Напряженность между Россией и Крымом отразилось в аналогичном конфликте в киберпространстве. Решение российской власти запустило целый ряд событий в киберпространстве: государственные силы кибербопасности, группы хактивистов и киберпреступники начали действия против «врага».
Специалисты по безопасности считают, что задача российских военных — изолировать регион. Возможно, именно для этого в порту Севастополя стали на якорь корабли ВМФ России: на борту у них есть оборудование для глушения радиосвязи. В районе Севастополя станции связи ВМС Украины уже пострадали от саботажа. Крымский полуостров страдает от многочисленных DOS-атак, а ПАО «Укртелеком» сообщило, что «неизвестные лица захватили несколько узлов связи в Крыму» и что связь между полуостровом и остальной частью Украины ухудшилась в результате «действий неизвестных, которые физически повредили несколько оптоволоконных магистральных кабелей».
Атаки случились и в сети, на целый ряд веб-сайтов. Два правительственных веб-сайта в Крыму не работают, но неизвестно, кто их «положил», хакеры из-за рубежа или сами представители местной власти.
Военные эксперты не сомневаются, что это — прелюдия к решительной операции. В частности, Россия применяла эту же стратегию в 2008 году, когда изолировала Грузию, взяв под контроль правительственные веб-сайты и вмешавшись в работу интернета в этой стране, которая не имела собственной точки обмена интернет-траффиком (IXP) и где почти 70% интернет-траффика проходило через IХР иностранных государств, — в том числе и России.
Кажется, у Украины в Крыму лишь одна точка обмена интернет-траффиком, поэтому российским службам кибербезопасности без проблем удалось изолировать целый регион.
В контексте информационной войны основные мишени — это ключевые объекты инфраструктуры страны. Следует предполагать, что российская власть выделяет огромные средства на улучшение своих интернет-мощностей. Вполне вероятно, что в случае возможного перехода в стремительное наступление Москва применит также и кибероружие для дестабилизации оборонных структур в регионе.
UROBUROS И ПЛАТФОРМА SNAKE
Недавно специалисты немецкой компании G Data опубликовали интересный анализ руткита Uroburos, который считается компонентом российской программы кибервооружений. Uroburos считают одним из новейших руткитов, который действует еще с 2011 года. Он используется для заражения сетей, которые относятся к мишеням высокого уровня, и похищения данных путем установления злоумышленных P2P сетей. Объектом атаки становятся как 32-битныне, так и 64-битные системы Microsoft Windows.
Немецкая ІБ-компания G Data провела интересное исследование злоумышленного ПО, чтобы выявить его авторов. Вывод: Uroburos, вне сомнения, имеет российское происхождение.
ЧТО ЖЕТАКОЕ UROBUROS?
«Uroburos — это руткит, состоящий из двух файлов: драйвера и закодированной виртуальной файловой системы. Этот руткит может взять под контроль зараженный компьютер, выполнять произвольные команды и скрывать системную деятельность. Он может красть информацию (особенно файлы) и может также перехватывать сетевой траффик. Его модульная структура позволяет легко добавлять новые функции, что делает Uroburos не только очень сложным, но и чрезвычайно гибким и опасным. Комплексная структура его драйвера спроектирована так, что выявить его очень сложно», — говорится в анализе G Data.
Руткит Uroburos демонстрирует все характеристики сверхсложного дизайна, типичного для организованной государством операции. Ему присуща необычайная сложность, а модульная структура злоумышленного ПО, вне сомнения, была создана в России, о чем свидетельствуют следы, оставленные авторами в исходном коде.
Особенностью этого злоумышленного ПО является то, что оно проверяет компьютер-жертву на присутствие другой программы, Agent.btz (Buckshot Yankee) — червя, который успешно заразил военные сети США в 2008 году и привел к запрещению использования USB и съемных носителей в США. Если Uroburos обнаруживает червя Agent.btz, то не активируется.
