества с ограниченной ответственностью «Системы и Связь»:

Компания «Системы и Связь» (дальше СиС), очень интересная и многогранная контора, любит делать всё, начиная от сопровождения Олимпиады в Сочи и до унитазов Шойгу.
Разумеется, все тендера и государственные заказы они проходят по ускоренной процедуре.
И наконец-то третьи это Министерство Обороны РФ и 72-й отдельный центр специальной службы (в/ч 54777, г. Москва).

Это часть упоминается во многих расследованиях и докладах, в которых утверждают, что русские хакеры из группировки Fancy Bear (в/ч 54777, г. Москва) активно применяют новый вирус под названием «Дроворуб», чтобы тайно проникать в защищенные системы, похищать конфиденциальные данные и удаленно выполнять вредоносные команды.

В 2015 году высшее руководство нашей страны ставит задачу Министерству Обороны и Главному Управлению Разведки по созданию ряда комплексов по тотальному контролю и манипуляций гражданским обществом.
Учитывая важность проекта, разумеется, были выделены астрономические суммы из бюджета. А там где большие государственные деньги, там и «СиС». Но вот беда - есть добро на распил, есть «крыша», но некому решать задачу и проект под грифом секретно, а значит по хорошему должен разрабатываться и внедряться на территории Министерства Обороны, в нашем случае (в/ч 54777, г. Москва).

В России, есть ряд компаний, которые могут взяться за столь «специфический» проект и по сути МО может обращаться к ним напрямую и лицензировать их специалистов. Но тогда прийдется платить меньше, а в нашем случае это плохо, так-как на Рублевке ещё осталась земля под выкуп. И тут Руководство «СиС» решает обратиться к своему старому другу по грязным делам, Андрею Масаловичу.

Чтобы решить вопрос допуска на секретный объект и скрыть реальную стоимость затрат, было принято совместное с Андреем решение, оформить всю команду Масаловича в штат «СиС». Работа закипела, а проект получил название ПАК «Каркас-СС».

Вы не подумайте, коррупция это не главная цель данной статьи, главная цель предать огласке демона взращённого за Наши деньги беспринципными людьми.

Благодаря данному комплексу и неограниченному доступу к потокам информации власть будет знать всё о Нас в глобальном масштабе, мы не ограничиваемся Россией, имеем ввиду любого интересующего человека или группу лиц.
Можно будет управлять Нашим мнением, а того, кто будет выбиваться из общего тренда, быстро нейтрализовать. Возможно помочь кому-то выиграть выборы в другой стране.

А когда доступ к конечному продукту получит большая группа «специалистов» из служб, то будьте уверены, у Нас начнут отбирать, то что ещё не отобрали другими методами и информация будет продаваться направо и налево!
После публикации, Вам скажут, что американцы и загнивающая Европа делают тоже самое. Но не скажут, почему сто лет мы делаем тоже, что и они, а живём хуже.

В доказательство прикладываем часть оригинальной документации, чтоб вы оценили масштаб произошедшего.

В данных файлах Print Screen внутренней переписки сотрудников «СиС», в которой они обсуждают «острые темы по зарплатам группы Масаловича и формата начисления вознаграждения».





Плюс есть нашел ссылку

 
Сверху Снизу