Кибероружие АНБ используется против России, Египта и Ирана

Безопасность Стратегия безопасности ИТ в госсекторе
мобильная версия
, Текст: Роман Георгиев

«Лаборатория Касперского» опубликовала исследование вредоносного инструмента, предположительно написанного в АНБ, - DarkPulsar. Сейчас новые неизвестные группировки используют его для шпионских операций.


Утекшие и активно используемые

«Лаборатория Касперского» опубликовала исследование утекших ещё два года назад хакерских инструментов АНБ, которые теперь применяются неизвестными акторами против ряда организаций в нескольких странах мира.

Эти инструменты - DarkPulsar, DanderSpritz и Fuzzbunch - входили в число «имплантов», утечку которых предположительно организовали Shadow Brokers.

Согласно публикации «Лаборатории Касперского», эти три «импланта» используются неизвестными злоумышленниками для заражения Windows Server версий 2003 и 2008; от них пострадали 50 организаций в России, Иране и Египте.

В публикации Securelist FuzzBunch и DanderSpritz названы независимыми платформами для осуществления кибершпионажа, которые, однако, имеют общие черты, поскольку созданы, судя по всему, одним производителем.

Fuzzbunch имеет модульную архитектуру, напоминает Metasploit и предназначается для объединения множества плагинов для изучения жертв, эксплуатации уязвимостей, удаленной работы с планировщиком задач, реестром, файловой системой и т.д.

nsa600.jpg
Штаб-квартира АНБ

DanderSpritz - это «среда для контроля уже скомпрометированных хостов» с собственными бэкдорами.

Наибольшего внимания экспертов, однако, удостоился плагин DarkPulsar, входящий в набор Fuzzbunch: бэкдор, предоставляющий функции удаленного управления, работающий на стороне заражённого пользователя. Эксперты указывают, что DarkPulsar - это своего рода «мост» между двумя фреймворками, использовавшимися в качестве единой атакующей платформы, предназначенной для продолжительных кампаний.

Включить-выключить

Имплант DarkPulsar оказался динамической библиотекой, реализующей свой вредоносные возможности в экспортируемых функциях. Эти функции используются для установки в системе и обеспечения автозапуска. В третьей функции реализован основной вредоносный код.

DarkPulsar обладает такими возможностями, как внедрение вредоносного трафика в легитимные протоколы, обход ввода имени пользователя и его пароля при аутентификации, что показывает высокий профессионализм авторов.

DarkPulsar предоставляет множество интересных функций: Burn – самоуничтожение; RawShellcode – выполнение произвольного базонезависимого кода; EDFStageUpload – Exploit Development Framework Stage Upload (эта команда позволяет развернуть в памяти жертвы и выполнить полезную нагрузку из фреймворка DanderSpritz без записи его на диск, после чего оператор получает возможность выполнить любую из команд DanderSprits в отношении жертвы; DisableSecurity (команда для отключения проверок безопасности NTLM-протокола. С ее помощью оператор может совершать действия на зараженной машине, требующие авторизации, без ввода правильных учетных данных пользователя – система будет воспринимать любую пару «имя пользователя»-«пароль» как валидную; EnableSecurity – команда, обратная DisableSecurity; UpgradeImplant – команда обновления импланта; PingPong – команда проверки связи с имплантом.

Большая часть жертв имели отношение к ядерной энергетике, телекоммуникациям, информационным технологиям и аэрокосмической отрасли. «Лаборатория Касперского» утверждают, что всех своих клиентов она от этого заражения уже вылечила.

Что касается источников атаки, то эксперты «Лаборатории» утверждают, что атрибуцией они не занимаются. «Для нас это не является целью, мы противодействуем всем угрозам вне зависимости от их источника и назначения».

Эксперты оговариваются, впрочем, что, скорее всего, после публикации Shadow Brokers активные кампании, использовавшие DarkPulsar, были свёрнуты, так что речь идёт не о АНБ, авторству которого, по-видимому, принадлежат все эти инструменты, а кто-то ещё.

Для использования импланта на зараженных машинах атакующий должен знать приватный RSA-ключ, который образует пару с публичным ключом, встроенным в имплант. На практике это значит, что никто, кроме «настоящих операторов DarkPulsar», не может подключиться к импланту на зараженных машинах. Но оператором DarkPulsar в принципе может быть кто угодно.

«В этом и заключается наибольшая опасность: «импланты» АНБ, несмотря на то, что преимущественно написаны под уже более-менее устаревшие системы, остаются эффективным кибероружием, поскольку обновления ПО в крупных организациях происходит довольно медленно, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Теперь, в результате «утечки», это оружие находится не понятно в чьих руках и может быть использовано с любыми, в том числе, террористическими целями».

Полный текст исследования с техническими подробностями доступен по ссылке.