«Злоумышленное программное обеспечение (злоумышленное ПО) проникло на обычном флеш-накопителе, который позволил ему попасть в секретную систему и начать поиск документов, которые можно выкрасть. Потом оно распространилось на другие флешки. Пентагон считает этот инцидент, выявленный в октябре 2008 года, самым серьезным ударом, нанесенным засекреченным компьютерным системам американской армии».
По словам экспертов из G Data, Uroburos — это «скелет», который базируется на разведывательной деятельности. Вне сомнений, его создание требовало огромных финансовых вливаний, и очевидно, что разработчики этого проекта продолжают совершенствовать его.
«Отправив команду на зараженный компьютер, который имеет подключение к сети интернет, злоумышленное ПО может дальше заражать другие машины в этой [локальной] сети — даже те, которые не имеют выхода в интернет. Uroburos может шпионить за каждой зараженной машиной и отправлять добытую информацию «авторам» атаки, передавая извлеченные данные через зараженные машины в компьютеры с выходом в интернет».
Руткит Uroburos был создан для заражения сетей огромных организаций, даже если они имеют физически изолированные подсети. Подобные агенты — это тайное оружие для поражения особо важных целей в случае атаки. Известно, что российское правительство много инвестировало в разработку кибероружия и улучшение компьютерных мощностей своих силовых структур.
Всего через несколько дней после выявления руткита Uroburos консалтинговая фирма BAE Systems Applied Intelligence получила доказательства ведения российской кампании по кибершпионажу (кодовое название SNAKE), которая долгое время, — по меньшей мере восемь лет — оставалась незамеченной.
В ходе операции SNAKE нападающие проникали в системы Windows с высокими степенями защиты в разных странах, но наиболее интересным оказалось то, что недавно обнаруженный руткит Uroburos был лишь одним компонентом общей кампании SNAKE.
«Кибершпионская операция с руткитом Snake установлена. Образец, созданный в январе 2006 года, свидетельствует, что деятельность началась, очевидно, еще, по крайней мере, в 2005 году. Это программа высокого уровня, в которой использованы сложные техники для преодоления большинства средств защиты и предоставления нападающим возможности скрывать коммуникационные каналы. Следы, оставленные авторами под никами «vlad» и «gilg», оставляют соблазнительные подсказки, которые ведут к причастным к этому лицам», — говорится в отчете.
Выявление операции Snake подтверждает гипотезу, сделанную экспертами компании G Data. Все ИБ-сообщество столкнулось с крупномасштабной кампанией, организованной структурами из России, а уровень агентов указывает на причастность российского правительства.
В рамках операции Snake нападающие применяли многочисленные разнообразные единицы злонамеренного ПО. Сотрудники западных разведывательных служб нашли еще одно злонамеренное ПО, которое назвали Turla, которое заражало правительственные сети по всему миру. Диаграмма внизу показывает, что больше всего от распространения этого злонамеренного ПО пострадали украинские объекты.
Исследователи установили связь злонамеренного ПО Turla с популярной кибершпионской кампанией Red October, обнаруженной Лабораторией Касперского больше года назад.
«Это — очень сложное злонамеренное ПО, которое связано с другими российскими разработками, использует кодировку и нацелено против западных государств. Там везде полно российских следов», — заявил Джим Льюис, бывший сотрудник американской дипломатической службы.
В операции Snake применены утонченные технологии для заражения систем Windows. Обходя защиту, это ПО может прятаться в интернет— трафике жертвы.
«Укрывательство нескольких DNS/HTTP-запросов в плотном потоке сетевого трафика дает возможность руткіту Snake оставаться незамеченным».
Присутствие разведывательного компонента в структуре Snake свидетельствует о существовании арсенала инструментов для инфильтрации.
