Подполье

Кто похитил кибероружие АНБ и при чём тут Россия

Николай Овчинников

Что случилось?

В минувшую субботу ранее неизвестная хакерская группировка Shadow Brokers заявила о взломе другой группировки Equation Group, которая якобы создавала «кибероружие» для американских властей, приложив в качестве доказательства архив с данными, по мнению специалистов по кибербезопасности, действительно имеющий отношение к Агентству нацбезопасности США (АНБ). Ключ от архива с информацией выставили на аукцион. Платить предлагают биткоинами. Ключ отдадут тому, кто больше заплатит, остальным деньги не вернут. «Рискуйте», — пишут в своём обращении на ломаном английском хакеры. Если они получат больше 1 млн биткоинов (это около $500 млн), то они выложат часть информации в открытый доступ.

К сообщению хакеры приложили немного путанный манифест, где они критикуют некие «богатые элиты».

Из обращения Shadow Brokers
Элиты создают законы, чтобы защитить себя и друзей, чтобы лгать и [делать плохо] другим людям. Элиты нарушают законы, обычные люди идут в тюрьмы, их жизни разрушаются, семьи разрушаются, но не [семьи и жизни] Элит. А потом Элиты борются за президентский пост. Мы хотим убедиться, что Богатые Элиты осознают опасность кибероружия, это сообщение, наш аукцион представляет [угрозу] для их богатства и контроля. Дайте нам обратиться к Элитам. Ваши богатство и контроль зависят от электронных данных. Вы видите, что Equation Group может сделать.

Кто такие Equation Group?

Точно неизвестно. О её существовании ещё в прошлом году написали в «Лаборатории Касперского». Её специалисты обнаружили, что некая хакерская группировка смогла заразить компьютеры в 30 странах вредоносными программами, через которые она получила доступ к устройствам. Данные о массовой кампании кибершпионажа «Лаборатория Касперского» опубликовала в специальном докладе.

Созданный Equation Group вирус проникал в прошивку жёсткого диска. При этом, даже в случае его форматирования или переустановки операционной системы вредоносная программа продолжала работать. Попасть на компьютер вирус мог через электронную почту, заражённые загрузочные файлы CD или через эксплойты (файлы или команды, сделанные для проникновения и атаки на вычислительную систему), расположенные в сети. После такой атаки компьютер уже нельзя обезопасить — только выкинуть.

Юлия Кривошеина представитель "Лаборатории Касперского" (комментарий дан в феврале 2015 года)
Крайне сложно определить, заражен ли компьютер. По большому счету это может сделать только специалист, обладающий серьезными знаниями в области кибербезопасности и хорошо разбирающийся в спецификации жестких дисков. Только обладая подобными глубокими знаниями, можно написать специальную утилиту, которая позволит точно определить, заражен ли компьютер. Если было установлено, что заражен жесткий диск, то необходимо его физически уничтожить, а лучше избавиться от самого компьютера. При этом файлы можно перенести на другой компьютер, предварительно проверив их антивирусом.

Напрямую «Лаборатория Касперского» не назвала того, кто стоит за Equation Group. Однако компания подчеркнула в докладе связь созданном ей шпионской программы с компьютерным червем Stuxnet. Его разработали по заказу американского Агентства национальной безопасности для атак на объекты иранской ядерной программы. Бывший сотрудник АНБ сообщил Reuters о том, что информация о причастности его ведомства к кибершпионажу верна. В самом агентстве о докладе «Лаборатории Касперского» знали, но комментировать его содержимое отказались.

Юлия Кривошеина, представитель "Лаборатории Касперского" (комментарий дан в феврале 2015 года)
Атакующие очень тщательно подходили к выбору своих целей. Первичное заражение пользователя атакующие из Equation Group, как правило, начинают с эксплойтов, которые попадают в компьютер либо через заражённую веб-станицу, либо через рекламный баннер на одном из популярных веб-сайтов (подобная схема атак была обнаружена экспертами «Лаборатории Касперского» на Ближнем Востоке). К примеру, пользователь заходит на один из исламских форумов. Страница этого форума содержит специальный скрипт РНР, который определяет, соответствует ли этот юзер тем параметрам, которые интересуют атакующих, в частности проверяет его IP-адрес. В случае если пользователь потенциально интересен Equation Group, он атакуется эксплойтом. В последнее время атакующие использовали эксплойты к Java.

Специалисты «Лаборатории Касперского» проанализировали и архив Shadow Brokers. По их мнению, содержащиеся в открытом доступе данные действительно имеют отношение к Equation Group.

Кто такие Shadow Brokers и почему говорят об их связи с Россией?

Никто не знает, откуда взялись хакеры. По мнению опрошенных изданием Motherboard специалистов по защите данных, за ними могут стоять Россия или Китай. Создатель компании WhiteHat Security Иеремия Гроссман говорит о том, что началась «холодная кибер-война, о которой нас всех предупреждали».

Россию постоянно обвиняют в причастности к кибератакам на американские учреждения и организации. Например, о «российском следе» представители властей США говорили в свете взлома почты Демократического национального комитета (DNC). На связь россиян со взломом Equation Group указывает и находящийся в РФ бывший подрядчик АНБ Эдвард Сноуден.

Эдвард Сноуден
Косвенные доказательства и житейская мудрость указывают на то, что Россия несёт ответственность [за действия Shadow Brokers]. Почему это важно: Утечка — это, возможно, предупреждение о том, что кто-то может доказать ответственность США за атаки… Это также может иметь значительные внешнеполитические последствия. В частности, если одной из целей операций [Equation Group] были союзники США.

Бывший эксперт АНБ Дейв Эйтель также считает, что за Shadow Brokers могут стоять российские власти. На это, по его словам, указывают следующие обстоятельства: во-первых, утечка произошла практически сразу после взлома DNC, хотя добытые хакерами данные, скорее всего, были получены три года назад, и кто-то смог сохранить их в тайне от всего мира. Во-вторых, Эйтель считает «очень российским» указание в послании на «коррупцию и выборы». Кроме того, для того. чтобы «позлить» Equation group, по мнению Эйтеля, нужен веский повод: у хакеров такой вряд ли бы нашёлся, а вот у какого-нибудь не союзного США государства — вполне. Наконец, на «русский след» указывает и то, что данные Shadow Boxers передали Wikileaks — во всяком случае, последние так утверждают — который слил переписку DNC, и которого обвиняют в связях с российскими спецслужбами.

Есть ли версии кроме России?

Есть. В четверг Motherboard со ссылкой на бывшего сотрудника АНБ сообщило, что Shadow Brokers — это не россияне, хоть это и отличная спекуляция для медиа, не группировка хакеров, а кто-то из агентства. На это, например, указывают наименования файлов, которые уже опубликованы. Их, по словам источника издания, можно переименовать только на внутреннем сервере. Более того, бывший сотрудник АНБ заявил, что та информация, что уже опубликована, вообще не могла быть взломана из интернета, потому что к ней вообще не было доступа из сети. Впрочем, правдивость этих суждений в Motherboard проверить не смогли. По мнению эксперта Майкла Адамса, который более двух десятилетий сотрудничал с властями США в области кибербезопасности, теория об «инсайдере» «имеет право на жизнь». «Это последователь Сноудена», — сказал Адамс — «который, впрочем, не хочет в итоге оказаться в виртуальной тюрьме в России и… достаточно умён, чтобы его не опознали».

Подпишись на Аппарат
Facebook
Вконтакте
E-mail дайджест