Bears, ushanka, Russian hackers

Развитие событий: Qiwi: Вопрос создания полноценной системы ИБ – это вопрос финансовых возможностей (11 июля)

Избирательная кампания на пост президента США получила неожиданное развитие после того, как газета The Washington Post опубликовала репортаж о том, как российские хакеры, якобы связанные с силовиками из России и действующие в интересах президента Владимира Путина, взломали компьютерную сеть сторонников Демократической партии и украли компромат на кандидата в президенты Дональда Трампа.

Россияне действительно достаточно заметны на мировой арене киберпреступности. Например, российские корни были у банковского трояна Dyre, который успешно атаковал 400 финансовых организаций, среди которых оказались Bank of America Corp, PayPal и JPMorgan Chase & Co. Подозреваемые в создании вредоносной программы были задержаны в Москве в конце ноября 2015 года. Ущерб экономике России от киберпреступности в 2015 году составил 203,3 млрд руб., или 0,25% от ВВП, сообщается в совместном исследовании Group-IB, Фонда развития интернет-инициатив (ФРИИ) и Microsoft. Более 92% крупных коммерческих компаний, госструктур, а также предприятий малого и среднего бизнеса столкнулись с киберинцидентами.

Сообщения о «политических» взломах за которыми якобы стоят российские власти, появляются регулярно. Так в мае 2016 года российских хакеров обвинили в кибератаках на инфраструктуру правительства Германии, в августе 2015 года их стараниями якобы была взломана почтовая система Пентагона, а в октябре 2015 года Хилари Клинтон сообщала, что злоумышленники из России атакуют ее подчиненных при помощи почтовых троянов.

trump-medveds

О недавнем взломе сети партии демократов сообщила компания CrowdStrike, которую наняла организация Национальный демократический комитет (Democratic National Committe — DNC), она управляет избирательной компанией Хилари Клинтон. CrowdStrike сообщила о том, что обнаружила две организованные хакерские группы, которые с большой долей вероятности связаны с российской службой внешней разведки. Эти группы, по данным CrowdStrike, взломали сеть DNC и похитили некий компромат на Трампа, включающий данные о его деловых связях, в том числе и его интересах, связанных с РФ.

Компанию CrowdStrike возглавляет Генри Шон, бывший высокопоставленный сотрудник ФБР, ранее отвечавший за подразделение по борьбе с киберпреступностью и кибертерроризмом. CrowdStrike опубликовала подробный отчет о своем расследовании. Компания якобы обнаружила две хакерские группы с анекдотическими названиями COZY BEAR и FANCY BEAR, которые с середины 2000-х атакуют сети Белого дома, различных американских министерств и ведомств, стратегических инфраструктурных объектов, а также правительственные организации в десятках стран мира. По мнению подчиненных Шона, COZY BEAR связана с российской службой внешней разведки Главным разведывательным управлением, а FANCY BEAR — с Федеральной службой безопасности, причем на сайте CrowdStrike названия этих ведомств, видимо для русскоязычной аудитории, продублированы на кириллице.

CrowdStrike приводит анализ вредоносного кода, при помощи которого хакеры получили доступ к сети DNC, пр этом в отчете нет никакой информации, на основе каких данных были сделаны выводы о связи хакеров с ГРУ и ФСБ. Также газета The Washington Post не сообщает, какого рода компромат удалось украсть злоумышленникам и что помещало обнародовать эти данные после взлома. Генри Шон достаточно давно является идеологом так называемых кибервойн, которые якобы ведут враждебные США государства — в первую очередь Россия и Китай.

В многочисленных интервью американской прессе Шон излагает свою теорию, согласно которой враждебные Америке страны создают специализированные структуры, которые специализируются на диверсиях в отношении государственных учреждений противника, кибертерроризме, промышленном шпионаже и проч. Никаких значимых доказательств такой деятельности пока обнаружено не было, что не мешает большому количеству частных и государственных структур в США получать бюджетные средства на борьбу с этой угрозой. Например нынешний президент Барак Обама предлагает заложить в бюджет 2017 года на эти цели $19 млрд.