«Как показано, тайные команды дают возможность шпионской программе Snake обеспечить отдаленным нападающим полный отдаленный доступ к сломанной системе. Способность «впадать в спячку» и оставаться неактивной несколько дней подряд делает ее выявление в этот период очень трудным».
В прошлом году российское правительство объявило о создании целого подразделения по информационной войне в составе Вооруженных сил РФ. Его цель — улучшить кибермощности страны, точно так, как это делают многие другие государства. Официальные источники в военном ведомстве сообщают, что бюджет этого подразделения на 2013 год составил 2,3 миллиарда рублей ($70 миллионов).
«Киберпространство становится нашим приоритетом... решение создать команду кибербезопасности и новое подразделение Вооруженных сил уже принято. Мы работаем над общей концепцией программы разработок в этой сфере. Мы уже рассмотрели 700 инновационных проектов», — заявил Андрей Григорьев, председатель вновь созданного Фонда перспективных исследований, в интервью радиостанции «Эхо Москвы».
Григорьев объявил, что новое подразделение будет охватывать три главных военных сферы: исследования и разработки, вооружения и снаряжения будущего и кибервойны.
ОГЛЯНУТЬСЯ НА ПРОШЛОЕ, ЧТОБЫ ПОНЯТЬ НАСТОЯЩЕЕ И ПРЕДВИДЕТЬ БУДУЩЕЕ
Недавние нападения имеют много подобного с атаками перед вторжением в Грузию 2008 года. Тогда российские силовики также развязали информационную войну с противниками, чтобы подготовиться к стремительному наступлению.
Грузия и эксперты по безопасности обвиняли российских государственных хакеров в сломе правительственных и главных коммерческих веб-сайтов Грузии, что стало частью информационной военной кампании параллельно с военными действиями России в Южной Осетии. Основные правительственные веб-сайты были сломаны, они не работали, включительно с официальным веб-сайтом грузинского президента Михаила Саакашвили, а также сайтами Министерства иностранных дел, Министерства обороны, сайта центрального правительства и разных коммерческих веб-сайтов, которые были выведены из строя за предыдущую неделю.
ГРУЗИЯ И ЭКСПЕРТЫ ПО БЕЗОПАСНОСТИ ОБВИНЯЛИ РОССИЙСКИХ ГОСУДАРСТВЕННЫХ ХАКЕРОВ ВО ВЗЛОМЕ ПРАВИТЕЛЬСТВЕННЫХ И ГЛАВНЫХ КОММЕРЧЕСКИХ САЙТОВ ГРУЗИИ, КОТОРЫЙ СТАЛ ЧАСТЬЮ ИНФОРМАЦИОННОЙ ВОЕННОЙ КАМПАНИИ ПАРАЛЛЕЛЬНО С ВОЕННЫМИ ДЕЙСТВИЯМИ РОССИИ В ЮЖНОЙ ОСЕТИИ
Хакеры из группы «Южно-осетинская команда хакеров» опорочили сайт парламента Грузии, разместив там коллаж с изображениями Саакашвили и Адольфа Гитлера. Эксперт в сфере кибербезопасности Джарт Армин, самый профессиональный исследователь истории с группой российских киберпреступников, считает, что атака на правительство Грузии связана с деятельностью преступной организации кибера Russian Business Network (RBN), которая имеет связь с российской властью.
Армин обнаружил, что грузинские интернет-серверы контролировались иностранными хакерами, а интернет-трафик был полностью переведен на московские серверы. Эксперты по безопасности заявляют, что веб-сайты Грузии испытали мощные DDoS-атаки, которые перекрыли мишеням доступ к интернету.
Атаки направлены не только на правительственные веб-сайты. Мишенью российской стратегии также становились любые коммуникационные каналы, даже основной форум грузинских хакеров, несмотря на то, что грузинские хакеры могли организовать структурированный ответ. Один из самых популярных хакерских форумов Грузии лежал более суток и испытывал непрерывные DDoS-атаки.
