Кибердиверсии как оружие спецслужб

Анализ образцов 11 вирусов (в сумме почти 1000 разновидностей) производства российских служб ГРУ и ФСБ и карта схожести их кода. https://research.checkpoint.com/russianaptecosystem



Вывод - ГРУ и ФСБ не обмениваются разработками. Можно считать, что россияне очень мудры, не допускают централизации и таким образом усиливают безопасность киберопераций. Но я такую закрытость повально наблюдал в СССР, причем во всех областях, от ядерной и ракетной до танко- и двигателестроения. Связано это с клановостью (порожденной глупостью и жадностью) группировок в ВПК и службах, конкурирующих между собой за власть и сокращающиеся ресурсы.
 
Изучая русских кибервоинов, всё время удивляюсь этой детской непосредственности (переходящей в запредельную наглость).

На днях NCSC и NSA (спецслужбы США и Британии) опубликовали отчет https://bit.ly/31Eqr28 о том, как киберподразделение Turla (РФ) втупую отжали тоолкит и инфраструктуру у иранского подразделения APT34. Атакованы были 35 стран, в основном Ближний Восток, военные, правительственные и научные организации.

Кстати, от Ирана я ожидал куда большего, чем свалка говна на JS инструменты Nautilus и Neuron https://github.com/laucyun/APT34.

Смешная реакция русских дипслужб: всё это отвратительные инсинуации вокруг отчета, и что сами спец. службы не выдвигали обвинений против РФ и российских граждан, и это, мол, попытка вбить клин между РФ и Ираном, и вместе с тем РФ всегда готова сотрудничать в области кибербезопасности. Неумирающая классика - разбросать везде свою мальварь, которая не меняется годами, оставить следы тушонки и надписи "кей-джи-би скул финишд" и потом удивляться, хлопая дурными глазёнками: "А нас за что?" и "Это не мы".
 
Последнее редактирование:

Кирилл С.

Помножен на ноль
Тема и биткоинов касается, но здесь больше не про двух жуликов из Сколково, которые обокрали на $4 млрд. японскую криптовалютную биржу и затем отмывали краденое на своей BTC-e в Москве. А про крышу этих жуликов. А крыша там - чекисты.

Изюминка в том, что чекисты свою долю взяли в т.ч. и биткоинами. А затем этими деньгами платили агентуре, в т.ч. и агентуре в США. Не понимая, что криптовалюты оставляют хвост. За этот хвост ФБР и потянуло. Сперва Винника потянуло (на суровую американскую тюрьму), а затем вышло и на FancyBear.


Alexander Vinnik is escorted by police officers while leaving a court in Thessaloniki, Greece, October 4, 2017.
Министр юстиции Греции подписал решение об экстрадиции во Францию россиянина Александра Винника, обвиняемого в вымогательстве. Выдачи бывшего оператора криптовалютной биржи BTC-е добивались также США, там его подозревают в отмывании $9 млрд.

 

nt00

 
...одним из вариантов противодействия, рассматриваемых USCYBERCOM, является возможность ответных операций, направленных против высших должностных лиц РФ. Командующий указывает, что речь идет главным образом о демонстрации силы. В случае вмешательства в американский избирательный процесс, операция возмездия будет направлена на конфиденциальные личные данные российской элиты.


...USCYBERCOM рассматривает возможность проведения операций, аналогичных тем, которые проводились до последних промежуточных выборов. В то время команда специалистов командования отправляла электронные письма и SMS-сообщения, чтобы использовать их для атаки на русских троллей, которые проводили вредоносную кампанию дезинформации в американских социальных сетях. Специалисты USCYBERCOM также разослали сообщения хакерам, работающим от имени ГРУ, в которых указывалось, что их личность известна и может быть опубликована в любое время.


Кроме того, USCYBERCOM планирует начать кибероперацию, предназначенную для руководства российских служб безопасности и армии, а также отдельных олигархов. Кампания будет основываться на ограниченной кибероперации, которая продемонстрирует силу и возможности Соединенных Штатов местной элите. Получение доступа к ключевым системам и сетям по определению должно быть предупреждением для Москвы о том, что если не остановить вредоносную кампанию, американские специалисты нанесут огромный ущерб им лично и РФ в целом.

======
 

nt00

 
...
Еще один вариант дает небольшой ключик уже к пониманию всей этой картины. Так, компания планирует провести дезинформационную операцию, предметом которой станет существующий спор и соперничество в высших эшелонах российской власти.

