На главную страницу ЗАО Софткей
 Главная   Новости   Статьи   Пресс-релизы   Рассылки 
 
Trade-in со скидкой до 30%!

Вирусы из девяностых

05.04.2017 17:52 / Новости мира ПО

Эксперты "Лаборатории Касперского" и исследователи из университета King's College London начали изучать возможную связь между серией кибератак на правительственные ресурсы США в конце 1990-х и современными кампаниями кибершпионажа. Расследуя подробности атак Moonlight Maze, от которых пострадали Пентагон, NASA и Министерство энергетики США, аналитики нашли ряд образцов вредоносного ПО и другие артефакты 20-летней давности.

Дальнейший анализ показал, что программа-бэкдор, использовавшаяся в этой операции, имеет много общего с бэкдором, задействованным во вредоносной кампании Turla в 2011 году и повторно обнаруженным в марте 2017 года. Если связь между группами Moonlight Maze и Turla удастся доказать, то окажется, что последняя - почти такой же долгожитель, как и нашумевшая группа Equation, чью активность удалось отследить до 1996 года.

В 1998 году ФБР и Министерство обороны США взялись расследовать взломы в сетях правительственных и военных организаций страны, а также в ряде университетов и исследовательских институтов. Общественность узнала об атаках Moonlight Maze только год спустя - в 1999-м, однако детали расследования на тот момент так и остались засекречены. Спустя годы исследователи из трех разных стран независимо друг от друга пришли к выводу, что группировка Moonlight Maze трансформировалась в Turla, за которой предположительно стоят русскоязычные организаторы. До недавнего времени считалось, что Turla (также известная как Snake, Uroburos, Venomous Bear и Krypton) начала свою деятельность в 2007 году.

Работая над своей книгой "Rise of the Machines", Томас Рид из университета King's College London в 2016 году связался с бывшим системным администратором, который работал в той самой организации, чьи серверы были взломаны и превращены в прокси-сервер Moonlight Maze. Вышедший на пенсию IT-специалист сохранил сам сервер и копии всех артефактов, имевших отношение к атакам 1998 года. Все материалы он передал исследователям из King's College London и экспертам "Лаборатории Касперского". За девять месяцев работы аналитики смогли реконструировать операции Moonlight Maze, их инструменты и техники, а также попытались найти подтверждение связи этой группировки с Turla.

В своих атаках на сети и компьютеры под управлением ОС Solaris группировка Moonlight Maze использовала инструменты, построенные на открытом ПО (Unix). Для проникновения в системы своих жертв атакующие использовали бэкдор на базе LOKI2 - программы, выпущенной в 1996 году и предназначенной для извлечения данных через скрытые каналы. Эта находка заставила аналитиков повторно разобрать редкие образцы вредоносного ПО Turla под Linux, которые были обнаружены в 2014 году. Как выяснилось, эти зловреды также были созданы на базе LOKI2. Более того, в них использовался код, написанный в период между 1999 и 2004 годами.

Примечательно, что этот старый код до сих пор используется в атаках, которые приписывают Turla. В 2011 году он был замечен во вредоносной операции, нацеленной на швейцарского военного подрядчика Ruag. А в марте 2017 года образец бэкдора, содержащего этот код, был извлечен из сети предприятия в Германии. Возможно, группировка Turla использует старый код под Linux в атаках на особо важные и хорошо защищенные цели, поскольку таким образом им легче проникнуть в сеть, чем в случае применения стандартного инструментария под Windows.

"В конце 90-х никто еще не понимал, насколько продолжительными и масштабными могут быть координируемые кампании кибершпионажа. Анализ вредоносного ПО и кода Moonlight Maze - это не просто увлекательное "путешествие" в прошлое, это очередное напоминание о том, что хорошо подготовленные кибергруппировки никуда не исчезают и не прекращают просто так свою деятельность. Наша общая задача сегодня - понять, почему атакующие до сих пор успешно применяют старый код, и скорректировать защиту таким образом, чтобы она учитывала все возможные векторы атак", - рассказывает Хуан Андрес Герреро-Сааде, ведущий антивирусный эксперт "Лаборатории Касперского".


Предыдущая новость

Мошенники в Google Play

05.04.2017 17:47
Новости мира ПО

Компания ESET предупреждает о новой уловке мошенников, действующих на Google Play. Они развернули бизнес по перепродаже бесплатного приложения Adobe под видом плагина для воспроизведения мультимедийного контента

Следующая новость

Шпион из Twitter

06.04.2017 18:11
Новости мира ПО

Компания Talos исследовала работу шпионского трояна Rokrat, который использует для поддержания своей инфраструктуры ресурсы "Яндекса", Twitter и Mediafire. Как выяснилось, они нужны для хостинга вредоносных командных серверов и передачи данных

Новостные рубрики
Все новости
Новости мира ПО
Рассылки
Новости мира ПО
Статьи: Мир ПО
Статьи: Программы
Статьи: Игры
Архив выпусков
  «   Октябрь 2017   »  
Пн Вт Ср Чт Пт Сб Вс
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
Поиск в архиве

Логин / пароль:
запомнить




Наши партнеры:

 САПР и графика



Написать редактору  | RSSЭкспорт новостей и обзоров


Rambler's
Top100 Rambler's Top100

Разработка компании «Битрикс»
Разработано
«Битрикс»


Copyright © 2001-2017 ЗАО «Софткей»