Материалы по тегу: шпионаж

18.02.2020 [20:52], Алексей Степин

Ирландия обвинила Россию в разведке подводных кабелей связи

Подводные кабели связи всегда являли собой лакомый кусок для разведслужб любой достаточно развитой страны, ведь достаточно подключиться к такому кабелю тайно, чтобы получить массу ценнейшей информации, в том числе, и секретной.

На этот раз Ирландия обвинила Россию в шпионаже и подготовке к актам саботажа, направленным на подводную кабельную инфраструктуру, соединяющую Европу, Великобританию и США — именно в Дублине находится место, где соответствующие кабели уходят под воду.

Обслуживание одного из подводных кабелей. Фото носит иллюстративный характер

Обслуживание одного из подводных кабелей. Фото носит иллюстративный характер

Ранее российские подводные лодки были замечены в местах пролегания трансатлантических кабелей в 2015 году, когда этот факт зафиксировали ВМС США. На этот раз подозрение возникло у ирландской полиции.

По предположениям ирландских спецслужб, в стране могут действовать агенты, отправленные ГРУ. Их целью является получение сведений о том, где и как именно оптоволоконные кабели уходят под воду, а также о возможных способах подключения к ним. Подозрительная деятельность была впервые зафиксирована в порту Дублина — города, соединяющего в информационном смысле Европу, Великобританию и США.

Аппарат проекта 16811 «Консул», предположительно способный подключаться к подводным кабелям

Аппарат проекта 16811 «Консул», предположительно способный выполнять работу по подключению к подводным кабелям

Обеспокоена не только Ирландия, но и США. Так, бывший высокопоставленный сотрудник ЦРУ, Джон Сайфер (Jon Cypher), предполагает, что у возможной российской тайной деятельности в этом регионе есть две основные задачи — перехват ценных данных и перекрытие коммуникаций в случае конфликта.

Сложно даже представить, какой урон может нанести такое перекрытие, ведь от функционирования подводной кабельной инфраструктуры зависит, в числе прочего, и работа мировых финансовых систем. Среди возможных целей России названа и демонстрация своих возможностей в качестве угрозы.

Отметим, что возможностью подключения к подводным кабелям располагает не только Россия — предположительно, такую задачу может выполнять океанографическое судно «Янтарь», оснащённое аппаратами, способными погружаться на глубину до 6000 метров — но и США с их экспериментальной подводной лодкой «Джимми Картер».

Постоянный URL: http://servernews.ru/1003974
16.10.2019 [21:00], Алексей Степин

Установка аппаратной «закладки» может стоить всего $200

Легенды о «закладках» и бэкдорах в компьютерном аппаратном обеспечении ходят давно. Далеко не все из них имеют под собой хоть какие-то основания, хотя в ряде случаев различные механизмы удалённого управления и имеют уязвимости, которые вполне может использовать опытный злоумышленник.

В 2018 году прогремел скандал, когда Bloomberg заявила, что на платах Supermicro может быть крошечный чип, не предусмотренный спецификациями. Эта «модификация» якобы затронула около 30 компаний. Впрочем, все «пострадавшие» хором заявляли, что никаких лишних чипов в их оборудовании нет, а Supermicro даже провела независимое исследование. Правительство США, тем не менее, считает, что подобные атаки могут быть делом рук китайских военных.

Компания Sepio Systems, чьей специализацией является безопасность аппаратных решений, ранее уже подтвердила, что подобные аппаратные закладки возможны, и специалисты компании встречаются с ними не в первый раз. В частности, описывается случай с сервером той же Supermicro, у которого вредоносный чип был внедрён в дорожки, ведущие к порту Ethernet. Обнаружить его активность удалось по нетипичному сетевому трафику, но до конца разобраться в том, какие данные передаёт или обрабатывает устройство, специалистам не удалось.

Аппаратные закладки: миф или реальность?

Аппаратные закладки: миф или реальность?

Так сколько же стоит подобная аппаратная модификация и может ли она быть проведена не спецслужбами и прочими организациями с практически неограниченными ресурсами? Энтузиасты тщательно проверили все возможные способы и доказали, что такая операция возможна. Исследователь Монта Элкинс (Monta Elkins) обещал предоставить подробное описание данного типа атаки на конференции CS3sthlm, которая пройдет с 21 по 24 октября в Стокгольме.

