Создатели Stalker 2 обвинили в сливе русских хакеров
Мы купили ноутбук, хотели смотреть записи концертов BTS, я на что-то нажал и оно само скачалось.
Мы купили ноутбук, хотели смотреть записи концертов BTS, я на что-то нажал и оно само скачалось.
Окончание.
Наследие взлома
СТИВЕН АДЭР,Генеральный директор Volexity говорит, что это чистая удача, что еще в 2019 году его команда наткнулась на злоумышленников в сети аналитического центра. Они были горды, когда их подозрения в том, что SolarWinds был источником вторжения, наконец подтвердились. Но Адаир не может не сожалеть об упущенном шансе остановить кампанию раньше. «Мы были так близки, — говорит он.
Кармакал из Mandiant считает, что если бы хакеры не скомпрометировали его работодателя, операция могла бы остаться незамеченной гораздо дольше. В конечном счете, он называет хакерскую кампанию SolarWinds «чертовски дорогой операцией с очень небольшим доходом» — по крайней мере, в случае ее влияния на Mandiant. «Я считаю, что мы поймали нападавших намного раньше, чем они ожидали», — говорит он. «Они были явно шокированы тем, что мы обнаружили это… а затем обнаружили атаку на цепочку поставок SolarWinds».
Но учитывая, как мало известно о широкой кампании, любые выводы об успехе операции могут быть преждевременными.
Правительство США довольно молчало о том, что хакеры делали внутри его сетей. Новостные сообщения показали, что хакеры украли электронную почту, но сколько писем было потеряно или что в них содержалось, никогда не разглашается. И хакеры, вероятно, скрылись не только с электронной почтой. Нацелившись на министерства внутренней безопасности, энергетики и юстиции, они, вероятно, могли получить доступ к очень конфиденциальной информации — возможно, сведениям о планируемых санкциях против *****ии, ядерных объектах США и запасах оружия, безопасности избирательных систем и другой критически важной инфраструктуре. Из системы электронных дел федерального суда они могли выкачать запечатанные документы, в том числе обвинительные заключения, постановления о прослушивании телефонных разговоров и другие непубличные материалы. Учитывая недостатки ведения журналов на государственных компьютерах, отмеченные одним источником, возможно, правительство до сих пор не имеет полного представления о том, что было снято. От технологических компаний и охранных фирм они могли получить информацию об уязвимостях программного обеспечения.
Более того: среди 100 или около того организаций, на которых сосредоточились хакеры, были и другие производители широко используемых программных продуктов. Любой из них потенциально мог стать средством для другой атаки на цепочку поставок.аналогичного масштаба, ориентированного на клиентов этих компаний. Но немногие из этих других компаний раскрыли, что хакеры делали внутри своих сетей. Почему они не стали публичными, как это сделали Mandiant и SolarWinds? Это для защиты их репутации, или правительство попросило их хранить молчание из соображений национальной безопасности или для защиты расследования? Кармакал твердо уверен, что хакеры SolarWinds намеревались скомпрометировать другое программное обеспечение, и недавно в разговоре с прессой он сказал, что его команда видела, как хакеры «копались в исходном коде и создавали среды для ряда других технологических компаний».
Более того, Джон Ламберт из Microsoft говорит, что, судя по мастерству злоумышленников, он подозревает, что операция SolarWinds не была их первым взломом цепочки поставок. Некоторые даже задавались вопросом, не взломан ли сам SolarWinds из-за зараженного программного обеспечения другой компании. SolarWinds до сих пор не знает, как хакеры впервые проникли в ее сеть и был ли их первый раз январь 2019 года — журналы компании не уходят достаточно далеко, чтобы это определить.
Кребс, бывший глава CISA, осуждает отсутствие прозрачности. «Это была не разовая атака ******. Это более широкая глобальная инфраструктура и структура, — говорит он, — и платформа Orion была лишь одной из ее частей. Были задействованы совсем другие компании». Однако он говорит, что не знает подробностей.
Кребс берет на себя ответственность за взлом правительственных сетей, произошедший в его часы. «В то время, когда это произошло, я был лидером CISA, — говорит он. «Было много людей, занимающих руководящие и ответственные должности, которые разделяют здесь вес того, что не обнаруживают этого». Он обвиняет Министерство внутренней безопасности и другие агентства в том, что они не разместили свои серверы Orion за брандмауэрами. Но что касается обнаружения и остановки более широкой кампании, он отмечает, что «CISA действительно является последней линией обороны… и многие другие уровни провалились».
Правительство пыталось снизить риск еще одной атаки в стиле Ориона — с помощью президентских директив , руководств , инициатив и других мер по повышению безопасности . Но могут пройти годы, прежде чем любая из этих мер возымеет эффект. В 2021 году президент Байден издал указ, призывающий Министерство внутренней безопасности создать Наблюдательный совет по кибербезопасности для тщательной оценки «киберинцидентов», угрожающих национальной безопасности. Его первоочередная задача: расследовать кампанию SolarWinds. Но в 2022 году совет сосредоточился на другой теме , и его второе расследование также не будет касаться SolarWinds.. Некоторые предположили, что правительство хочет избежать глубокой оценки кампании, потому что это может разоблачить неудачи отрасли и правительства в предотвращении атаки или ее раннем обнаружении.
«SolarWinds был крупнейшим вторжением в федеральное правительство в истории США, и все же от федерального правительства не было даже отчета о том, что пошло не так», — говорит представитель США Ричи Торрес, который в 2021 году был вице-председателем. Комитета Палаты представителей по национальной безопасности. «Это так же непростительно, как и необъяснимо».
На недавней конференции CISA и Кибернациональные силы миссии США, подразделение Киберкомандования, раскрыли новые подробности своего ответа на кампанию. Они сказали, что после того, как следователи определили сервер Mandiant Orion как источник взлома этой фирмы, они собрали детали с сервера Mandiant, которые позволили им выследить злоумышленников. Две правительственные команды намекнули, что они даже проникли в систему, принадлежащую хакерам. Следователям удалось собрать 18 образцов вредоносного ПО, принадлежащего злоумышленникам, что полезно для поиска их присутствия в зараженных сетях.
Выступая перед участниками конференции, Эрик Гольдштейн, руководитель отдела кибербезопасности в CISA, сказал, что команды уверены, что они полностью удалили этих злоумышленников из правительственных сетей США.
Но источник, знакомый с реакцией правительства на кампанию, говорит, что было бы очень трудно иметь такую уверенность. Источник также сказал, что примерно во время вторжения *****ии в ******у в прошлом году преобладали опасения, что русские могут все еще скрываться в этих сетях, ожидая возможности использовать этот доступ, чтобы подорвать позиции США и продолжить свои военные усилия.
Тем временем взломы цепочек поставок программного обеспечения становятся все более зловещими. Недавний отчет показал, что за последние три года количество таких атак увеличилось более чем на 700 процентов.
Продолжение..