Отсюда можно сделать вывод о том, что USCYBERCOM уже имеет доступ к тем данным, которые являются предметом демонстрации силы. Это следует из того, что в российской прессе вообще никак не упоминается какой-то конфликт в руководстве страны, а USCYBERCOM утверждает, что не просто в курсе самого конфликта, но и знает о том, кто и как в нем участвует, поскольку обещает устроить манипуляцию именно такого характера, которая обострит этот самый конфликт....
8CC7D694-9C46-4963-97CC-533763EB7444.jpeg
 
У вас лезет злоумышленник, по учеткам идет fishing. Как опознать, что забросили удочку из ГРУ?

Сложные киберзащитники уровня ФБР умничают, определяют, кто использован для регистрации домена злодея (проверяйте на Ititch, NameSilo и NameCheap), кто провайдер VPN (проверяйте на MivoCloud и M247), и конечно сразу звоните в контрразведку, если видите Яндекс для MX записей.

Спецы из Area-1 нашли способ попроще. Домен, из которого вас атакуют - будет называться согласно стр. 48 методических указаний для русских кибервоинов:



подробности
 
Два киберподразделения ФСБ, часто работают под маскировкой "хакеров":

Технические средства в/ч № 71330 (опера и аналитики)
Система «Арион» обеспечивает обработку информации как из структурированных источников (информационные системы, банки данных, внешние информационные каталоги в формате CronosPlus, DBF, MDB, doc, pdf, htm и др.), так и из неструктурированных (новости СМИ, сообщения информагентств, интернет-сайты).

Предназначена для оперативных, аналитических и следственных подразделений, может выявлять в автоматическом режиме связи между объектами заинтересованности. Предоставляет возможность визуализации и графического отображения данных в виде диаграмм последовательности событий, транзакций, поиска прямых и косвенных связок между объектами и отдельными группами.

Построена на поиске схожих случаев — т.н. «ситуаций». Поиск выполняется в соответствии с ранее подготовленными и введёнными в систему информационными шаблонами и позволяет устанавливать на постоянный мониторинг любой шаблон и автоматически отбирать из новой информации все случаи, подходящие под него. В конечном итоге система формирует карту-досье на определённый объект (как правило, лицо или организацию), содержащую графическое отображение его связей. Досье предоставляют либо в виде информационной карты «Объект-связь», либо в текстовом виде, как извлечение из обработанных материалов.
Технические средства в/ч № 64829 (специализация части атакующая, т.н. "активное противодействие")

Работает в программах «Фронтон», «Фронтон-3Д» и «Фронтон-18». Они предназначены для заражения цифровых устройств, и это не только персоналки или смартфоны. Известен их ботнет из IP-камер (цифровых видеорекордеров), с его помощью были атакованы DNS-сервера одной страны. Самое популярное применение - организация бот-сетей для DDoS-атак. Способны создавать крупные сети и организовывать атаки в масштабах страны.

Похожий функционал у Mirai malware. Есть версия, что ловкачи из ЗАО «ИнформИнвестГрупп» просто заменили "фейс" у этой бесплатной софты и продали в ФСБ под видом «Фронтон».
 
Тема
Тудэй тоже:
Сообщают, что ... упали сайты всех видов и родов вооруженных сил США за исключением Космических войск и Береговой охраны
355321E2-4FDE-4D88-A473-9607D2B34916.jpeg0963AC7A-0810-4C16-8731-3E627FF6A2E2.jpeg65D4CCF4-3CBC-4339-9936-43303284A4C7.jpeg
 
Два киберподразделения ФСБ, часто работают под маскировкой "хакеров":
Технические средства в/ч № 71330
Конкуренты чекистов также трудятся. 85-й главный центр специальной службы ГРУ выпустил свежачок «Дроворуб». 85 ГЦСС («Хамовнические казармы» на Комсомольском проспекте, 20, в/ч №26165) известен такими провалами, как забытые метаданные бойца Георгия Рошка в "утечках" Викиликс в якобы письмах французского Макрона. Или пойманый европейскими спецслужбами ГРУшник Алексей Моренец.

Особенность малвари - возможность нападать на сервера С2 (Command and Сontrol), работающие на достаточно свежих версиях Linux.

Есть подозрение, что «Дроворуб» - усовершенствованная версия старого Linux-бэкдора Doki.
The National Security Agency (NSA) and the Federal Bureau of Investigation (FBI) released a new Cybersecurity Advisory about previously undisclosed Russian malware.

The Russian General Staff Main Intelligence Directorate (GRU) 85th Main Special Service Center (GTsSS) military unit 26165, whose activity is sometimes identified by the private sector as Fancy Bear, Strontium, or APT 28, is deploying malware called Drovorub, designed for Linux systems as part of its cyber espionage operations. Further details on Drovorub, to include detection techniques and mitigations, can be found in the joint NSA and FBI Cybersecurity Advisory.