Еще одной особенностью атак на Грузию была доступность (на основном хакерском форуме России) открытого списка имейл-адресов грузинских политиков. Хакеры организовали массивную спам-кампанию и фишинг-атаки на политиков. Эксперты по безопасности и военные стратеги считают, что этот список распространили российские военные, чтобы подстрекнуть хакеров скоординировать серию атак против правительства.
ЭРА ХАКТИВИСТОВ
Крым — это поле битвы между Украиной и Россией. Но как всегда, спор отражается и в киберпространстве, где государства ведут все больше тайных операций. В диспутах в киберпространстве могут также быть задействованы третьи стороны, например «хактивисты» или кибернаемники. Или же, в худшем сценарии — другие государства, заинтересованные в разжигании конфликта. Также нельзя игнорировать возможность проведения операций психологического давления на противника со стороны иностранных правительств, заинтересованных в дестабилизации региона или глобального дипломатического сценария. Иностранные игроки могли распространять пропагандистские месседжи на главных форумах и в социальных сетях, влияя на стратегию группы хактивистов и настроения населения.
Многие российские и украинские URL-адреса уже испытали атаки в ходе кампаний #OpUkraine и #OpRussia, запущенных, как всегда, из главных социальных сетей ВК, Одноклассники и Facebook.
Украинские активисты начинают хакерскую кампанию против российских веб-сайтов. Украинский сайт «Бимба», который называет себя «кибероружием Майдана», проводит в онлайне набор добровольцев, которые желают принять участие в атаках против России.
«В социальной сети ВК группа #опПокращення // #OpUkraine, которую связывают с Anonymous, загрузила на сайт pastebin.com свой пейст с анти-российским обращением и ссылкой на загруженные данные внутреннего SQL из Crownservice.ru (где публикуется информация о тендерах для государственных заказов), в файле под названием «Putin Smack Down Saturday» («Суббота, решающий удар по Путину»)», — сказано в интересном посте, опубликованном в блоге SenseCy.
Проанализировав явление «хактивизма», можно четко увидеть, что почти все операции проводятся в поддержку украинского населения. Группы наподобие Anonymous выбрали сторону, на которой они борются, — и серия навязчивых атак ударила по российским мишеням. Сломан был и веб-сайт главного российского канала новостей Russia Today (RT.com), где неизвестные хакеры сделали дефейс главной страницы.
Медиа-агентство подтвердило атаку в твит-сообщении из своего официального профиля:
«Сайт RT сломан, мы работаем над решением этой проблемы».
Хакеры заменили слова «Россия» и «россияне» на «Наци» или «нацисты». Этот дефейс видно на изображении ниже:
Эти модификации на веб-сайте Russia Today были видны почти 30 минут. Один из измененных заголовков выглядел так:
«Лидер нацистов-националистов объявил срочный розыск».
Хотя все еще неизвестно, кто прячется за хакерами. Недавно популярная группа Anonymous пригласила своих последователей подключиться к хакерской операции под названием #OpRussia в поддержку украинских протестующих. В рамках кампании #OpRussia группа хактивистов взломала сотни российских веб-сайтов. Атака на прокремлевскую службу новостей произошла после одобрения парламентом России применения военной силы в украинском Крыму.
Еще одну важную атаку провела хакерская группировка под названием «Русское киберкомандование» (Russian Cyber Command), которое «слило» почти тысячу документов, похищенных, как предполагается, у компании «Рособоронэкспорт». Хактивисты выразили свое несогласие со стратегией Путина в послании рядом со ссылкой на слитые файлы:
«Ввиду недавних параноидальных попыток российской власти начать Третью Мировую, мы, Свободные от Путина люди Российской Федерации — Свободные компьютерные мятежники и отступники от ІТ-безопасности, — решили начать настоящую внутреннюю кибервойну против российских военных предприятий и критических инфраструктурных предприятий, на которых стоит российская империя Путина».