Второй черный ход
ПРИ СОЛНЕЧНОМ ВЕТРЕ, УДАРАХ,По словам Тима Брауна, главы отдела архитектуры безопасности, в первые дни правили недоверие и «управляемый хаос». Десятки рабочих хлынули в офис в Остине, который они не посещали несколько месяцев, чтобы обустроить оперативные штабы. Хакеры взломали 71 учетную запись электронной почты SolarWinds — вероятно, для отслеживания корреспонденции на предмет любых признаков их обнаружения — поэтому в течение первых нескольких дней команды общались только по телефону и внешним учетным записям, пока CrowdStrike не разрешил им снова использовать свою корпоративную электронную почту.
Брауну и его сотрудникам пришлось выяснить, почему им не удалось предотвратить или обнаружить взлом. Браун знал, что все, что они найдут, может стоить ему работы.
Одной из первых задач команды был сбор данных и журналов, которые могли бы раскрыть деятельность хакеров. Они быстро обнаружили, что некоторых нужных им журналов не существует — SolarWinds не все отслеживала, а некоторые журналы были стерты злоумышленниками или перезаписаны новыми данными с течением времени. Они также попытались выяснить, не был ли скомпрометирован какой-либо из почти 100 других продуктов компании. (Они нашли только доказательства того, что Орион был сбит.)
Около полудня воскресенья начали просачиваться новости о взломе. Агентство Reuters сообщило , что тот, кто нанес удар по Mandiant, также взломал Министерство финансов. Затем около 17:00 по восточному времени репортер Washington Post Эллен Накашима написала в Твиттере , что программное обеспечение SolarWinds считается источником взлома Mandiant. Она добавила, что пострадало и Министерство торговли. Серьезность кампании росла с каждой минутой, но до публикации заявления SolarWinds оставалось еще несколько часов. Компания была одержима каждой деталью — требуемая подача документов в Комиссию по ценным бумагам и биржам была настолько тщательно отлажена юристами, что Томпсон, генеральный директор, однажды пошутил, что добавление одной запятой будет стоить 20 000 долларов.
Около 8:30 того же дня компания наконец опубликовала сообщение в блоге, в котором объявила о компрометации своего программного обеспечения Orion, и разослала клиентам по электронной почте предварительное исправление. Mandiant и Microsoft представили собственные отчеты о бэкдоре и действиях хакеров внутри зараженных сетей. Как ни странно, Mandiant не назвала себя жертвой Orion и не объяснила, как вообще обнаружила черный ход. Читая рецензию Mandiant, никто никогда не узнает, что компрометация Orion имеет какое-то отношение к объявлению о его собственной уязвимости пятью днями ранее.
В понедельник утром в SolarWinds начали поступать звонки от журналистов, федеральных законодателей, клиентов и правительственных учреждений в США и за их пределами, включая переходную команду избранного президента Джо Байдена. Чтобы ответить на них, были привлечены сотрудники со всей компании, но очередь выросла до более чем 19 000 звонков.
Агентство США по кибербезопасности и безопасности инфраструктуры хотело знать, пострадали ли какие-либо исследовательские лаборатории, разрабатывающие вакцины против Covid. Иностранные правительства хотели получить списки жертв внутри своих границ. Отраслевые группы по энергетике хотели знать, были ли взломаны ядерные объекты.
Пока агентства пытались выяснить, используется ли в их сетях программное обеспечение Orion (многие были не уверены), CISA выпустила экстренную директиву.федеральным агентствам, чтобы они отключили свои серверы SolarWinds от Интернета и отложили установку любого исправления, направленного на отключение бэкдора, до тех пор, пока это не будет одобрено агентством безопасности. Агентство отметило, что оно столкнулось с «терпеливым, хорошо обеспеченным и целенаправленным противником» и что удаление их из сетей будет «очень сложным и сложным». Вдобавок к их проблемам, многие из скомпрометированных федеральных агентств недостаточно регистрировали свою сетевую активность, что, по словам источника, знакомого с реакцией правительства, эффективно служило прикрытием для хакеров. По словам источника, правительство «не может сказать, как они проникли в сеть и как далеко они зашли». Также было «очень трудно сказать, что они взяли».
Следует отметить, что бэкдор Sunburst был бесполезен для хакеров, если сервер Orion жертвы не был подключен к Интернету. К счастью, из соображений безопасности большинство клиентов не подключали их — по оценкам SolarWinds, только от 20 до 30 процентов всех серверов Orion были подключены к сети. Одной из причин их подключения была отправка аналитики в SolarWinds или получение обновлений программного обеспечения. В соответствии со стандартной практикой клиенты должны были настроить серверы для связи только с SolarWinds, но многие жертвы не сделали этого, включая Mandiant и Microsoft. По словам Криса Кребса, который во время вторжений руководил CISA, Министерство внутренней безопасности и другие правительственные учреждения даже не разместили их за брандмауэрами. Браун, начальник службы безопасности SolarWinds,
Но вскоре стало ясно, что, хотя злоумышленники заразили тысячи серверов, они проникли лишь в крошечную подгруппу этих сетей — около 100. Главной целью, похоже, был шпионаж.
Хакеры тщательно обрабатывали свои цели. После того как бэкдор Sunburst заразил сервер Orion жертвы, он оставался неактивным в течение 12–14 дней, чтобы избежать обнаружения. Только после этого он начал отправлять информацию о зараженной системе на командный сервер злоумышленников. Если хакеры решили, что зараженная жертва не представляет интереса, они могли отключить Sunburst и двигаться дальше. Но если им нравилось то, что они видели, они устанавливали второй бэкдор, который стал известен как Teardrop. С тех пор они использовали Teardrop вместо Sunburst. Взлом программного обеспечения SolarWinds был очень важен для хакеров — техника, которую они использовали для внедрения своего бэкдора в код, была уникальной, и они могли захотеть использовать ее снова в будущем. Но чем больше они использовали Sunburst, тем больше рисковали раскрыть то, как они скомпрометировали SolarWinds.
Через Teardrop хакеры украли учетные данные, чтобы получить доступ к более конфиденциальным системам и электронной почте. Многие из 100 жертв, получивших Teardrop, были технологическими компаниями, такими как Mimecast, облачный сервис для защиты почтовых систем, или антивирусная фирма Malwarebytes. Другие были правительственными агентствами, оборонными подрядчиками и аналитическими центрами, работающими над вопросами национальной безопасности. Злоумышленники даже получили доступ к исходному коду Microsoft, хотя компания утверждает, что не изменяла его.
