Коммерческое программное обеспечение, произведенное в США, использовалось государственными структурами для взлома военных целей в Европе и Израиле

Table Of Contents

• Подозреваемая государственная хакерская кампания против Европы и Израиля использовала коммерческое программное обеспечение, произведенное в США
• Другой подход
• Rocket Kitten
• Иран как главный подозреваемый

Подозреваемая государственная хакерская кампания против Европы и Израиля использовала коммерческое программное обеспечение, произведенное в США

Недавно стало известно о хакерской кампании против военных целей в Израиле и Европе, и исследователи, стоящие за этим открытием, считают, что атака использовала коммерчески доступное программное обеспечение. Исследователи из CrowdStrike и стартапа Cymmetria представят свои необычные находки на ежегодной конференции по безопасности Chaos Communication Congress в Гамбурге в субботу.

Другой подход

Преступные злоумышленники уже довольно долго используют коммерчески доступные инструменты, такие как Metasploit. Однако государственные структуры, как правило, избегают использования коммерческого программного обеспечения из-за опасений, что его можно будет отследить до клиента, что приведет к общественному возмущению. Страны, как правило, используют специально написанное программное обеспечение для большинства целей, чтобы повысить безопасность и независимость. Однако эта атака приняла новый подход, неправильно используя инструмент для тестирования безопасности, разработанный компанией Core Security из Бостона. Core Security продает свои продукты клиентам, которые хотят протестировать свои собственные механизмы безопасности.

Основные хакерские атаки, спонсируемые государством, используют специально написанные инструменты, дополненные бесплатными и широко доступными программами. Это отчасти связано с тем, что коммерческие программы могут быть отслежены до конкретных клиентов. Хотя зависимость от определенных аналогичных индивидуально разработанных инструментов позволила исследователям несколько сузить круг подозреваемых до конкретных структур. Однако использование программы Core Security добавляет новый поворот в эту историю.

Использование программы Core Security, которая обычно стоит 10 000 или 20 000 долларов, может помочь запутать ситуацию, и аналитик CrowdStrike Тилльман Вернер сказал, что это также может помочь второстепенной кибердержаве избежать некоторых из работ, которые часто выполняются Китаем, Россией и Соединенными Штатами. «Наиболее вероятный ответ заключается в том, что у них не было возможности сделать это самостоятельно», — сказал Вернер о хакерах, добавив, что «нет риска оставить следы инструмента».

Rocket Kitten

Вернер и генеральный директор Cymmetria Гади Эврон, который также возглавляет израильский CERT, заявили, что не знают, кто стоит за этой кампанией. Но судя по свидетельствам жертв, исследователи считают, что атака могла быть спонсирована Ираном. Эврон сказал, что они обнаружили атаки, которые датируются как минимум апрелем. Эти атаки включают атаки на израильскую компанию «соседнюю с оборонной и аэрокосмической промышленностью», израильское учебное заведение, немецкоязычное оборонное агентство и министерство обороны Восточной Европы. Единственная другая информация, которую мы имеем на данный момент, заключается в том, что атаки на цели, расположенные в Израиле, были неудачными.

CrowdStrike назвала эту хакерскую кампанию «Rocket Kitten», следуя своей традиции называть каждую подозреваемую иранскую кибергруппу «Котятами». Атака полагалась на зараженные Excel-таблицы, которые были отправлены руководителям целевых компаний. Письмо запрашивало разрешение на запуск макропрограммы внутри Excel-таблицы. Макросы — это небольшие автоматизированные части программы, которые запрограммированы для выполнения конкретной задачи.

Однако в этом случае макрос содержал вредоносный код. Как только руководитель целевой компании запускал макрос, вредоносный код загружал другие компоненты инструмента Core Impact и устанавливал их на серверы этих машин. Одной из особенностей инструмента Core Impact является его способность скрываться от обнаружения.

Условия лицензирования Core запрещают использование своей программы против ничего не подозревающих третьих лиц, и вице-президент по инженерии Core Флавио де Кристофаро заявил, что компания не слышала о таком злоупотреблении как минимум пять лет. Де Кристофаро сказал, что компания поможет CERT, если будет запрошено, и в любом случае постарается отследить, как программное обеспечение было извлечено из водяных знаков и других технических ограничений, предназначенных для ограничения его распространения.

«Мы будем следить за этим», — сказал де Кристофаро.

Иран как главный подозреваемый

С тех пор как предполагаемое участие США и Израиля в атаке на ядерную программу Ирана через вирус Stuxnet, Иран, как сообщается, усиливает свои возможности кибервойны. Вирус Stuxnet оказал особенно дестабилизирующее воздействие на местную ядерную программу Ирана и является одной из причин, по которой Иран, как сообщается, пришел к столу переговоров с западными державами по вопросам нераспространения. Ранее иранские хакеры успешно провели хакерскую операцию против Las Vegas Sands Corp., которая фактически остановила сети оператора казино в США. Эта атака была осуществлена, потому что владелец Sands Corp призвал американские военные силы нанести ядерный удар по Ирану, чтобы остановить его от распространения делящихся материалов. Следователи этой хакерской атаки не нашли никаких связей с государством Иран, но этот факт не опровергает того, что Иран является очень ресурсной страной в области кибервойны.

Resource : Chicago Tribune.