Американские кибершпионы научились распознавать на чужих ПК дружественных хакеров и прятаться от врагов

Софт Безопасность Интернет ИТ в госсекторе
мобильная версия
, Текст: Роман Георгиев

Эксперты по безопасности исследовали малоизвестный до сих пор инструмент хакерской группы Equation, который предназначен для выявления признаков заражения чужими шпионскими инструментами. Выяснилось, что правительственным хакерам США было известно о большем количестве APT-кампаний, чем кому бы то ни было еще.


Территориальные споры

Операторы кибершпионских программ Агентства нацбезопасности США (АНБ) имеют техническую возможность распознавать на зараженных ими компьютерах чужие хакерские программы и оперативно выводить с машин свой код, чтобы не «засвечивать» свои инструменты.

К такому выводу пришли венгерские исследователи, которые изучили вредоносные программы АНБ, утекшие в апреле 2017 г., и описали утилиту под названием Territorial Dispute («территориальный спор»).

По мнению экспертов, она не привлекла к себе должного интереса сразу исключительно потому, что все внимание было приковано к эксплойтам EternalBlue, EternalRomance и др. В немалой степени это связано с тем, что EternalBlue использовался создателями вредоноса WannaCry, вызвавшего в 2017 г. глобальную эпидемию.

Как работает утилита АНБ

Territorial Dispute не имеет «наступательных» характеристик. По принципам работы этот инструмент напоминает антивирус, хотя и работает в связке со шпионским фреймворком DanderSpritz. Эта комбинация опрашивает зараженную систему, и Territorial Dispute, в частности, целенаправленно ищет файлы и записи в системном реестре, являющиеся признаками активности хакерских групп, связанных с другими государствами.

В АНБ умеют распознавать на сторонних ПК дружественных хакеров и прятаться от врагов

Если эти признаки обнаруживаются, то TerritorialDisputeотправляет оператору предупреждения следующих видов: «Пожалуйста, сверните операцию», «Срочно обратитесь за помощью», «Инструменты дружественной стороны», «Опасный вредонос» и т. д. Иными словами, указывают венгерские исследователи, TerritorialDisputeспособен различать между собой кибершпионские инструменты союзников и противников США. Инструмент содержит список индикаторов заражения, распределенных по 45 категориям. Каждая из этих категорий соответствует отдельно взятой кибершпионской группировке.

Исследователи сравнили эти индикаторы с теми, что были ранее обнародованы различными экспертами и антивирусными компаниями. Выяснилось, что TerritorialDisputeраспознает хакерские группировки, известные как Turla, FancyBear, Duqu, Stuxnet, Flame, DarkHotel и ряд других помельче. Кроме этого обнаружились прежде неизвестные индикаторы заражений: это означает, что на момент кражи их инструментов, хакеры АНБ были в курсе деятельности целого ряда кибершпионских групп, о которых широкой публике ничего не было известно.

Стоит отметить, что на сегодняшний день в тематический ресурсе «Лаборатории Касперского» содержится информация почти о 70 хакерских группировках.

«Эксплойты АНБ»

В конце лета 2016 г. некая никому доселе неизвестная группа ShadowBrokersзаявила о том, что в ее распоряжении находятся эксплойты кибергруппировки Equation. О существовании последней стало известно годом ранее от «Лаборатории Касперского». Эксперты «Лаборатории» назвали Equation – «Звездой смерти в галактике вредоносного ПО», отметив, что действовать она могла с конца 1990-х, и что всегда получала доступ к эксплойтам нулевого дня раньше других групп, известных к тому моменту. Впоследствии Equationс высокой долей достоверности связали со специальным подразделением АНБ.

После неуспешной попытки продать эксплойты Equationна импровизированном аукционе, ShadowBrokersв апреле 2017 г. выложила значительную их часть в общий доступ.

Как оказалось, многие из этих эксплойтов сохранили эффективность. В частности, EternalBlue, как уже сказано, был использован создателями вредоноса WannaCry, заразившего 230 тыс. компьютеров в 150 странах мира. В конце января 2018 г. стало известно, что тот же эксплойт теперь использует криминальный криптомайнер, занимающийся производством валюты Monero. Им заразились более 500 тыс. компьютеров. Очевидно, что эти же эксплойты использовались и другими злоумышленниками – в менее публичных атаках.

Эксперты отмечают, что само использование таких инструментов многое говорит о методах работы Equation/АНБ: «правительственные хакеры» США стараются проводить свои операции как можно тише и прилагают немало усилий, чтобы скрыть следы своей деятельности. Тем не менее, с 2015 г. их деятельность уже является «секретом Полишинеля».

«В 2016 году американские документалисты выпустили фильм ZeroDays, где на условиях анонимности представители ЦРУ и АНБ признали “соавторство” вируса Stuxnetи заявили, что его утечка – следствие ошибки программистов, — указывает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Если бы Stuxnet отработал скрытно, как и предполагалось, не исключено, что о существовании кибероружия мир узнал бы намного позже. Самым удручающим следствием прошлогодней утечки инструментов Equation/АНБ стала их доступность для хакеров всех мастей. Эпидемия WannaCryи криптомайнера, использующего EternalBlue, также показали, насколько печально обстоят дела с кибербезопасностью во всем мире».