В горячем кресле
ЖЕРТВЫ МОГЛИ ИМЕТЬдопустил некоторые оплошности, но никто не забыл, где начались нарушения. Гнев против SolarWinds быстро нарастал. Бывший сотрудник заявил журналистам, что в 2017 году он предупреждал руководителей SolarWinds о том, что их невнимание к безопасности делает взлом неизбежным. Исследователь обнаружил, что в 2018 году кто-то безрассудно разместил в общедоступной учетной записи GitHub пароль для внутренней веб-страницы, на которой временно хранились обновления программного обеспечения SolarWinds. Исследователь сказал, что злоумышленник мог использовать пароль для загрузки вредоносных файлов на страницу обновления (хотя это не позволило бы скомпрометировать само программное обеспечение Orion, и SolarWinds говорит, что эта ошибка пароля не была реальной угрозой). Гораздо хуже,
Правительственные чиновники пригрозили расторгнуть контракты с SolarWinds; законодатели говорили о вызове его руководителей на слушание. Компания наняла Криса Кребса, бывшего главу CISA, который несколькими неделями ранее был уволен президентом Дональдом Трампом, чтобы он помогал наладить взаимодействие с правительством.
Тем временем Браун и его команда безопасности столкнулись с горой работы. Испорченное программное обеспечение Orion было подписано цифровым сертификатом компании, который теперь пришлось аннулировать. Но этот же сертификат использовался и для подписи многих других программных продуктов компании. Поэтому инженерам пришлось перекомпилировать исходный код для каждого затронутого продукта и подписать эти новые программы новыми сертификатами.
Но они все еще не знали, откуда взялся мошеннический код в Орионе. На их серверах может скрываться вредоносный код, который может внедрить бэкдор в любую из компилируемых программ. Поэтому они отказались от своего старого процесса компиляции в пользу нового, который позволял им проверять готовую программу на наличие несанкционированного кода. Браун говорит, что они были настолько напряжены, чтобы доставить перекомпилированные программы клиентам, что он похудел на 25 фунтов за три недели.
Пока команда Брауна перестраивала продукты компании, а CrowdStrike пыталась выяснить, как хакеры проникли в сеть SolarWinds, SolarWinds привлекла KPMG, бухгалтерскую фирму с отделом компьютерной криминалистики, чтобы разгадать тайну того, как хакеры протащили Sunburst в Orion. .dll-файл. Дэвид Коуэн, обладавший более чем 20-летним опытом цифровой криминалистики, возглавил команду KPMG.
Инфраструктура, которую SolarWinds использовала для создания своего программного обеспечения, была обширной, и Коуэн и его команда работали с инженерами SolarWinds в выходные дни, чтобы решить эту загадку. Наконец, 5 января он позвонил Плеско, адвокату DLA Piper. Инженер SolarWinds заметил что-то важное: артефакты старой виртуальной машины, которая была активна около года назад. Эта виртуальная машина — набор программных приложений, заменяющих физический компьютер, — использовалась для создания программного обеспечения Orion еще в 2020 году. Это была важная часть головоломки, в которой они нуждались.
Судебно-медицинские расследования часто являются азартной игрой. Если с начала взлома прошло слишком много времени, следы деятельности хакера могут исчезнуть. Но иногда боги криминалистики на вашей стороне, и улики, которые должны исчезнуть, остаются.
Для создания программы Orion компания SolarWinds использовала инструмент управления сборкой программного обеспечения под названием TeamCity, который действует как дирижер оркестра, превращая исходный код в программное обеспечение. TeamCity запускает виртуальные машины — в данном случае около 100 — для выполнения своей работы. Обычно виртуальные машины эфемерны и существуют ровно столько, сколько требуется для компиляции программного обеспечения. Но если часть процесса сборки по какой-то причине дает сбой, TeamCity создает «дамп памяти» — своего рода снимок — виртуальной машины, на которой произошел сбой. Моментальный снимок содержит все содержимое виртуальной машины на момент сбоя. Именно это и произошло во время сборки в феврале 2020 года. Обычно инженеры SolarWinds удаляли эти снимки во время очистки после сборки. Но этот почему-то не стерли. Если бы не его невероятное существование, говорит Коуэн,
В снимке они обнаружили вредоносный файл, который был на виртуальной машине. Следователи назвали его «Солнечным пятном». В файле было всего 3500 строк кода, но эти строки оказались ключом ко всему пониманию.
Было около 9 часов вечера 5 января, когда Коуэн отправил файл Мейерсу в CrowdStrike. Команда CrowdStrike связалась с Коуэном и Плеско в Zoom, и Мейерс поместил файл Sunspot в декомпилятор, а затем поделился своим экраном. Все замолчали, пока код прокручивался вниз, его тайны медленно раскрывались. Этот крошечный файл, который должен был исчезнуть, был ответственен за внедрение бэкдора в код Orion и позволил хакерам обойти защиту некоторых из наиболее хорошо защищенных сетей в стране.
Теперь следователи могли отследить любую деятельность, связанную с Sunspot. Они увидели, что хакеры заложили его на сервер сборки 19 или 20 февраля. Он скрывался там до марта, когда разработчики SolarWinds начали сборку обновления программного обеспечения Orion через TeamCity, что создало парк виртуальных машин. Не зная, какая виртуальная машина будет компилировать код Orion .dll, хакеры разработали инструмент, который внедрял Sunspot в каждую из них.
В этот момент красота и простота хака действительно раскрылись. Как только .dll появился на виртуальной машине, Sunspot быстро и автоматически переименовал этот законный файл и дал его оригинальное имя мошенническому двойнику хакеров .dll. Последний был почти точной копией легитимного файла, за исключением того, что он содержал Sunburst. Затем система сборки захватила файл .dll хакеров и скомпилировала его в обновление программного обеспечения Orion. Операция была сделана за считанные секунды.
Как только фальшивый файл .dll был скомпилирован, Sunspot восстановил исходное имя легитимного файла Orion, а затем удалил себя со всех виртуальных машин. Однако он оставался на сервере сборки в течение нескольких месяцев, чтобы повторить процесс в следующие два раза, когда Orion был построен. Но 4 июня хакеры внезапно прекратили эту часть своей операции, удалив Sunspot с сервера сборки и стерев многие свои следы.
Коуэн, Мейерс и другие не могли не остановиться, чтобы полюбоваться мастерством. Они никогда раньше не видели, чтобы процесс сборки был скомпрометирован. «Чистая элегантность», — назвал это Плеско. Но затем они поняли еще кое-что: почти каждый второй производитель программного обеспечения в мире был уязвим. Немногие имели встроенную защиту для предотвращения такого типа атак. Насколько им было известно, хакеры могли уже проникнуть в другие популярные программные продукты. «Это был момент страха для всех нас», — говорит Плеско.
В правительстве
НА СЛЕДУЮЩИЙ ДЕНЬ,6 января — в тот же день, когда произошло восстание на Капитолийском холме — Плеско и Коуэн запрыгнули на телефонную конференцию с ФБР, чтобы проинформировать их об их головокружительном открытии. Реакция, по словам Плеско, была ощутимой. «Если вы можете ощутить виртуальный отвисший челюсть, я думаю, что это и произошло».
Через день они проинформировали АНБ. Сначала на видеозвонке было всего два человека из агентства — безликие телефонные номера с скрытыми именами. Но когда следователи рассказали, как Sunspot скомпрометировала сборку Orion, по словам Плеско, на экране появилось более дюжины телефонных номеров, поскольку слухи о том, что они обнаружили, «пронеслись через АНБ».