Найти доказательства участия спецслужб какого-либо государства во взломе достаточно легко, уверен заместитель генерального директора Infowatch Рустэм Хайретдинов:

Комментировать фантазии сложно, имитировать след любой страны в сети довольно просто: прокси-сервера из этой страны, куски текстов в альтернативной раскладке (кириллица, арабская вязь или иероглифы), пара постов на хакерских форумах — и вот уже это русская, игиловская, северокорейская или китайская атака. Что действительно сложно подделать — это красивые технические решения, требующие хорошего образования и богатого опыта. Компактный самособирающийся код, сложные многокомпонентные атаки — это действительно умеют делать россияне, в том числе и бывшие. Русскими хакерами называют и хакеров из СНГ, и американцев, австралийцев, канадцев и израильтян, говорящих по русски, но на какую страну или группировку они работают, никто в реальности не знает.

Александр Лямин, глава компании Qrator Labs, высказался еще более категорично:

Приставка «кибер» стала отличным инструментом для выбивания федерального финансирования и нагнетания атмосферы страха через использования мутных и малосодержательных идиом, и страшных наименований BEAR, VODKA, USHANKA это всего-лишь часть стратегии по выбиванию денег из конгресса. Описанные методы вызывают у профессионала неконтролируемые приступы гомерического смеха. Это уровень приблизительно школьника-самоучки. Атрибутиция атак в пользу РФ вообще спекуляция. Перед тем как тыкать пальцем, неплохо бы установить вменяемую доказательную базу.

Добавить 7 комментариев

  • Ответить
    Альтер Эго

    Где вы таких «экспертов» нашли? Отрицать что APT28 российский может только далекий от ИБ человек.

  • Ответить
    Alexander Lyamin Qrator/HLL

    Yeah bro.
    Thats definitely EVIDENCE! :))))))))))

    «
    The first, most easy to spot one, is the use of «)))» instead of a standard smile emoticon in the Guccifer 2.0 blog post. Using a single or multiple «)» instead the usual «:)» is very common for Russians, given the awkward way one needs to type the colon in a Russian keyboard.
    «

  • Ответить

    Что тут скажешь? Поймали за руку))))

    Итальянцы и испанцы любят asd asd asd писать ;-)

    А вообще анекдотичные вещи скорее для публики, чем внутреннего потребления. Или всё прям настолько серьёзно?

  • Ответить

    Это типа двухходовочка, чтобы все подумали, что Россия за Клинтон, хотя Россия за Трампа, чтобы США метнулись и поставили президентом Трампа, чтобы побесить Россию, а ей того и надо? :) Вообще, Трамп хотя бы не запрещает оружие.

  • Ответить
    Альтер Эго

    Пересказываю всю историю чтобы было понятно, как российские «эксперты» манипулируют фактами:

    CrowdStrike благодаря своим мощнейшим технологиям и профессионализму обнаруживает две группы в локальной сети одного из клиентов. Клиент разрешает опубликовать информацию о взломе. Информацию подхватывает The Washington Post и другие значимые издания.

    Как только появилась шумиха в СМИ, некто, под никнеймом Gucifer 2.0, создает блог в тот же день, с историей о том, что это он был тем хакером кто взломал сеть DHC. Мировая общественность усомнилась в том, что публикация этого блога не является операцией для отвлечения внимания. В частности указали на «))))» в качестве смайликов.

    Что делают российские ИБ-шники? Что тут, что и в других местах, например: https://twitter.com/imedv/status/743688213730988032

    Российские ИБ-шники заявляют что смайлики являются главным доказательством! Т.е. полностью отрицается вся грандиозная работа проведенная Crowdstike. Вы можете понять эту логику?

    Раскрывать такие кампании шпионажа, которые раскрыли в Crowdstrike, это вам не e-shop'ы от DDoS-детишек защищать. Тут совсем другой уровень профессионализма нужен, к большому сожалению такой уровень практически недостижим для российских ИБ-шников.