Во вторник компания F.A.C.C.T. сообщила об участии в операции Бюро специальных технических мероприятий МВД в расследовании и задержании троих членов группы SugarLocker, занимавшейся вымогательством. В пресс-релизе рассказано о вкладе специалистов компании (например, как они обнаружили панель управления программой-вымогателем), а также раскрыты некоторые любопытные подробности: что хакерская группа работала под прикрытием легальной интернет-фирмы, провидческий фрагмент переписки, никнеймы одного из фигурантов дела.

ТАСС сопоставил ники и сообщил, что они совпадают с Александром Ермаковым, россиянином, который попал под санкции Австралии, Великобритании и США якобы за взлом страховщика Medibank осенью 2022 года (впрочем, существует альтернативная и не подтверждённая версия, что Австралийцы нашли не того Александра Ермакова).

Пока все ссылаются только на новость от F.A.C.C.T., а версии от МВД я не нашёл. Хотя это не рядовая история, и, возможно, появятся дополнительные детали.

Из пресс-релиза следует, что БСТМ МВД занялась делом после того, как информацию ему передали специалисты F.A.C.C.T. Интересный и пока неясный момент, было ли какое-либо взаимодействие между российскими и австралийскими правоохранительными органами — в ноябре 2022 Австралийская федеральная полиция заявляла, что проведёт переговоры с российскими коллегами по поводу подозреваемых в атаке на Medibank.

В любом случае, арест Ермакова (если в обоих случаях речь идёт об одном и том же человеке), вероятно, состоялся уже после введения западных санкций 23 января. На это указывает тот факт, что в тот день Ермаков ещё отвечал на запросы журналистов.

Согласно F.A.C.C.T., подозреваемым предъявлены обвинения по статье 273 УК РФ (Создание, использование и распространение вредоносных компьютерных программ).

ЦОДы накрыло санциями

Для тех, кто в танке, или на Голодных играх. Под санкции Минфина США въебался почти весь рынок ЦОД РФ во главе в «Ростелеком-ЦОД». Самое удивительное – в списке достаточно нишевые коммерческие сети дата-центров, а также региональные – ни те ни другие в активном сотрудничестве с ВПК замечены не были. Или мы чего-то не знаем…

📌В списке Oxygen (750 стоек), «Миран» (403 стойки), «ТрастИнфо» (1,2 тыс. стоек; ГК «Айтеко»), региональный центр обработки данных ООО «ИнфоТех Балаково» (подрядчик по строительству дата-центра «Сбера»), «Стек Телеком» (1,4 тыс. стоек) и др.

Итак, что нам сказали люди, которым мы задали вопросы:

📌Попадание в SDN-list означает невозможность использовать доллар для расчетов и риск вторичных санкций для всех контрагентов. Соответственно закупка западного оборудования (да, многие имели возможность возить в РФ продвинутое оборудование и даже оказывали услуги лицензий на софт, ушедших компаний, например, SAP) будет осложнена (читай дороже), либо операторам ЦОД придется искать несопоставимые по характеристикам альтернативы

📌Ряд зарубежных партнеров, которые пользуются в России услугами хостинг-провайдеров, попавших под санкции, могут отказаться от сотрудничества. Напомню, что в середине 2023 года рос спрос клиентов «с российскими корнями» на услуги хостинг-провайдеров в РФ, в то время как в Европе он падал

📌Если исходить из того, что под ограничения попал весь соответствующий бизнес «Ростелеком-ЦОД», то, по оценке ведущего консультанта iKS-Consulting Станислава Мирина, «речь может идти о 29% российского облачного рынка по выручке и 46% рынка colocation (аренда стойко-мест и размещения оборудования) по количеству стоек».

📌На рынке считают, что, либо включение компаний в санкционный перечень было «ковровым» (но тогда бы накрыли еще и МТС, IXcelerate, Selectel… а этих довольно крупных игроков в списке нет), либо были прослежены контракты на хостинг государственного или оборонного сектора РФ.

Такие дела💁‍♀️

ЦРУ предупредило о киберугрозе со стороны России и Китая... 24 года назад.

«Не исключено, что неожиданные заявления об исходящей от Китая и России "компьютерной угрозе" сделаны лишь для того, чтобы доказать общественности: ЦРУ и Пентагон не дремлют и к кибервойнам готовы. Может быть, это хоть как-то успокоит американцев, взволнованных скандалом с бывшим главой ЦРУ Джоном Дейчем: тот держал на домашнем компьютере, подключенном к Интернету, секретные файлы вперемежку с порнографией, явно забыв про национальную безопасность».

The more things change...