Но АНБ ждало еще одно потрясение. Несколько дней спустя сотрудники агентства присоединились к телефонной конференции с участием от 50 до 100 сотрудников Министерства внутренней безопасности и юстиции, чтобы обсудить взлом SolarWinds. Участники конференции были озадачены одним вопросом: почему, когда дела у них шли так хорошо, 4 июня злоумышленники внезапно удалили Sunspot из среды сборки?
Реакция сотрудника ФБР ошеломила всех.
Этот человек как ни в чем не бывало сообщил, что еще весной 2020 года сотрудники агентства обнаружили мошеннический трафик, исходящий от сервера, на котором работает Orion, и связались с SolarWinds, чтобы обсудить это. Мужчина предположил, что злоумышленники, которые в то время отслеживали учетные записи электронной почты SolarWinds, должно быть, испугались и удалили Sunspot, опасаясь, что компания вот-вот найдет его.
По словам человека на линии, звонившие из АНБ и CISA внезапно пришли в ярость, потому что впервые узнали, что Джастис обнаружил хакеров несколько месяцев назад. Парень из ФБР «сформулировал это так, будто в этом нет ничего особенного», — вспоминает посетитель. Министерство юстиции сообщило WIRED, что оно проинформировало CISA о своем инциденте, но по крайней мере некоторые люди из CISA, участвовавшие в телефонном разговоре, ответили так, как будто для них стало новостью, что правосудие было близко к раскрытию атаки — на полгода раньше всех остальных. Представитель АНБ сообщил WIRED, что агентство действительно было «разочаровано», узнав об инциденте во время январского звонка. Для участника и других участников звонка, которые не знали о взломе Министерства юстиции, это было особенно удивительно, потому что, как отмечает источник, в течение нескольких месяцев после вторжения люди «сходили с ума» за закрытыми дверями, почувствовав, что ведется крупная иностранная шпионская операция; лучшая коммуникация между агентствами могла бы помочь раскрыть это раньше.
Вместо этого, по словам человека, знакомого с расследованием юстиции, это агентство, а также Microsoft и Mandiant предположили, что злоумышленники должны были заразить сервер Министерства юстиции в ходе изолированной атаки. Расследуя это в июне и июле, Mandiant по незнанию загрузила и установила испорченные версии программного обеспечения Orion в свою собственную сеть. (CISA отказалась комментировать этот вопрос.)
Хакеры ******
ОТКРЫТИЕКод солнечных пятен в январе 2021 года положил начало расследованию. Информация о том, когда хакеры поместили Sunspot на сервер сборки, позволила Мейерсу и его команде проследить их активность в прошлом и будущем и укрепила их догадку о том, что за операцией стоит SVR.
****** — это гражданское разведывательное агентство, как и ЦРУ, которое занимается шпионажем за пределами *****ийской Федерации. Вместе с *****ийской военной разведкой, ГРУ, оно взломало Национальный комитет Демократической партии США в 2015 году. и тихо. Хакеры SVR, получившие разные имена от разных охранных фирм (APT29, Cozy Bear, the Dukes), известны своей способностью оставаться незамеченными в сетях в течение месяцев или лет. По словам Глайера, группа была очень активна в период с 2014 по 2016 год, но затем, похоже, потемнела. Теперь он понял, что они использовали это время для пересмотра стратегии и разработки новых методов, некоторые из которых они использовали в кампании SolarWinds.
Следователи обнаружили, что злоумышленники впервые использовали VPN-аккаунт сотрудника 30 января 2019 года, за год до взлома кода Orion. На следующий день они вернулись к 129 репозиториям с исходным кодом для различных программных продуктов SolarWinds и собрали информацию о клиентах — предположительно, чтобы узнать, кто какими продуктами пользуется. Они «знали, куда идут, знали, что делают», — говорит Плеско.
Хакеры, вероятно, изучили исходный код и данные о клиентах, чтобы выбрать цель. Орион был идеальным выбором. Жемчужина в короне продуктов SolarWinds, он приносил около 45 процентов дохода компании и занимал привилегированное место в клиентских сетях — он подключался к множеству других серверов и связывался с ними. Хакеры могли захватить эти соединения, чтобы перейти к другим системам, не вызывая подозрений.
Получив исходный код, хакеры исчезли из сети SolarWinds до 12 марта, когда они вернулись и получили доступ к среде сборки. Потом они потемнели на полгода. За это время они, возможно, построили копию среды сборки для разработки и отработки своей атаки, потому что, когда они вернулись 4 сентября 2019 года, их движения показали опыт. Среда сборки была настолько сложной, что новонанятому инженеру могли потребоваться месяцы, чтобы освоить ее, но хакеры ловко справлялись с ней. Они также знали код Orion настолько хорошо, что созданный ими файл doppelgänger .dll был стилистически неотличим от законного файла SolarWinds. Они даже улучшили его код, сделав его чище и эффективнее.
Вскоре после того, как хакеры вернулись, они добавили безопасный тестовый код в обновление программного обеспечения Orion, просто чтобы посмотреть, смогут ли они выполнить свою операцию и остаться незамеченными. Потом они сели и стали ждать. (SolarWinds не планировала выпускать следующее обновление программного обеспечения Orion примерно через пять месяцев.) В течение этого времени они просматривали учетные записи электронной почты ключевых руководителей и сотрудников службы безопасности на предмет любых признаков их присутствия. Затем, в феврале 2020 года, они поставили Sunspot на место.
26 ноября злоумышленники в последний раз вошли в VPN-сервис SolarWinds, пока Mandiant вел расследование. Хакеры продолжали отслеживать учетные записи электронной почты SolarWinds до 12 декабря, когда Кевин Мандиа позвонил Кевину Томпсону, чтобы сообщить о бэкдоре. Прошло почти два года с тех пор, как они скомпрометировали SolarWinds.
Продолжение следует...
Я так, тоже, много лет назад, вычислил по IP.
Был у меня в ведении сайтик, не особо прям крупный, но и не маленький. Хорошие интересные материалы, неплохие показатели в поисковых системах, пользователи приходили, получали полезную информацию и все было хорошо, пока не начали разные нехорошие товарищи содержание сайта копировать себе на сайты. Просто заходили, копировали опубликованные статьи к себе и даже ссылки на источник не ставили. Было таких, кого видели - не так уж и много, обычно разовое копирование, ну максимум пару статей утягивали. А потом появился он: злостный копипастер! Который стал без разбора утаскивать топовые статейки к себе, не по одной штуке, а массово.
Бороться с копированием контента в сети - бесполезное занятие, что в сеть попало - остается тут навсегда. Если что-то полезное или интересное - разлетается копиями, так что момент с какими-то техническими попытками отложили - нет смысла. Но все равно, подмывало найти и придумать способ с этим товарищем как-то побороться.