"This Cybersecurity Advisory represents an important dimension of our cybersecurity mission, the release of extensive, technical analysis on specific threats," NSA Cybersecurity Director Anne Neuberger said. "By deconstructing this capability and providing attribution, analysis, and mitigations, we hope to empower our customers, partners, and allies to take action. Our deep partnership with FBI is reflected in our releasing this comprehensive guidance together."

“For the FBI, one of our priorities in cyberspace is not only to impose risk and consequences on cyber adversaries but also to empower our private sector, governmental, and international partners through the timely, proactive sharing of information,” said FBI Assistant Director Matt Gorham. “This joint advisory with our partners at NSA is an outstanding example of just that type of sharing. We remain committed to sharing information that helps businesses and the public protect themselves from malicious cyber actors.”

Drovorub is a Linux malware toolset consisting of an implant coupled with a kernel module rootkit, a file transfer and port forwarding tool, and a command and control (C2) server. When deployed on a victim machine, Drovorub provides the capability for direct communications with actor-controlled C2 infrastructure; file download and upload capabilities; execution of arbitrary commands; port forwarding of network traffic to other hosts on the network; and implements hiding techniques to evade detection.

Drovorub represents a threat to National Security Systems, Department of Defense, and Defense Industrial Base customers that use Linux systems. Network defenders and system administrators can find detection strategies, mitigation techniques, and configuration recommendations in the advisory to reduce the risk of compromise.

Read the Fact Sheet and FAQ here.
 
Тема:

...

...
Список "достижений"
Шестерку, в частности, обвиняют в атаках на Украину: блэкаут в Ивано-Франковской области 23 декабря 2015 г. и перебои с электричеством на киевской подстанции 17 декабря 2016 г.
 
Почти через месяц после 25 сентября сего года последовала официальная реакция Вашингтона на предложение Кремля подписать некий «пакт» о сотрудничестве в области кибербезопасности и о взаимных обязательствах не вмешиваться в выборы друг друга.

Госсекретарь Майк Помпео, заявивший на прошлой неделе, что «Россия является одним из величайших разрушителей» в киберпространстве, присоединился к мнению помощника генерального прокурора США по национальной безопасности Джона Демерса о том, что «мирное предложение» Кремля о киберсотрудничестве с США «не более, чем лживая риторика, циничная и дешевая пропаганда».

Эти громкие слова Демерс высказал на прошлой неделе на пресс-конференции Минюста США, на которой было выдвинуто заочное обвинение в международном хакерстве шести гражданам России, которые являются, как утверждает Вашингтон, офицерами ГРУ. По версии следствия, хакерские атаки всего лишь на три американские компании понесли им финансовый ущерб на более чем $1 млрд.

Кроме того, по утверждению американских властей, хакеры из ГРУ стоят также за кибератаками:
-— на Украину в 2015 году, когда там рухнула электрическая сеть;
-— на Францию в 2017 году, когда был слит компромат против тогдашнего президентского кандидата Эммануэля Макрона;
-— на компьютеры Ангелы Меркель и многих депутатов Бундестага в 2015 году;
-— на эстонские банки, парламент, министерства, газеты и телевизионные и радиостанции;
-— на нефтехимический завод в Саудовской Аравии в 2017 г.;
-— на Южную Корею во время зимней олимпиады 2018 года, когда Россия якобы хотела отомстить МОКу за то, что её команду унизительным образом наказали за допинговый скандал.
 
Израильской компании Check Point Software Technologies сообщила, что израильские компании, ставшие в последние месяцами жертвами кибератак, выплатили иранским хакерам в общей около 112 тысяч долларов.

Специалисты компании сообщили, что хакеры используют для атак механизм удаленного подключения сотрудников компаний к корпоративной сети. Сайт "Калькалист" указал, что жертвами атак, в частности стали, крупная адвокатская фирма и компания по разработке компьютерных игр. Компьютеры в фирмах были заблокированы, а данные о фирмах, ставших жертвами атаки, была слита в даркнет. Хакеры требовали выкуп в размере 7-9 биткойнов за расшифровку данных.

Специалисты по компьютерной безопасности отмечают, что разновидность вируса-вымогателя Pay2Key является сложной, вирус шифрует целые корпоративные сети за час, что может привести к потере огромного объема данных, если не будет выплачен выкуп.

По данным Check Point, четыре израильские компании заплатили вымогателям, что позволило следователям отследить денежные переводы между счетами биткойн-кошельками. Вместе с израильской исследовательской блокчейн-компанией Whitestream удалось отследить операции, и цепочка привела к иранской платформе для покупки и продажи цифровой валюты Excoino.

 
Сверху Снизу