Северокорейские хакеры вставили бэкдор в программу для российских консульств

Исследователи DCSO CyTec из Берлина опубликовали отчёт о предполагаемом кибершпионаже против загранучреждений России. Они изучили сэмпл вредоноса KONNI (известен уже 10 лет, связывается с северокорейскими группировками), загруженный на VirusTotal в январе, и обнаружили что он был встроен в установщик русскоязычной программы под названием «Cтатистика КЗУ».

Исследователи очень осторожно пишут, что, мол, очень похоже, что это программа, с помощью которой консульские загранучреждения России должны отправлять отчёты в Консульский департамент МИД. В свойствах файла программы упоминается ГосНИИАС, который работает с Консульским департаментом. Но упоминаний программы в открытом доступе нет, и исследователи несколько раз оговариваются, что они не могут наверняка сказать, что это легитимная и реально существующая программа. (Судя по всему, скорее всего, да. По крайней мере то, что ГосНИИАС работает на консульскими информационными системами, не является каким-то секретом и легко гуглится.)

В первой части отчёта разбирается сама программа, потому что на VirusTotal были загружены и два файла с инструкциями по её использованию (со скриншотами интерфейса). Дальше описывается установка KONNI при запуске .msi-установщика «Cтатистики КЗУ» и закрепление вредоноса на устройстве. Исследователи нашли адреса нескольких командных доменов, использующихся для управления вредоносом, и отдельно отмечают домен victory-2024[.]mywebcommunity[.]org, поскольку ранее в другой предположительно северокорейской атаке на МИД России использовался похожий домен victory-2020.atwebpages[.]com.

В отчёте отмечается, что в разных версиях функционал KONNI менялся. Проанализированная версия умеет выполнять на устройстве команды и получать их результат, загружать и передавать файлы, проводить проверки связи через определённые интервалы времени.

Далее исследователи приводят ссылки на предыдущие отчёты, касающиеся северокорейского кибершпионажа против российских организаций и госораганов и, в частности, на отчёты, касающися использования этого же вредоноса, KONNI, в атаках на российские цели, в том числе МИД.

Завершается отчёт вопросами и общими рассуждениями. Среди них вопрос о том, как атакующим удалось получить программу, которая, видимо, не доступна публично. По их мнению в любом случае это показывает, что атака заточена под конкретную цель, и что усилия северокорейских хакеров по получению доступа к дипломатической информации продолжаются много лет несмотря на сближение между Россией и КНДР на высоком уровне.

Ну, а ещё теперь всем подписчикам VirusTotal доступны инструкции по работе со «Cтатистикой КЗУ», как и сама программа.

Украинская военная разведка помогла США найти Fancy Bear

В New York Times вышел большой материал о сотрудничестве ЦРУ с украинскими спецслужбами, прежде всего с ГУР. Эта история уже в общих чертах была рассказана в октябре прошлого года в Washington Post, журналисты NYT только добавляют к ней много новых деталей (текст написан на основе более чем двухсот интервью). Одна из целей публикации — на фоне разногласий в Конгрессе вокруг выделения помощи Украине показать, насколько важно и ценно для США это партнёрство.

Краткий пересказ. После бегства Януковича и смены власти в Киеве в 2014 году главой СБУ был назначен Валентин Наливайченко. В день своего назначения он пришёл в штаб-квартиру службы, нашёл её опустошённой, позвонил главам резидентур ЦРУ и МИ-6 и предложил сотрудничать. Сначала американцы работали с СБУ, но после ухода Наливайченко их основным партнёром стало Главное разведывательное управление (ГУР) Минобороны — во многом благодаря усилиям главы ГУР Валерия Кондратюка. Согласно статье, изначально динамика отношений была такая, что украинская сторона выступала инициатором сотрудничества, а ЦРУ относились к нему более сдержанно. Но ГУР предоставляло американцам ценную развединформацию и этим продемонстрировало свою ценность.

Сотрудничество заключалось в обучении элитных подразделений, обмене развединформацией (акцент сделан на ценности сведений, передаваемых Украиной — якобы нигде больше такую информацию о России получить было нельзя), техническом содействии, т.е. наращивании возможностей по сбору информации. Американцы помогли создать 12 баз вдоль границы с Россией и ещё две секретные базы для сбора развединформации. В статье упоминаются различные способы разведки: агентурная, отслеживание движения спутников, прослушка переговоров, киберразведка (одна из баз, по словам собеседника NYT, используется для «взлома защищённой системы связи российских военных»).