И вот заметил, что время нашей публикации материалов, а потом появление на сайте-копии - оно вполне себе определенное и сопоставимое. Допустил, что данный мамкин копипастер вполне себе может это делать вручную, а значит, записи о нем должны быть в логах. Начал мониторить его сайт на появление статей, при этом ждал, когда появится статья, которую на сайте-оригинале мало кто посещает. Иначе вычислить кто именно оказался копипастером - не получится. И дождался, когда время на его бложике ВордПресса показало, что материал опубликован вот в такое время в такой день, а в логах - на этот материал заходил всего один человек. А значит что? Правильно - это и есть IP нашего вора )
А дальше просто повезло. Оказался IP какой-то чуть ли не деревни с небольшим провайдером. Соответственно, зона обслуживания этого провайдера была крайне небольшой и улиц-домов там было немного. Таким образом, на руках был уже населенный пункт и приблизительная гео-локация нашего нарушителя спокойствия. Затем, зная адрес сайта-копира - ищу соответствия домена и каким-либо персональным данным. Через гугл нахожу упоминания, по-моему в ВК, где пользователь пишет, что этот сайт - его работа или уже не помню, в общем, ссылается, что он связан с этим сайтом.
Ну а дальше все просто, написал ему в личку, что делать так атата, плохо и вообще не красиво, и зачем вообще копировать материалы, свои пиши! Заодно про вычисленный населенный пункт было упомянуто, мол знаем мы, товарищ, где вы живете! ) Никто, естественно, не ответил, но большая часть наших материалов пропала с его сайта, на оставшейся небольшой части появились ссылки на сайт-источник, а новые материалы более не копировались. Так что, полагаю, поиски были не напрасны и точны.
Сейчас, конечно, такое провернуть можно будет только в том случае, если копипастер совсем глуп и оставляет явные следы, но доступные технологии шагнули уже значительно вперед, а благодаря последним веяниям - даже самый распоследний пользователь знает как заметать хотя бы очевидные следы - и такой вариант "расследования" уже более не актуален. Но на тот момент - получилось крутое расследование с отличным результатом! ))
Продолжение...
Охота
НАЗАД В МАНДИАНТЕ,рабочие отчаянно пытались решить, что делать с украденными хакерами инструментами, предназначенными для выявления слабых мест в защите клиентов. Обеспокоенный тем, что злоумышленники будут использовать эти продукты против клиентов Mandiant или распространять их в даркнете, Mandiant поручил одной команде разработать способ обнаружения того, когда они используются в дикой природе. Тем временем команда Раннелса бросилась выяснять, как хакеры проникли незамеченными.
Из-за пандемии команда работала из дома, поэтому они проводили по 18 часов в день, подключаясь через конференц-связь, просматривая журналы и системы, чтобы отобразить каждый шаг, который предприняли хакеры. По мере того, как дни превращались в недели, они узнавали ритм жизни друг друга — голоса детей и партнеров на заднем плане, убаюкивающий звук храпа питбуля, лежащего у ног Раннелса. Работа была настолько поглощающей, что в какой-то момент Раннелсу позвонил руководитель Mandiant, находясь в душе.
Раннелс и Скейлс ежедневно информировали Мэндию. Каждый раз генеральный директор задавал один и тот же вопрос: как хакеры проникли внутрь? У следователей не было ответа.
8 декабря, когда инструменты обнаружения были готовы и компания почувствовала, что у нее достаточно информации о взломе, чтобы обнародовать ее, Mandiant нарушила молчание и опубликовала громкое заявление о том, что ее взломали . В нем было мало подробностей: опытные хакеры украли некоторые из его инструментов безопасности, но многие из них уже были общедоступны, и не было никаких доказательств того, что злоумышленники их использовали. Кармакал, технический директор, опасался, что клиенты потеряют доверие к компании. Он также беспокоился о том, как его коллеги отреагируют на новость. «Сотрудникам будет стыдно?» — спросил он. «Неужели люди больше не захотят быть частью этой команды?»
Чего Mandiant не раскрыла, так это того, как злоумышленники проникли внутрь и как долго они находились в сети компании. Фирма говорит, что до сих пор не знала. Эти упущения создали впечатление, что взлом был изолированным событием без других жертв, и люди задавались вопросом, допустила ли компания основные ошибки безопасности, которые привели к ее взлому. «Мы пошли туда и сказали, что нас скомпрометировал высокопоставленный противник», — говорит Кармакал — то, что утверждает каждая жертва. «Мы пока не можем предъявить доказательство».
В Mandiant не уточняют, когда именно компания сделала первое открытие, которое привело ее к источнику взлома. Команда Раннелса выдвинула шквал гипотез и потратила недели на проверку каждой из них только для того, чтобы обнаружить промахи. Они почти потеряли надежду, когда нашли важную подсказку, спрятанную в журналах трафика: несколько месяцев назад сервер Mandiant на короткое время связался с таинственной системой в Интернете. И на этом сервере работало программное обеспечение от SolarWinds.
SolarWinds производит десятки программ для ИТ-администраторов для мониторинга и управления своими сетями, помогая им одновременно настраивать и исправлять множество систем, отслеживать производительность серверов и приложений и анализировать трафик. Mandiant использовала один из самых популярных продуктов техасской компании — программный пакет Orion. Программное обеспечение должно было связываться с сетью SolarWinds только для получения периодических обновлений. Вместо этого он связывался с неизвестной системой — вероятно, с командным сервером хакеров.
Еще в июне Mandiant была вызвана, чтобы помочь Министерству юстиции расследовать вторжение на сервер, на котором запущено программное обеспечение SolarWinds. Почему специалисты по сопоставлению образцов в одной из ведущих мировых охранных фирм, по-видимому, не распознали сходство между двумя случаями, является одной из затянувшихся загадок фиаско SolarWinds. Вполне вероятно, что избранные Раннелса не работали над делом Правосудия, и внутренняя секретность не позволила им обнаружить связь. (Мандиант отказался от комментариев.)
Команда Раннелса заподозрила, что злоумышленники установили бэкдор на сервере Mandiant, и поручили Вилли Баллентину, техническому директору команды, и двум другим найти его. Перед ним стояла непростая задача. Программный пакет Orion состоял из более чем 18 000 файлов и 14 гигабайт кода и данных. Баллентин подумал, что найти мошеннический компонент, ответственный за подозрительный трафик, все равно, что перелистывать « Моби Дик» в поисках конкретного предложения, когда вы никогда не читали книгу.
Но они были в этом только 24 часа, когда они нашли проход, который они искали: единственный файл, который, казалось, был ответственен за мошеннический трафик. Кармакал считает, что они нашли его 11 декабря.
Файл представлял собой .dll или библиотеку с динамической компоновкой — компоненты кода, используемые другими программами. Эта .dll была большой, содержала около 46 000 строк кода, которые выполняли более 4 000 законных действий и, как они обнаружили после часового анализа, одно нелегитимное.
Основная задача .dll заключалась в том, чтобы сообщать SolarWinds об использовании клиентом Orion. Но хакеры внедрили вредоносный код, который заставлял его вместо этого передавать информацию о сети жертвы на их командный сервер. Баллентин назвал мошеннический код «Солнечные лучи» — игра на SolarWinds. Они были в восторге от открытия. Но теперь им нужно было выяснить, как злоумышленники пробрали его в .dll Orion.