Элкинс утверждает, что ничего сверхсложного в ней нет и каких-то особых навыков не требуется — любой достаточно мотивированный злоумышленник, будь то шпион, хакер или представитель криминальных кругов, легко может снабдить нужный ему сервер или сетевое устройство соответствующей модификацией. Опытному хакеру, который дружит не только с ПО, но и с паяльником, такая операция обойдётся всего в $200, включая затраты на оборудование.

Digispark Attiny 85: донор чипов-закладок. Верхняя микросхема ‒ контроллер

Digispark Attiny 85: донор чипов-закладок. Верхняя микросхема ‒ контроллер

При этом $150 будет стоить фен для пайки, ещё $40 уйдёт на микроскоп, а сами чипы, используемые для взлома, могут стоить всего $2 за штуку. Автору будущего доклада удалось модифицировать брандмауэр Cisco таким образом, что, по его мнению, взлом не заметят большинство системных администраторов.

В качестве чипа Элкинс выбрал 8-бит микроконтроллер Atmel ATtiny85 с платы Digispark Arduino. Эта микросхема не так мала, как «рисовое зёрнышко» из статьи Bloomberg, но её размеры в корпусе SOIC-8 составляют всего 4 × 5 мм. При этом контроллер, работающий на частоте 16,5 МГц, представляет собой довольно мощное устройство. 

Исследователь выбрал место на системной плате Cisco ASA 5505, не требующее дополнительных проводов и установил туда данный чип, предварительно снабдив его соответствующей прошивкой. Элкинс утверждает, что такая модификация возможна и для других устройств Cisco. Компания в свою очередь заявила: «Если будет обнаружена новая информация, о которой должны знать наши клиенты, мы сообщим её по обычным каналам связи».

Взломанная системная плата Cisco ASA 5505. «Лишний чип» в левом нижнем углу

Взломанная системная плата Cisco ASA 5505. «Лишний» чип в левом нижнем углу

Как видно на снимке, сходу обнаружить лишнюю микросхему не так-то просто, хотя в примере использовалась достаточно небольшая и не слишком сложная системная плата. Если произвести пайку аккуратно, то чип создаёт впечатление установленного на заводе и совершенно не привлекает внимания. Элкинс утверждает, что возможна куда более скрытная установка, а также использование более мелких микросхем. ATtiny85 он выбрал просто из-за легкости программирования.

Контроллер припаян к выводам последовательного порта. После включения устройства чип  дожидается загрузки ОС брандмауэра, а затем имитирует действия человека. Он инициирует процедуру восстановления пароля, после чего создаёт новую учётную запись администратора и, таким образом, получает доступ ко всем настройкам устройства.  Дальнейшее зависит от намерений взломщика: возможно получение полного удалённого доступа к системе, отключение всех настроек безопасности, доступ к сетевым логам и прочим данным.

TinyFPGA AX2: стоимость $19, габариты ПЛИС 2,5×2,5 миллиметра

TinyFPGA AX2: стоимость $19, габариты ПЛИС Lattice  XO2-1200 — 2,5 × 2,5 миллиметра

Другой исследователь, Траммел Хадсон (Trammell Hudson), также подтвердил возможность аппаратного взлома. Он воспроизвёл ситуацию с платой Supermicro и подключился к контроллеру BMC, отвечающему, в числе прочего, и за удалённый доступ к системе. В качестве «зловреда» Хадсон выбрал крошечную ПЛИС площадью всего 2,5 мм2, заменив ей один из резисторов на системной плате. Вероятнее всего, он использовал микросхему Lattice XO2-1200.

Таким образом, на сегодняшний день возможность аппаратного взлома различной IT-техники полностью доказана и подтверждена. Самое опасное в такой возможности то, что воспользоваться ей может практически любой достаточно опытный энтузиаст, даже не располагающий серьёзными денежными средствами. В ближайшие годы компаниям, отвечающим за кибербезопасность, предстоит очень много работы. Даже обычным опытным пользователям можно рекомендовать тщательный осмотр своих устройств на предмет наличия «лишних» чипов.

Постоянный URL: http://servernews.ru/995720
28.03.2018 [13:50], Сергей Карасёв

Обнаружены новые кибершпионские инструменты команды Hacking Team

Компания ESET сообщила об обнаружении ранее неизвестных образцов программного обеспечения для кибершпионажа Remote Control System (RCS), которое используется для слежки за пользователями в различных странах.

Созданием названных кибершпионских инструментов занимается итальянская команда Hacking Team. Функциональность RCS весьма широка: этот софт позволяет скачивать файлы с инфицированного компьютера, перехватывать письма и сообщения, удалённо управлять веб-камерой и микрофоном.

