Журнал "Information Security/ Информационная безопасность" #3, 2018

Согласно статистике лабораторий по расследова- нию компьютерных преступ- лений и опубликованным на закрытых форумах материа- лам отдельных экспертов, привлекаемых для рассле- дований кибератак, чаще всего разработчиками вре- доносного ПО и архитекто- рами кибероружия высту- пают молодые (до 30 лет) специалисты с профильным техническим образованием, оказавшиеся в сложной жизненной ситуации, полу- чившие дополнительную мотивацию (различной при- роды) к сотрудничеству от представителей проправи- тельственных организаций. По сути своей завербован- ные талантливые програм- мисты, исследователи уязвимостей, вирусные ана- литики и хакеры-любители составляют основной костяк иностранных виртуальных сообществ, больше извест- ных как кибервойска. тации содержится подробное описание архитектуры выбран- ного решения и способов обхо- да подсистемы шифрования и аутентификации. В документах под заголовками System HW Description, Build Procedure или Message Format содержится подробное описание работы логических компонентов реше- ния. Появление данной инфор- мации в открытом доступе, при условии, что проект Protego завершен, а целевая система успешно внедрена и эксплуати- руется в ВВС США и ряда стран партнеров, является примером разглашения технологических секретов производства, сопо- ставимым с применением в отношении США информацион- ного и кибероружия. Кейс № 2 31 августа 2017 г. портал WikiLeaks разместил в открытом доступа материалы по проекту Angelfire, выполненному ранее по заказу ЦРУ некой субпод- рядной ИТ-компанией в США. Суть проекта заключалась в разработке 5-компонентной программы-импланта для ОС линейки Microsoft Windows. Результатом успешной реа- лизации проекта Angelfire стала разработка гибкого фреймвор- ка, который достаточно легко можно загрузить на целевую систему с использованием уязвимостей нулевого дня и применять в дальнейшем в качестве платформы для выпол- нения других совместимых про- грамм-закладок, нацеленных как на сбор конфиденциальной информации в процессе работы пользователя, так и на саботаж основных процессов посред- ством шифрования критичных файлов на файловой системе или в операционной памяти. Благодаря эксплуатации неизвестных ранее для Windows-платформы уязвимо- стей, связанных с утечками памяти и работой с загрузочным сектором файловой системы, вредоносные компоненты Angelfire не определялись сред- ствами защиты и не оставляли видимых следов своего пребы- вания на целевой станции. Спектр применения подобных фреймворков огромен. Логика и архитектура, использованная субподрядчиком ЦРУ для реа- лизации данного типа киберо- ружия, с успехом применялась создателями вредоносного про- граммного обеспечения, исполь- зованного в ходе кибератак на финансовые организации в Рос- сии в 2015–2018 гг. Кейс № 3 24 августа 2017 г. на Wiki- Leaks появилась информация о еще одном проекте ЦРУ под названием ExpressLane. В опуб- ликованных документах содер- жатся отчеты ЦРУ о проведении операций с использованием новейшего кибероружия в отно- шении служб связи (в т. ч. на территории США). В список целей проекта среди прочего входят Агентство национальной безопасности (NSA), департа- мент внутренней безопасности (DHS) и Федеральное бюро рас- следований (ФБР) США. Суть проекта ExpressLane заключалась в скрытом исполь- зовании накопленных в системе биометрической идентифика- ции и аутентификации данных. Скрытность процесса обеспечи- валась маскировкой работы компонентов ExpressLane под стандартные программы застав- ки и системы обновления Windows-платформы и запус- кались в скрытом от пользова- теля режиме Web-камеры и системы биометрической аутен- тификации на мобильных устройствах с целью сбора и анализа информации о пользо- вателе. Схожие подходы и алгоритмы использовались американскими военными в 2011 г. для скрыто- го выявления среди пользова- телей Windows-систем пособ- ников пакистанский террори- стических организаций по всему миру. Данный проект был признан одним из самым высокоэффек- тивных примеров применения кибероружия. Примерно с этого времени, в 2011–2012 гг., широ- кое распространение в среде пользователей мобильных устройств и ноутбуков в России получили шторки-наклейки на объективы Web-камер, гаран- тирующие невозможность скры- того видеонаблюдения с использованием программ- закладок, разработанных по схемам ExpressLane. Кейс № 4 Похожий на приведенный в третьем кейсе проект ЦРУ под названием Dumbo был рассек- речен все тем же порталом Wiki- Leaks в начале августа 2017 г. Dumbo – это программа-заклад- ка, попав в операционную систе- му линейки Windows, она поз- воляет скрытно удаленно иден- тифицировать и управлять Web- камерами и микрофонами, под- ключенными к целевой системе как локально, так и по протоко- лам Bluetooth и Wi-Fi. Компо- ненты Dumbo могут работать под непосредственным управ- лением оператора в удаленном режиме и позволяют манипули- ровать записями сигналов, про- ходящих через скомпрометиро- ванные устройства. Это особен- но актуально в том случае, если на целевой системе происходит регулярная обработка аудио- и видеосигналов, содержащих чувствительную информацию. Подобное кибероружие может применяться для мани- пуляции информацией, подго- товленной к автоматической публикации в Интернете или на цифровых каналах обществен- ного телевидения. Заключение После ознакомления с данным материалом читателю должно стать более понятным опреде- ление кибероружия, варианты и примеры его применения, а также его место в линейке инструментов для проведения кибератак в современном циф- ровом мире. Но представленные выше примеры являются всего лишь вершиной информацион- ного айсберга, основная часть которого всегда скрыта под тол- щей секретности. Порталы, подобные WikiLeaks, позволяют специалистам по информационной безопасности и кибераналитикам ознакомить- ся с материалами, которые ранее считались недоступными. Однако с таким же успехом эти материалы попадают в руки вирусописателей и киберпре- ступников. Как они применяют полученные знания на практике и как защитить себя от их зло- намеренного воздействия, об этом и о многом другом предла- гаю поговорить в следующей части серии статей, посвящен- ной тематике кибероружия. l 44 • ТЕХНОЛОГИИ Ваше мнение и вопросы присылайте по адресу is@groteck.ru

RkJQdWJsaXNoZXIy Mzk4NzYw