Это было далеко не тривиально. Файл Orion .dll был подписан цифровым сертификатом SolarWinds, который должен был подтвердить, что файл является законным кодом компании. Одна из возможностей заключалась в том, что злоумышленники украли цифровой сертификат, создали поврежденную версию файла Orion, подписали файл, чтобы он выглядел подлинным, а затем установили поврежденную .dll на сервер Mandiant. Или, что еще более тревожно, они могли взломать сеть SolarWinds и изменить законный исходный код Orion .dll до того, как SolarWinds скомпилировала его — преобразовав код в программное обеспечение — и подписала его. Второй сценарий казался настолько неправдоподобным, что команда Mandiant даже не рассматривала его, пока исследователь не загрузил обновление программного обеспечения Orion с веб-сайта SolarWinds. В нем была задняя дверь.
Смысл был ошеломляющим. У программного пакета Orion было около 33 000 клиентов, некоторые из которых начали получать взломанное обновление программного обеспечения в марте. Это означало, что некоторые клиенты могли быть скомпрометированы уже восемь месяцев. Команда Mandiant столкнулась с хрестоматийным примером атаки на цепочку поставок программного обеспечения — гнусным изменением доверенного программного обеспечения в его источнике. Одним махом злоумышленники могут заразить тысячи, а возможно, и миллионы машин.
В 2017 году хакеры саботировали цепочку поставок программного обеспечения и доставили вредоносное ПО более чем 2 миллионам пользователей, скомпрометировав инструмент очистки компьютерной безопасности CCleaner . В том же году *****ия распространила вредоносного червя NotPetya в обновлении программного обеспечения ******ского аналога TurboTax, который затем распространился по всему миру. Вскоре после этого китайские хакеры также использовали обновление программного обеспечения, чтобы подсунуть бэкдор тысячам клиентов Asus . Даже на этом раннем этапе расследования команда Mandiant могла сказать, что ни одна из этих других атак не сможет соперничать с кампанией SolarWinds.
SolarWinds присоединяется к погоне
ЭТО БЫЛСубботнее утро, 12 декабря, когда Мэндиа позвонил президенту и генеральному директору SolarWinds по мобильному телефону. Кевин Томпсон, ветеран техасской компании с 14-летним стажем, в конце месяца покидал пост генерального директора. То, что он собирался услышать от Мандии — о том, что Орион заражен, — было адским способом подвести итоги его пребывания в должности. «Мы опубликуем это через 24 часа», — сказал Мандиа. Он пообещал сначала дать SolarWinds возможность опубликовать объявление, но сроки не обсуждались. Чего Мандиа не упомянул, так это того, что он сам находился под внешним давлением: журналисту сообщили о бэкдоре, и он связался с его компанией, чтобы подтвердить это. Мандиа ожидал, что история выйдет в воскресенье вечером, и хотел опередить ее.
Томпсон начал звонить, одним из первых, Тиму Брауну, главе отдела архитектуры безопасности SolarWinds. Браун и его сотрудники быстро подтвердили наличие бэкдора Sunburst в обновлениях программного обеспечения Orion и с тревогой выяснили, что с весны 2020 года он был доставлен 18 000 клиентам (не каждый пользователь Orion загрузил его). Томпсон и другие провели большую часть субботы, лихорадочно собирая команды, чтобы контролировать технические, юридические и рекламные проблемы, с которыми они столкнулись. Они также вызвали внешнего юрисконсульта компании, DLA Piper, для наблюдения за расследованием нарушения. Рон Плеско, адвокат Piper и бывший прокурор с судебно-медицинской экспертизой, был на заднем дворе своего дома с друзьями, когда ему позвонили около 10 часов вечера.
Плеско направился в свой домашний офис, увешанный досками, и начал набрасывать план. Он установил таймер на 20 часов, раздраженный тем, что, по его мнению, был произвольным крайним сроком Мандии. Дня было недостаточно, чтобы подготовить пострадавших клиентов. Он опасался, что как только SolarWinds станет общедоступной, злоумышленники могут сделать что-то разрушительное в сетях клиентов, прежде чем кто-либо сможет их выгнать.
Злоумышленники заразили тысячи сетей, но проникли лишь в крошечную их часть — около 100. Главной целью, похоже, был шпионаж.
Практика назначения юридических групп ответственными за расследование нарушений является спорной. Он помещает дела в режим конфиденциальности адвоката и клиента таким образом, что это может помочь компаниям отбиваться от нормативных расследований и бороться с запросами на раскрытие информации в судебных процессах. Плеско говорит, что SolarWinds с самого начала стремилась к прозрачности и публиковала все, что могла, об инциденте. (В интервью компания в основном была откровенна, но и она, и Mandiant отказались от некоторых ответов по совету юриста или по запросу правительства — Mandiant в большей степени, чем SolarWinds. Кроме того, SolarWinds недавно урегулировала коллективный иск с акционерами по поводу нарушения, но все же сталкивается с возможными принудительными мерамиот Комиссии по ценным бумагам и биржам, что делает его менее открытым, чем это могло бы быть в противном случае о событиях.)
Помимо DLA Piper, SolarWinds привлекла охранную фирму CrowdStrike, и как только Плеско узнал об этом, он понял, что хочет привлечь к делу своего старого друга Адама Мейерса. Эти двое знали друг друга десятилетиями, с тех пор, как они работали над реагированием на инциденты для оборонного подрядчика. Мейерс теперь возглавлял группу разведки угроз CrowdStrike и редко занимался расследованиями. Но когда Плеско написал ему в час ночи, чтобы сказать: «Мне нужна твоя помощь», он был полностью готов.
Позднее тем же воскресным утром Мейерс провел брифинг с Mandiant. В разговоре участвовал сотрудник Microsoft, который сообщил группе, что в некоторых случаях хакеры систематически взламывали учетные записи электронной почты Microsoft Office 365 и облачные учетные записи Azure. Хакеры также смогли обойти протоколы многофакторной аутентификации. С каждой подробностью, которую Мейерс услышал, масштаб и сложность взлома росли. Как и другие, он тоже подозревал ******.
После звонка Мейерс сел в своей гостиной. Mandiant прислал ему код Sunburst — фрагмент файла .dll, содержащий бэкдор, — так что теперь он склонился над своим ноутбуком и начал разбирать его. Он оставался в этом скрюченном положении большую часть следующих шести недель.
Любят здесь смотрю хакерские сказки....вот вам чтиво про хакеров....перевод гугла, в целом статья в первоисточнике тут.
Злоумышленники были в тысячах корпоративных и государственных сетей. Они могут быть там и сейчас. За кулисами расследования SolarWinds.
СТИВЕН АДЭР слишком трясся поначалу.
