Kaspersky Lab - Vislabākā aizsardzība!
Sākumlapa » Apdraudējumi » Ķīnieši izmantojuši ASV spiegošanas kiberrīkus vēl pirms to nopludināšanas internetā

Ķīnieši izmantojuši ASV spiegošanas kiberrīkus vēl pirms to nopludināšanas internetā

Beidzot mums ir skaidri dokumentēts precedents, kas parāda, cik neprātīgi rīkojas valstu specdienesti, ievācot ievainojamības plaši izmantotā programmatūrā, lai, nenoziņojot tās programmatūras ražotājiem, slepeni izmantotu spiegošanas/sabotāžas rīku radīšanai. Zemāk aprakstītajā gadījumā ASV radītie rīki, kuros izmantotas Windows operētājsistēmas nulle dienas ievainojamības, nokļuva kiberuzbrucēju rokās, ko eksperti saista ar Ķīnu. Ar specdienestu “svētību” Eiropas un citu valstu infrastruktūra zināmu laiku tika pakļauta papildus riskiem, kuru varēja arī nebūt. Un tādu mākslīgi radītu risku ir liels daudzums!

Jāsaka gan, ka vienas valsts radītas ļaunprogrammatūras pārtveršana no citas valsts specdienestu vai pat kriminālu grupējumu puses ir tikai viens no mehānismiem, kā briesmām tiek pakļauta visa pasaule. Jau ir veikti pētījumi, kas parāda, ka atklātas ievainojamības, ja tās tiek noklusētas, ar diezgan augstu varbūtību pietiekoši īsā laikā tiek atklātas atkal. Turklāt, kā rāda prakse, dienestus vajā iekšējas noplūdes. Nupat, šī gada marta beigās, tiesā tika atzīts par vainīgu bijušais ASV Nacionālās drošības aģentūra (NSA) darbinieks Harolds Martins, kurš bija ievācis vairāk par 50 TB noslēpumu. Varat smieties, bet par viņa arestu 2016. gadā jāpateicas Kaspersky Lab ekspertiem, kuri viņu izskaitļoja, atrodot saistības starp Twitter, seksa izvirtību (sasiešana un sadomazohisms) sludinājumu un LinkedIn kontiem, pēc tam, kad viņš izdarīja mēģinājumu notirgot ASV noslēpumus. Varat smieties vēlreiz, bet arī cits ASV Nacionālās drošības aģentūras darbinieks, kuram patika nēsāt noslēpumus uz mājām, ar Kaspersky Lab netiešu līdzdalību tagad izcieš 66 mēnešu cietumsodu (par šo epizodi AntiVirus.LV pastāstīs detalizēti atsevišķi).

 

 

Un tā, kā ziņo Bleeping Computer, ķīniešu grupējums izmantojis rīkus, ko izstrādājusi ASV Nacionālās drošības aģentūra (NSA), vairāk nekā gadu pirms Shadow Brokers organizēja to nopludināšanu internetā 2017. gada aprīlī; vēlāk šie rīki tika izmantoti sevišķi postošos uzbrukumos, piemēram, ļaunprogrammatūras WannaCry kampaņā, kura sākās 2017. gada maijā. Kiberuzbrucēju grupējums Buckeye (pētniekiem pazīstams arī kā Gothic Panda, TG-0110, UPS un APT3) aktīvi darbojas vismaz kopš 2010. gada un, pēc ekspertu domām, viņi atbildīgi par uzbrukumiem, galvenokārt par mērķi izvēloties ASV objektus.