Для иллюстрации того, какую пользу США принесло сотрудничество с Украиной, в статье сообщается, что в рамках совместной с американцами операции ГУР удалось обманом получить информацию у офицера российской военной разведки, которая позволила ЦРУ связать группировку Fancy Bear с российским государством.

Во время администрации Обамы ЦРУ было заинтересовано прежде всего в получении развединформации, объём которой только нарастал. ГУР же использовало обученные американцами спецподразделения и для диверсий (вылазка в Крым в августе 2016 с участием нынешнего главы ГУР Кирилла Буданова) и для убийств на территории самопровозглашённых республик. В США такие действия якобы считали провокационными, что даже чуть было не поставило сотрудничество между спецслужбами под угрозу. Но несмотря на расхождения оно продолжалось и при Трампе, у которого с украинским руководством были сложные отношения. В статье утверждается, что американцев так впечатлил опыт работы с Украиной, что они решили распространить его на другие европейские страны и создали коалицию спецслужб, обменивающихся информацией о России, в которую помимо ЦРУ и ГУР вошли разведки Великобритании, Нидерландов и других стран.

Утверждается, что только с началом войны администрация Байдена сняла ограничения на сотрудничество и разрешило американским спецслужбам делиться с Украиной детализированной информацией в поддержку непосредственно боевых операций.

Что касается созданных при поддержке США разведывательных баз, то здесь прослеживаются явные параллели с другим историческим периодом и другим регионом. В 1979 году США договорились с КНР о совместной работе против общего врага и создании двух разведывательных баз вдоль границы с СССР. В рамках операции Chestnut пункты были оснащены американским оборудованием. Базами управляли китайцы, но полученную информацию (прежде всего с ядерных полигонов) передавали ЦРУ. Сотрудничество продолжалось как минимум десятилетие: в этой статье 1989 года (после Тяньаньмэнь) говорится, что «грузовики с совершенно секретными пленками с двух построенных США пунктов прослушивания все ещё ходят из отдаленных мест на западе Китая в посольство США в Пекине».

В Красном море повредили кабели

Йеменские хуситы повредили четыре подводных кабеля в Красном море между Джиддой в Саудовской Аравии и Джибути в Восточной Африке.

- AAE-1 (соединяет Восточную Азию с Европой через Египет),
- Seacom (соединяет Европу, Африку, Индию и Южную Африку),
- EIG (соединяет Южную Европу с Египтом, Саудовской Аравией, Джибути, ОАЭ и Индией)
- TGN (соединяет США и Великобританию).

- https://en.globes.co.il/en/article-houthis-hit-underwater-communications-cables-1001472165

👉... сбои в работе кабельной системы могут быть вызваны задержками в ремонтных работах из-за нестабильности в регионе.

- https://subtelforum.com/seacom-confirms-cable-outage-in-red-sea/

На Telegram потестили ТСПУ

❗️Коллеги, сегодняшнее падение Телеги было супер показателым. Во первых жутко забавно, что Роскомнадзор прислал коммент через 5 минут после запроса. По логике, если бы ситуация была внештатной, потребовалось гораздо больше времени.

❗️Во-вторых - акцент на то, что проблемы не только в Росси, а еще много где и вообще, это все Telegram... Еще - "Спокойствие - все починилось", говорит Минцифры.. при этом легла еще куча иностранных сервисов.

❗️Мы тут с коллегами разобрались чуток. Что там в итоге было. Кстати версия про bypass - бред. Режим фактически включается вручную, для него нужно переконфигурировать сеть. Ну и наши источники сомневаются, что операторы могли сделать это в такой короткий срок и без заранее выданных инструкций от ответственных лиц — решение принимается не уровне техдира.

❗️Версия - в ТСПУ хранится много разных паттернов трафика, в моменте могла произойти ошибка. Поэтому при тестировании блокировки зарубежных мессенджеров появился доступ к какой-то уже заблокированной категории.

❗️И про международный аспект можно объяснить географическим распределением дата-центров Telegram. Никому точно не известно, в каких именно странах мессенджер имеет серверы. Не исключено, что часть данных он хранит в России. В таком случае у пользователей в Европе, данные и трафик которых распределены на эти дата-центры, сервис мог не работать при блокировке по ТСПУ. В таком случае не важно, какой у пользователя оператор связи — он «прикреплен» к определенным серверам Telegram.

Всем прекрасного вечера. Ждем 29 февраля так сказать...