В июле 2015 года Hacking Team стала жертвой взлома, в результате которого в сеть утёк исходный код шпионского программного обеспечения. После этого команда занялась созданием модифицированных кибершпионских инструментов, которые теперь обнаружены в Сети.

Новые версии RCS поддерживают те же функции, что и до утечки исходного кода. Все они подписаны новыми цифровыми сертификатами.

Для распространения шпионских модулей используются фишинговые рассылки. Инструменты RCS могут маскироваться, например, под файлы в формате PDF при помощи двойного расширения. Названия документов-приманок ориентированы на потенциальных жертв из числа сотрудников дипломатических представительств.

«Анализ образцов позволяет сделать вывод о том, что их создал один и тот же разработчик (или группа разработчиков). Это не написанные изолированно друг от друга версии разных авторов, воспользовавшихся слитым в Интернет исходным кодом», — добавляет ESET. 

Постоянный URL: http://servernews.ru/967635
02.07.2014 [13:38], Дмитрий Приходько

Хакеры из Dragonfly 1,5 года саботировали работу крупнейших энергетических предприятий

Кибершпионаж сегодня используется не только для получения секретной государственной информации о военных и политических планах правительства других стран. Всё чаще в качестве потенциальной цели выбираются объекты, имеющие первостепенное экономическое значение, в частности — предприятия энергетического сектора. Согласно докладу представителей Symantec — фирмы из Купертино, занятой разработками ПО в сфере информационной безопасности, хакерская группа под названием Dragonfly продолжительное время вела «подрывную деятельность» в виртуальном пространстве. В её послужном списке значится ряд стратегически важных объектов, доступ к управлению процессами и ценнейшим секретным данным, которые сумела заполучить команда хакеров. В качестве целей для удара «Стрекоза» выбирала организации, занятые в энергетическом секторе, нефтепереработке и производстве, поставках крупного промышленного оборудования, газодобыче и других схожих отраслях.    

www.bea-tdl.de

www.bea-tdl.de

Для оперативного и незаметного получения контроля за системами крупных промышленных предприятий злоумышленники использовали троянцы, позволяющие мониторить, извлекать файлы и следить удалённым способом за действиями потенциальных жертв и даже отдавать команды для смены режима работы технологических машин. Вредоносное ПО, основой которого стали троянцы Backdoor.Oldrea («Энергетический медведь») и Trojan.Karagany, а также специально написанный под конкретную операцию код, попадало совсем нехитрым способом в чужую систему одновременно с загрузкой обновлений на компьютеры, имевших подключение к Всемирной сети. Также специалистами Dragonfly был задействован и старый добрый метод активного спама на адреса электронной почты.

www.malekal.com

www.malekal.com

Именно спам и стал первоначальной тактикой киберпреступников, как отработанный и эффективный. Вирусы попадали на почту руководителей и сотрудников компаний под видом PDF-вложений. Заголовки «заражённых» писем обычно имели две характерные особенности. Это были сообщения, в теме которых указывалось что-то вроде «Внимание» или «Урегулирование вопросов поставки», а вся входящая корреспонденция отправлялась с единого адреса в почтовой системе Gmail. Уже позже в ход пошла и более «тяжёлая артиллерия» в виде взлома официальных сайтов предприятий энергетической отрасли и грамотное перенаправление посетителей на инфицированные ресурсы, а также тщательного поиска на предмет уязвимости промышленных систем. 

pcworld.com

pcworld.com

Отправка почтового спама интенсивно практиковалась хакерами Dragonfly с начала февраля 2013 года и продолжалась до июня 2013 года, а под целенаправленный удар по данным Symantec попало не менее семи весьма крупных организаций. На почту каждой из них было выслано от одного до 84 писем схожего характера. 

Аналитикам при сборе материалов и статистики атак удалось установить следующие временные показатели, определяющие географическую принадлежность киберпреступников. Хакеры действовали преимущественно с понедельника по пятницу, а их активность начиналась около 9 часов утра и продолжалась до 18 часов по часовому поясу UTC+4. Стоит отметить, что эксперты считают местом базирования группы одну из стран Восточной Европы, предположительно — Российскую Федерацию. Об этом недвусмысленно намекают и указанный в отчёте часовой пояс, и пестрящие заголовки зарубежных интернет-изданий про причастность именно российских специалистов. В указанный UTC+4 попадает достаточно большая территория России, а также Армения, Грузия, Оман, Маврикий и ещё пара не слишком активных с точки зрения хакерской деятельности государств. 

twitter.com

twitter.com

Пожалуй, одной из самых грандиозных кампаний стала атака с помощью любимца программистов Dragonfly — «Энергетического медведя». По имеющимся данным, опасность данной программы состояла в том, что она позволяла не просто наблюдать за происходящими процессами в системе и открывать доступ к файлам. Хакерам, внедрившим в промышленный комплекс «Энергетического медведя», открывался доступ к средствам контроля и настройками функционирующих в заданном режиме энергетических установок, вроде ветроагрегатов, турбин, компрессоров, газопроводов. Несмотря на то, что первоначальной задачей вредоносного ПО значилась исключительно пассивная роль мониторинга, модифицированные варианты открывали доступ к реальным и опасным инструментам саботирования, которое могло привести к экономическому краху и человеческим жертвам.

definicije.blogspot.com

definicije.blogspot.com

Второй наиболее часто внедряемый троянец — Backdoor.Oldrea — является вполне стандартной программой, созданной, вероятнее всего, силами самих хакеров. Он позволяет получать данные о всех установленных программах, извлекать данные из адресных книг почтовых клиентов и файлов. Затем все собранные сведения шифруются и оказываются уже на удалённом сервере, находящемся под управлением киберпреступников.

Что касается Trojan.Karagany, то он не является творением членов Dragonfly, а доступен для приобретения на «чёрном рынке». Первая его версия была обнаружена ещё в 2010 году, а нынешняя вариация троянца постоянно подвергалась модификациям в зависимости от конечной цели применения. 

Считается, что неизвестным удалось за 1,5 года инфицировать вирусом свыше 1000 организаций в 84 странах мира. Вредоносные действия Dragonfly распространились практически по всей планете, скомпрометировав деятельность организаций в США, Испании, Франции, Италии, Германии, Турции, Польше и т.д.

Постоянный URL: http://servernews.ru/823217
11.02.2014 [13:22], Андрей Крупин

«Лаборатория Касперского» раскрыла новую сеть кибершпионажа

«Лаборатория Касперского» объявила о раскрытии новой кибершпионской сети, получившей название «Маска» и затронувшей компьютерные системы в более чем трех десятках странах мира, включая Ближний Восток, Европу, Африку и Америку. Атаке подверглись государственные организации, дипломатические офисы и посольства, энергетические и нефтегазовые компании, исследовательские организации, а также политические активисты. Главной целью злоумышленников был сбор ценной информации из зараженных систем, включая различные документы, ключи шифрования, настройки VPN, применяемые для идентификации пользователя на сервере SSH-ключи, а также файлы, используемые программами для обеспечения удаленного доступа к компьютеру.

Согласно результатам проведенного экспертами «Лаборатории Касперского» расследования, кампания шпионажа стартовала в 2007 году, и ее организаторами являются испаноговорящие киберпреступные группы. Анализ выявил, что операция «Маска» активно велась на протяжении пяти лет до января 2014 года — во время проведения исследования управляющие сервера злоумышленников были оперативно свернуты.

Заражение компьютеров жертв происходило при помощи фишинговых писем, содержащих ссылки на вредоносные ресурсы. На этих сайтах располагался ряд эксплойтов, которые в зависимости от конфигурации системы посетителя, использовали различные способы атаки его компьютера. В случае успешной попытки заражения, вредоносный сайт перенаправлял пользователя на безвредный ресурс, который упоминался в письме — это мог быть YouTube или новостной портал.

«Несколько причин заставляют нас думать, что это может быть кампанией, обеспеченной государственной поддержкой. Прежде всего, мы наблюдаем крайне высокий уровень профессионализма в действиях группы, которая обеспечивает мониторинг собственной инфраструктуры, скрывает себя с помощью правил системы разграничения доступа, начисто стирает содержимое журнальных файлов вместо обычного их удаления, а также при необходимости прекращает всякие действия. Такой уровень самозащиты нетипичен для киберпреступников. Все это ставит данную кампанию по уровню сложности даже выше Duqu – можно сказать, это самая сложная угроза такого класса на данный момент», — объяснил Костин Райю (Costin Raiu), руководитель глобального исследовательского центра «Лаборатории Касперского».

Полная версия отчета «Лаборатории Касперского» по итогам расследования новой кибершпионской сети доступна на сайте securelist.com.

Материалы по теме:

Источник:

Постоянный URL: http://servernews.ru/802945
Система Orphus