Это было в конце 2019 года, когда Адэр, президент охранной фирмы Volexity, расследовал нарушение цифровой безопасности в американском аналитическом центре. Во вторжении не было ничего особенного. Адэр рассчитывал, что он и его команда быстро разобьют нападавших и покончат с делом, пока не заметят что-то странное. Вторая группа хакеров была активна в сети аналитического центра. Они охотились за электронной почтой, делали копии и отправляли их на внешний сервер. Эти злоумышленники были намного более опытными и возвращались в сеть несколько раз в неделю, чтобы перекачивать корреспонденцию от конкретных руководителей, специалистов по политике и ИТ-персонала.
Адаир и его коллеги окрестили вторую банду воров «Dark Halo» и выгрузили их из сети. Но вскоре они вернулись. Как выяснилось, три года назад хакеры внедрили в сеть бэкдор — вредоносный код, который открывал секретный портал, позволяющий им входить или общаться с зараженными машинами. Теперь, впервые, они использовали его. «Мы закрыли одну дверь, и они быстро пошли к другой», — говорит Адэр.
Его команда провела неделю, снова выгоняя злоумышленников и избавляясь от бэкдора. Но в конце июня 2020 года хакеры каким-то образом вернулись. И они вернулись к захвату электронной почты с тех же учетных записей. Следователи потратили несколько дней, пытаясь понять, как они проскользнули обратно. Volexity нацелилась на один из серверов аналитического центра — машину, на которой работало программное обеспечение, которое помогало системным администраторам организации управлять своей компьютерной сетью. Это программное обеспечение было разработано компанией, которая была хорошо известна ИТ-специалистам по всему миру, но, вероятно, привлекла к себе недоумевающие взгляды почти всех остальных — фирма SolarWinds из Остина, штат Техас.
Адэр и его команда решили, что хакеры, должно быть, внедрили еще один бэкдор на сервер жертвы. Но после долгих поисков они не смогли его найти. Поэтому они снова выгнали злоумышленников и на всякий случай отключили сервер от интернета. Адэр надеялся, что это конец. Но этот инцидент задел его. В течение нескольких дней он просыпался около 2 часов ночи с гнетущим чувством, что команда пропустила что-то важное.
У них было . И не только они. Примерно в то же время, когда команда Адаира выгнала Dark Halo из сети аналитического центра, Министерство юстиции США также боролось со вторжением, которое касалось сервера, на котором была запущена пробная версия того же программного обеспечения SolarWinds. Согласно источникам, знакомым с инцидентом, в конце мая Министерство юстиции обнаружило подозрительный трафик, идущий с сервера в Интернет, поэтому они обратились к одной из ведущих мировых фирм в области безопасности и цифровой криминалистики — Mandiant — помочь им в расследовании. Они также привлекли Microsoft, хотя непонятно, почему. (Представитель Министерства юстиции подтвердил, что этот инцидент и расследование имели место, но отказался сообщить, были ли причастны Mandiant и Microsoft. Ни одна из компаний не стала комментировать расследование.)
Согласно источникам, знакомым с инцидентом, следователи подозревали, что хакеры взломали сервер Министерства юстиции напрямую, возможно, воспользовавшись уязвимостью в программном обеспечении SolarWinds. Команда Министерства юстиции связалась с компанией, даже сославшись на конкретный файл, который, по их мнению, мог быть связан с проблемой, согласно источникам, но инженеры SolarWinds не смогли найти уязвимость в своем коде. После нескольких недель метаний взад и вперед тайна так и не была раскрыта, и связь между исследователями и SolarWinds прекратилась. (SolarWinds отказались комментировать этот эпизод.) Отдел, конечно, понятия не имел о сверхъестественно похожем взломе Volexity.
Когда лето сменилось осенью, за закрытыми дверями среди людей в правительстве и индустрии безопасности начали расти подозрения, что происходит что-то важное. Но правительство, которое годами пыталось наладить связь с внешними экспертами по безопасности, вдруг замолчало. В течение следующих нескольких месяцев «люди, которые обычно были очень болтливыми, молчали», — говорит бывший государственный служащий. По его словам, среди отдельных лиц рос страх, что разворачивается разрушительная кибероперация, и никто не может с ней справиться.
Фактически, Министерство юстиции и Volexity наткнулись на одну из самых изощренных кампаний кибершпионажа десятилетия. Злоумышленники действительно взломали программное обеспечение SolarWinds. Используя методы, которые следователи никогда раньше не видели, хакеры получили доступ к тысячам клиентов компании. Среди зараженных были как минимум восемь других федеральных агентств, включая Министерство обороны США, Министерство внутренней безопасности и Министерство финансов, а также ведущие технологические и охранные фирмы, включая Intel, Cisco и Palo Alto Networks , хотя ни одно из они знали это еще. Даже Microsoft и Mandiant были в списке жертв.
После инцидента с Министерством юстиции операция оставалась нераскрытой еще шесть месяцев. Когда следователи, наконец, взломали его, они были поражены сложностью взлома и чрезвычайной преднамеренностью. Однако спустя два года картина, которую они собрали — или, по крайней мере, то, чем они поделились публично, — все еще неполна. Полный отчет о влиянии кампании на федеральные системы и о том, что было украдено, никогда не предоставлялся общественности или законодателям на Капитолийском холме. Согласно бывшему источнику в правительстве и другим, многие пострадавшие федеральные агентства не вели адекватных сетевых журналов и, следовательно, могут даже не знать, что было украдено. Хуже того: некоторые эксперты считают, что SolarWinds был не единственным вектором — что другие производители программного обеспечения распространяли или могут распространять вредоносное ПО. Далее следует отчет о расследовании, которое, наконец, разоблачило шпионскую операцию — как это произошло и что нам известно. До сих пор.
Ключ
10 НОЯБРЯ,В 2020 году аналитик Mandiant по имени Хенна Парвиз отреагировала на обычное предупреждение системы безопасности, которое срабатывало каждый раз, когда сотрудник регистрировал новый телефон в системе многофакторной аутентификации фирмы. Система отправляла одноразовые коды доступа на сертифицированные устройства, позволяя сотрудникам входить в виртуальную частную сеть компании. Но Парвиз заметил кое-что необычное в этом устройстве Samsung: с ним не был связан номер телефона.
Она внимательно посмотрела журналы активности телефона и увидела еще одну странную деталь. Судя по всему, сотрудник использовал телефон для входа в свою учетную запись VPN с IP-адреса во Флориде. Но этот человек не жил во Флориде, а его старый iPhone все еще был зарегистрирован в многофакторной системе. Затем она заметила, что телефон Samsung использовался для входа в систему с IP-адреса во Флориде в то же время, когда сотрудник вошел в систему со своего iPhone из своего родного штата. У Мандианта была проблема.
Служба безопасности заблокировала устройство Samsung, а затем целый день выясняла, как злоумышленник проник в сеть. Вскоре они поняли, что проблема выходит за рамки учетной записи одного сотрудника. Злоумышленники осуществили атаку Golden SAML — сложную технику взлома системы аутентификации сотрудников компании. Они могли захватить контроль над учетными записями рабочих, предоставить этим учетным записям дополнительные привилегии и даже создать новые учетные записи с неограниченным доступом. С этой силой невозможно было сказать, насколько глубоко они зарылись в сеть.