Mysterious Werewolf атакует российскую промышленность

Исследователи сообщают, что хак-группа Mysterious Werewolf, активная с 2023 года, теперь использует собственные инструменты для атак на российский ВПК. Ранее хакеры использовали для атак агент Athena фреймворка Mythic — легитимный пентестерский инструмент.

https://xakep.ru/2024/02/27/mysterious-werewolf/

США и страны-партнёры выпустили бюллетень по использованию заражённых роутеров Ubiquiti в кибератаках. Пару недель назад американцы уже отчитывались об операции по уничтожению ботнета, которым, по их мнению, пользовалась связанная с Россией группа APT28. В бюллетене даны рекомендации по защите роутеров и по обнаружению угрозы, приведены технические детали атак.

С политической точки зрения, внимания заслуживает тот факт, что в числе стран-партнёров (см. логотипы на картинке) не только американские союзники (члены НАТО и Южная Корея), но и Бразилия (в лице Федеральной полиции). Бразилия, которая имеет долгий опыт сотрудничества в сфере безопасности с США, но при этом является ещё и участницей БРИКС, похоже, впервые присоединяется к коллективной атрибуции кибератак России.

Пока Роскомнадзор проверяет загадочную утечку, содержащую 500 млн записей о россиянах, а эксперты гадают, о чём речь и не компиляция ли это, напомню о, вероятно, самой крупной и чувствительной утечке прошлого года — данных о бронированиях авиабилетов из системы компании «Сирена-Трэвел». В конце декабря я писал, что компании было назначено административное наказание по ч. 1 ст. 13.11 КоАП. С тех пор было опубликовано постановление суда, из которого следует, что речь идёт именно о сентябрьской утечке, и «Сирена-Трэвел» признала вину. Судя по скриншотам, опубликованным тогда хакерами в Телеграме, им удалось похитить базу с 664,5 млн записей за период с 2007 по 2023 год, но в публичный доступ был выложен сэмпл с 3 млн записей (2 млн за начало 2007 года и 1 млн за начало сентября 2023 года).

Приём заявок на летнюю академию по управлению интернетом в Корее

8-12 июля в Сеуле пройдёт Азиатско-тихоокеанская академия по управлению интернетом (Asia Pacific Internet Governance Academy). Мероприятие организовано ICANN и Корейским агентством интернета и безопасности с участием региональных организаций (APNIC, DotAsia Organisation, APTLD), а также Internet Society.

Участники академии познакомятся с концепцией управления интернетом и мультистейкхолдерной моделью принятия решений, узнают об актуальных вопросах в сфере управления интернетом на глобальном, региональном и локальном уровнях, получат навыки для выступлений на региональных и международных площадках.

К участию приглашаются представители стран азиатско-тихоокеанского региона в возрасте от 18 до 35 лет со знанием английского. Предыдущий опыт в сфере управления интернетом не обязателен, но в мае-июне нужно быть готовым пройти подготовку.

Заявки принимаются до 24 марта здесь: https://community.icann.org/display/GSEAPAC/APIGA+2024.

Международное сотрудничество НКЦКИ

Ещё один доклад с Инфофорума, который будет интересен специалистам по международной информационной безопасности, сделала представительница НКЦКИ Анна Игнатова.

НКЦКИ выполняет функции единой точки контактов России по вопросам реагирования на компьютерные инциденты с зарубежными партнёрами и считает. Аналогичные пункты нужны и других странах. Особо отмечается принятое в ООН (на площадке РГОС) решение о создании Глобального межправительственного реестра политических и технических контактных пунктов. НКЦКИ видит его «первым шагом на пути формирования политически нейтрального универсального механизма» взаимодействия в области реагирования на компьютерные инциденты. (Предложения о создании такого реестра Россия и ещё около 20 стран сделали в конце 2022 года; до этого идея обсуждалась в ООН как минимум десятилетие).

Реестр должен быть запущен в обозримом будущем, обслуживать его будет Управление ООН по вопросам разоружения (UNODA). C российской стороны техническим контактным пунктом будет НКЦКИ. В других странах, скорее всего, техническим контактными пунктами также будут местные CERT'ы, а политическими — министерства иностранных дел (но каждая страна определяет это сама).

Не буду пересказывать, но интересующиеся могут узнать из доклада о деталях, связанных с постепенным запуском глобального реестра. Как я уже писал, это будет первый практический инструмент, созданный по результатам уже 25 лет обсуждения киберугроз в ООН. Сомневаюсь, что он будет политически нейтральным, но в любом случае упростит взаимодействие между заинтересованными странами, а также поможет развивающимся странам нарастить собственный потенциал (кому-то – создать CERT).

Если глобальный реестр — это новая инициатива, то региональные реестры контактных пунктов развиваются уже достаточно давно. НКЦКИ внесён в реестры по линии ОБСЕ и Регионального форума АСЕАН, а также сотрудничает с контактными пунктами (такими как казахстанская Гостехслужба) стран ОДКБ в формате Консультационного координационного центра по вопросам реагирования на компьютерные инциденты.

Россия также предложила создать реестр контактных пунктов стран БРИКС, и инициатива будет обсуждаться в рамках российского председательства в этом году.

Помимо международного сотрудничества во вступительной части доклада НКЦКИ на Инфофоруме говорится об актуальных киберугрозах, модели crime-as-a-service и, в частности, об услуге DDoS-for-hire (со ссылкой на отчёт Microsoft). Здесь НКЦКИ проводит связь с геополитикой:

«Полагаем важным отметить, что появление кибернаёмников и экосистемы кибепреступление-как-услуга является прямым следствием создания при активном содействии некоторых государств не поддающегося контролю инструмента – группировок хакеров-добровольцев – для проведения компьютерных атак на информационные ресурсы государства-противника. От хакера-добровольца одной из таких группировок для проведения DDoS-атак простого уровня требовалось лишь ввести в браузере интернет-ссылку на один из нескольких предлагающихся DDoS-сайтов. Затем содержащийся на нём скрипт непрерывно направлял запросы согласно перечню заранее заданных целей. Только некоторые из рекомендованных DDoS-сайтов выводили на экран пользователя сведения о том, какие именно сайты он атакует. Таким образом, доброволец при осуществлении DDoS-атак простого уровня использовался, как говорится, втёмную, в качестве бездумного оператора, который иногда даже не знал, чьи ресурсы атакуют с его компьютера или мобильного устройства».

Понятно, на кого, не называя, указывает НКЦКИ, но политически мотивированные DDoS-атаки, к которым могут подключаться добровольцы, появились намного раньше 2022 года. Например, ещё в 1999 году группа под названием the electrohippies дидосила сайты ВТО во время министерской встречи в Сиэттле. Для участия в атаках нужно было всего лишь скачать и запустить небольшую программу на Javascript — по словам организаторов, в этой «виртуальной забастовке» поучаствовали 450 тысяч человек. Ну, а гораздо более известный и более межгосударственный пример — это масштабные DDoS-атаки на Эстонию весной 2007 года.

Что касается DDoS-сайтов, упомянутых в докладе, то здесь речь идёт о первой волне DDoS-атак (февраль-март 2022), когда разные украинские активисты предлагали лёгкий способ присоединиться к кибератакам на Россию, просто оставив открытой вкладку с тем или иным сайтом. Именно за такое участие в киберконфликте к реальным срокам приговорили троих человек в Ростовской области (в одном случае совершенно точно, в двух других скорее всего). DDoS-сайт даже спровоцировал почти не замеченный дипломатический скандал между Россией и Швейцарией: местный политик, сопредседатель социал-демократической партии, поделился ссылкой на украинский DDoS-сайт в Твиттере, в связи с чем российское посольство направило в МИД Швейцарии ноту протеста (твит остался).

Правда, немного странно, что этим DDoS-сайтам уделяется столь большое внимание — как будто это не самая серьёзная проблема, с которой за два года активного киберконфликта столкнулся НКЦКИ.

Представительница Албании рассказала об атаках на страну в 2022 году (после которых Тирана разорвала дипотношения с Тегераном). По её словам, страна быстро восстановилась после атак. Но, как я писал, главный сайт госуслуг не работал больше недели, а большая часть услуг вернулась онлайн спустя более двух недель. Для очень многих секторов экономики такая скорость восстановленич точно не рассматривалась бы как быстрая.

Хотя докладчица затем признаёт, что на восстановление ушло больше времени. Система рецептов (лекарств) не работала три недели, какие от этого были последствия для пациентов, власти по большому счёту не знают.

"Говорят, что никто ещё не умирал от кибератаки. Но на самом деле мы этого не знаем".

Представитель МИД России Карл Тихазе напомнил о российском предложении разработать конвенцию о международной информационной безопасности, поскольку добровольных норм для регулирования действий государств в ИКТ-среде недостаточно.

📽 Пальцы быстро бьют по клавиатуре. На мониторах в десятках окон видны потоки кода и сетевые системы. Капюшон закрывает лицо, добавляя загадочности. Электронная музыка на фоне создает напряжение. Компьютер торжественно выдает женским голосом: «Атака завершена».

У продвинутых пользователей такие сцены вызывают усмешку, но простых людей они вводят в заблуждение и культивируют беспощность перед реальными атаками.

👉 В новой статье попытались развеять миф о всемогуществе хакеров на примерах из фильмов с полным обзором атак и оценкой правдоподобности.