Apsūdzība, ko trīs APT3 locekļiem 2017. gada septembrī izvirzīja ASV varas iestādes, pievērsa šai grupai masu mediju uzmanību – trīs ķīniešu hakeri tika apvainoti par ielaušanos Moody’s Analytics, Siemens, Trimble datorsistēmās laika posmā no 2011. gada līdz 2017. gada maijam. Kā ziņo kiberdrošības uzņēmums Symantec, ķīniešu izcelsmes Buckeye tika izmantojusi NSA rīkus jau 13 mēnešus pirms tos nopludināja Shadow Brokers (hakeru grupējums, kurš tos tika nozadzis) 2017. gada aprīlī. Sākot no 2016. gada marta NSA lūka (backdoor) DoublePulsar tika atklāta kā daļa no Buckeye kampaņas, bet tās izplatīšana tika veikta ar Bemstour Trojan – ļaunprogrammatūru, ko grupa īpaši izstrādāja NSA kaitīgā koda izplatīšanai. Ievainojamība operētājsistēmas Windows dažādās versijās CVE-2017-0143, kas izmantota ASV rīkos EternalRomance un EternalSynergy, ir tikusi izmantota arī Buckeye kampaņās, sākot ar 2016. gada martu. Tā tikusi izmantota ļaunprogrammā Bemstour Trojan kopā ar tikai nesen atklātībā nākušo Windows ievainojamību CVE-2019-0703.

Symantec atklāja, ka Buckeye uzbrukumu laikā izmantotais lūkas DoublePulsar variants ir jaunāks par to, kuru nopludināja Shadow Brokers – tas bija aprīkots ar papildus maskēšanās līmeni, kas varētu liecināt, ka ķīnieši pirms iesūtīšanas upuru sistēmās to pielāgojuši savām vajadzībām. Tā nav pirmā reize, kad DoublePulsar tiek pielāgots citiem mērķiem – atceramies kaut vai 2018. gada jūnija modifikāciju, kuras mērķis bija datori ar instalētu Windows IoT operētājsistēmu (kura iepriekš bija pazīstama kā Windows Embedded).

DoublePulsar izrādījās ļoti efektīvs instruments un tas pierādījās nedēļu pēc rīka noplūdes, kad drošības analītiķi atklāja vairāk nekā 36 000 inficētu datoru visā pasaulē. Tas fakts, ka ķīniešu grupējums nekad nav izmantojis FuzzBunch programmatūru, kura ir īpaši izstrādāta kā ērta pārvaldīšanas platforma visiem NSA rīkiem, varētu nozīmēt, ka ķīniešu rīcībā nav bijusi piekļuve visai ļaunprogrammatūras krātuvei, kuru nopludināja Shadow Brokers.

Pēc Symantec atklājumiem saglabājušās vēl daudzas neskaidrības – sākot no metodes, ar kuru Buckeye izdevās iegūt NSA rīku komplektu, līdz iemeslam, kādēļ DoublePulsar lūka tika izmantota pat pēc tam, kad ķīniešu grupējums 2017. gada vidū bija izbeidzis darbību. Uzņēmums Symantec ir izvirzījis teoriju, ka ķīnieši varēja radīt “paši savu rīku versiju, balstoties uz pārtvertajā tīkla ziņapmaiņā atrastiem artefaktiem, iespējams, novērojot Equation Group uzbrukumu”. Citas, mazāk ticamas hipotēzes ir tādas, ka hakeru grupējums ieguva “rīkus, piekļūstot neaizsargātam vai slikti aizsargātam Equation Group serverim vai arī kāds nodevīgs Equation Group darbinieks vai partneris nopludinājis rīkus Buckeye”.

Tiem, kuri nezina, kas ir Equation Group, būtu jāuzmet acis Kaspersky Lab ziņai 2015. gada sākumā Equation Group: The Crown Creator of Cyber-Espionage. Tieši pēc šī Kaspersky Lab ekspertu ziņojuma sākās uzņēmuma nedienas ar ASV, kas jau 2015. gadā izpaudās mēģinājumos graut Kaspersky Lab reputāciju. Tagad, kad atklājas arvien vairāk detaļu, domājams, ka AntiVirus.LV detalizēti apskatīs galvenos uzbrukumus uzņēmumam Kaspersky Lab, kas ar mediju starpniecību notika 2017. gadā, un, neskatoties uz to, ka neskaitāmi avoti, sākot ar ASV Iekšzemes drošības departamentu (DHS) un beidzot ar Eiropas Komisiju, ir norādījuši, ka negatīvajiem apgalvojumiem nav apstiprinājumu un pierādījumu, vēl arvien šur un tur tiek mēģināti izmantot. Atstāju jūs ar VirusTotal skenējuma rezultātiem vienai no Buckeye izmantotās spiegošanas programmatūras komponentēm.

 

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 1 = 1

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu