Американские кибершпионы научились распознавать на чужих ПК дружественных хакеров и прятаться от врагов

Эксперты по
безопасности исследовали малоизвестный до сих пор инструмент хакерской группы Equation, который предназначен для выявления признаков заражения
чужими шпионскими инструментами. Выяснилось, что правительственным хакерам США
было известно о большем количестве APT-кампаний, чем кому бы то
ни было еще.

Территориальные споры

Операторы кибершпионских программ Агентства нацбезопасностиСША (АНБ) имеют техническую возможность распознавать на зараженных имикомпьютерах чужие хакерские программы и оперативно выводить с машин свой код, чтобыне «засвечивать» свои инструменты.

К такому выводу пришли венгерские исследователи, которые изучиливредоносные программы АНБ, утекшие в апреле 2017 г., и описали утилиту подназванием Territorial Dispute («территориальный спор»).

По мнению экспертов, она не привлекла к себе должногоинтереса сразу исключительно потому, что все внимание было приковано кэксплойтам EternalBlue, EternalRomance и др. В немалой степени это связано стем, что EternalBlue использовался создателями вредоноса WannaCry, вызвавшего в2017 г. глобальную эпидемию.

Как работает утилитаАНБ

Territorial Dispute не имеет «наступательных» характеристик.По принципам работы этот инструмент напоминает антивирус, хотя и работает всвязке со шпионским фреймворком DanderSpritz. Эта комбинация опрашиваетзараженную систему, и Territorial Dispute, в частности, целенаправленно ищетфайлы и записи в системном реестре, являющиеся признаками активности хакерскихгрупп, связанных с другими государствами.

В АНБ умеют распознавать на сторонних ПК дружественных хакеров и прятаться от врагов

Если эти признаки обнаруживаются, то TerritorialDisputeотправляетоператору предупреждения следующих видов: «Пожалуйста, сверните операцию», «Срочнообратитесь за помощью», «Инструменты дружественной стороны», «Опасный вредонос»и т. д. Иными словами, указывают венгерские исследователи, TerritorialDisputeспособенразличать между собой кибершпионские инструменты союзников и противников США.Инструмент содержит список индикаторов заражения, распределенных по 45категориям. Каждая из этих категорий соответствует отдельно взятойкибершпионской группировке.

Исследователи сравнили эти индикаторы с теми, что были ранееобнародованы различными экспертами и антивирусными компаниями. Выяснилось, что TerritorialDisputeраспознаетхакерские группировки, известные как Turla, FancyBear,Duqu, Stuxnet, Flame, DarkHotel и ряд других помельче.Кроме этого обнаружились прежде неизвестные индикаторы заражений: это означает,что на момент кражи их инструментов, хакеры АНБ были в курсе деятельностицелого ряда кибершпионских групп, о которых широкой публике ничего не было известно.

Стоит отметить, что на сегодняшний день в тематическийресурсе «Лаборатории Касперского» содержится информация почти о 70 хакерскихгруппировках.

«Эксплойты АНБ»

В конце лета 2016 г. некая никому доселе неизвестная группа ShadowBrokersзаявилао том, что в ее распоряжении находятся эксплойты кибергруппировки Equation. О существовании последнейстало известно годом ранее от «Лаборатории Касперского». Эксперты «Лаборатории»назвали Equation – «Звездойсмерти в галактике вредоносного ПО», отметив, что действовать она могла с конца1990-х, и что всегда получала доступ к эксплойтам нулевого дня раньше других групп,известных к тому моменту. Впоследствии Equationс высокой долей достоверностисвязали со специальным подразделением АНБ.

После неуспешной попытки продать эксплойты Equationнаимпровизированном аукционе, ShadowBrokersв апреле 2017 г. выложила значительную их часть в общийдоступ.

Как оказалось, многие из этих эксплойтов сохранилиэффективность. В частности, EternalBlue, как уже сказано, был использовансоздателями вредоноса WannaCry, заразившего 230 тыс. компьютеров в 150 странахмира. В конце января 2018 г. стало известно, что тот же эксплойт теперьиспользует криминальный криптомайнер, занимающийся производством валюты Monero. Им заразились более500 тыс. компьютеров. Очевидно, что эти же эксплойты использовались и другими злоумышленниками– в менее публичных атаках.

Эксперты отмечают, что само использование таких инструментовмногое говорит о методах работы Equation/АНБ:«правительственные хакеры» США стараются проводить свои операции как можно тишеи прилагают немало усилий, чтобы скрыть следы своей деятельности. Тем не менее,с 2015 г. их деятельность уже является «секретом Полишинеля».

«В 2016 году американские документалисты выпустили фильм ZeroDays, где на условияханонимности представители ЦРУ и АНБ признали “соавторство” вируса Stuxnetизаявили, что его утечка – следствие ошибки программистов, — указывает Олег Галушкин, эксперт поинформационной безопасности компании SEC Consult Services. — Если бы Stuxnet отработал скрытно,как и предполагалось, не исключено, что о существовании кибероружия мир узналбы намного позже. Самым удручающим следствием прошлогодней утечки инструментов Equation/АНБ стала ихдоступность для хакеров всех мастей. Эпидемия WannaCryикриптомайнера, использующего EternalBlue,также показали, насколько печально обстоят дела с кибербезопасностью во всеммире».