Хакеры похитили файлы из систем посольства Индии в Москве. Попав в сети посольства, они послали зараженное письмо одному из руководителей компании «Рособоронэкспорт».
В послании хакеров сказано, что это лишь первая ласточка в длинном ряду краж данных российских компаний.
«Таким же образом мы заразили сайты компаний «Сухой», «Оборонпром», «Газфлот», «Русал», «Велес Капитал» и многих других, но мы «положим» их сразу же после этого первого слияния», — заявили хакеры.
Когда писалась эта статья, группа украинских хактивистов под названием «КиберБеркут» опубликовала список из 40 взломанных ими веб-сайтов, среди них — государственный канал Russia Today.
«Сегодня мы, КиберБеркут, начинаем обратный отсчет. Изменники Украины, которые нарушили законы нашей Родины, у вас осталось девять дней, чтобы добровольно сдаться органам прокуратуры Харькова или Симферополя».
ВЫВОДЫ
Чего ждать в будущем? Сложно сказать. Пока дипломатия будет продолжать работу, в глубинах киберпространства будут происходить все больше атак. Пока еще рано называть напряжение в киберпространстве «кибервойной» между Россией и Украиной. С одной стороны, проукраинские хакеры будут наращивать деятельность против российских мишеней, с другой — российские киберподразделения и патриотически настроенные хакеры усилят наступление на своих украинских противников.
Однако я хотел бы закончить эту статью оценкой позиции китайского правительства относительно кризиса в Крыму. Для этого я связался с профессионалом, которого я считаю крупнейшим специалистом в отрасли китайских кибервоенных технологий, лейтенантом-полковником корпуса Морской пехоты США в отставке и президентом компании Cyber Defence and Network Security Биллом ГЕДЖСТАДОМ:
— С высоты своего опыта, как Вы оцениваете позицию Китая в этих событиях? Заинтересован ли Китай в этом споре и почему (верховенство, энергетика, вооружение)?
— Да, конечно. Китайская Народная Республика очень заинтересована как в событиях, которые разворачиваются в Украине, геостратегических энергетических вопросах, так и в Крыму, фокусе геополитического внимания.
— Считаете ли Вы, что подразделения кибербезопасности Китая могут вмешаться в нынешний киберконфликт между Украиной и Россией? Если так, то как именно и почему?
— Нет, Китай не будет вмешиваться, если его не попросят помочь России в плане обеспечения руткитом на основе китайского алфавита или другой формы вредоносного ПО, которое украинские технические средства и команды информационной безопасности не смогут обнаружить с помощью IDS/IPS системы на основе кириллицы. Имеется в виду эксплойт Zero Day.
С эскалацией напряжения в Крыму количество кибератак значительно возрастет, и существует конкретная угроза, что пострадают и другие объекты критической инфраструктуры страны.
ОБ АВТОРЕ
Пьерлуиджи Паганини — директор отдела информационной безопасности в компании Bit4ld, один из флагманов в отрасли IDM (управление учетными записями), а также пропагандист компьютерной безопасности, аналитик в отрасли безопасности и журналист-фрилансер. Паганини — главный редактор журнала кибербезопасности Cyber Defense Magazine. Его стаж в области кибербезопасности — более 20 лет. Паганини — сертифицированный испытатель систем ІТ-безопасности при лондонском отделении Международного совета консультантов по вопросам электронной коммерции (EC-Council).
Любовь к публицистике и убеждение, что безопасность невозможна без взаимодействия и осведомленности, подсказали Пьерлуиджи Паганини идею блога по ІТ-безопасности «Security Affairs», который недавно назвали главным ресурсом по национальной безопасности в США. Пьерлуиджи — член команды The Hacker News и пишет статьи для ключевых изданий в отрасли, например, Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine и многих других журналов по ІТ-безопасности.
Автор книг «The Deep Dark Web» и «Digital Virtual Currency and Bitcoin».