17 ноября Скотт Раннелс и Эрик Скейлс, старшие сотрудники консультационного подразделения Mandiant, незаметно собрали первоклассную следственную группу из примерно 10 человек, привлекая людей из других проектов, не сообщая менеджерам ни о причинах, ни даже о том, когда сотрудники вернутся. Не зная, что обнаружит охота, Раннелс и Скейлз должны были контролировать, кто об этом знает. Группа быстро поняла, что хакеры были активны в течение нескольких недель, но избежали обнаружения, «живя за счет земли» — подрывая инструменты администрирования, уже находящиеся в сети, чтобы делать свои грязные дела, а не внедрять свои собственные. Они также пытались избежать создания шаблонов в журналах активности и в других местах, которые обычно ищут следователи.
Команда Mandiant столкнулась с хрестоматийным примером взлома цепочки поставок — гнусным изменением доверенного программного обеспечения в его источнике.
Но, пытаясь перехитрить Mandiant, воры непреднамеренно оставили после себя разные отпечатки пальцев. Через несколько дней следователи вышли на след и начали выяснять, где были злоумышленники и что они украли.
Утром в пятницу, 20 ноября, Кевин Мандиа, основатель и генеральный директор Mandiant, вышел из общей встречи с 3000 сотрудников и заметил, что его помощник добавил новую встречу в свой календарь. «Инструкция по безопасности» — вот и все, что там было сказано. Мэндиа, 52-летний бывший офицер разведки ВВС, который спустя два десятилетия после ухода со службы все еще щеголяет коротко подстриженными армейскими волосами, планировал выехать пораньше на выходных, но все же набрал номер телефона. Он ожидал какого-то быстрого обновления. Через пять минут после начала разговора он понял, что его выходные были расстреляны.
Многие из самых громких взломов за последние два десятилетия были расследованы фирмой Мандии, которую он основал в 2004 году. Компания была приобретена FireEye в 2013 году, а в прошлом году снова — Google. Охотники за угрозами работают над более чем 1000 случаев ежегодно. , включая нарушения в Google, Sony, Colonial Pipeline и других. За все это время сам Mandiant ни разу не подвергся серьезному взлому. Теперь охотники были добычей.
Злоумышленники, как узнал Мэндиа, похитили инструменты, которые его компания использует для поиска уязвимостей в сетях своих клиентов. Они также просмотрели конфиденциальную информацию, идентифицирующую ее государственных клиентов. Пока его команда описывала, как злоумышленники скрывали свою деятельность, Мэндиа вспомнил инциденты из первых дней своей карьеры. С 1995 по 2013 год, работая в Управлении специальных расследований ВВС и в частном секторе, он наблюдал, как *****ийские злоумышленники постоянно тестируют системы и исчезают, как только следователи находят их. Их настойчивость и скрытность сделали их самыми сильными противниками, с которыми он когда-либо сталкивался. Теперь, узнав об активности внутри своей собственной сети, он «начал распознавать образы», как он позже сказал аудитории конференции. На следующий день после получения тревожных новостей о взломе,
Пока Мандиа совещался с правительством, Чарльз Кармакал, технический директор Mandiant Consulting, связался со старыми друзьями. Многие тактики хакеров были незнакомы, и он хотел узнать, видели ли их раньше два бывших коллеги по Mandiant, Кристофер Глайер и Ник Карр. Глайер и Карр потратили годы на расследование крупных и изощренных кампаний и активно выслеживали печально известных хакеров ****** — *****ийской службы внешней разведки. Теперь они оба работали в Microsoft, где у них был доступ к данным гораздо большего количества хакерских кампаний, чем в Mandiant.
Кармакал сказал им самый минимум — что ему нужна помощь в определении какой-то активности, которую видит Мэндиант. Сотрудники двух компаний часто обменивались заметками о расследованиях, поэтому Глайер не придала этому запросу никакого значения. В тот вечер он провел несколько часов, копаясь в данных, которые прислал ему Кармакал, а затем поручил Карру взять на себя управление. Карр был «совой», поэтому они часто работали вместе, и утром Карр передавал работу обратно Глайеру.
Эти двое не видели никаких знакомых тактик известных хакерских групп, но, пройдя по следам, они поняли, что то, что отслеживал Мандиант, имело большое значение. «Каждый раз, когда вы тянули за нитку, отрезок пряжи становился все больше», — вспоминает Глайер. Они могли видеть, что несколько жертв общались с хакерами, которых Кармакал попросил их отследить. Для каждой жертвы злоумышленники устанавливали выделенный сервер управления и контроля и давали этой машине имя, частично имитирующее имя, которое могла бы иметь реальная система в сети жертвы, чтобы она не вызывала подозрений. Когда Глайер и Карр увидели список этих имен, они поняли, что могут использовать его для выявления новых жертв. И в процессе они раскопали то, что Кармакал не раскрыл им — что сам Мандиант был взломан.
Это был «черт возьми» момент, вспоминает Джон Ламберт, глава Microsoft Threat Intelligence. Злоумышленники хотели не только украсть данные. Они вели контрразведку против одного из своих злейших врагов. «Кому клиенты чаще всего набирают номер быстрого набора, когда происходит инцидент?» он говорит. «Это Мандиант».
Когда Карр и Глайер соединили все больше точек, они поняли, что видели признаки этого взлома раньше, в нераскрытых вторжениях, совершенных месяцами ранее. Исключительные навыки и тщательность, с которой хакеры скрывали свои следы, все больше и больше напоминали им о SVR.
продолжение следует
Расскажу тоже историю как хакера ловил) Давно было, лет 10-12 назад, что помню напишу.
Как-то утром мы обнаружили у нас в коде новый обфусцированный код, который никто из нас не писал. Поисследовав стало понятно что он отправляет запросы куда-то. В логах ничего не искал, решил поискать кусок этого кода в гугле. Отыскал совпадение в одном из gist.github.com.
Ник на github совпадал с одним из параметров отправляемых скриптом на сервер, так что я счел это верной заметкой.
Поиск по нику навел на пару учеток на форумах про биткоин. На одном из форумов нашел ссылку на свою учетку твиттера, из нее нашел учетку фейсбука, а там и фотки с друзьями.
Написал одному из друзей, что готовлю своему тиммейту в WoW сюрприз-подарок, но сама(фейковая учетка) я из России(надо было оправдать низкий уровень английского) и не знаю где мне лучше заказать на амазон или ebay(вошел в доверие), а потом спросил про домашний адрес через пару сообщений.
Потом уже автору зловреда написал "Мы воспрользовались вашим кодом на сайте ХХХ.ru и он нам не понравился, я же верно понимаю что обратно его отправлять по адресу такому-то".
Того что он перепугался и удалил учетку на фейсбуке мне было достаточно)
Федеральное бюро расследований (ФБР) США якобы выявило и обезвредило пакет вредоносных программ, используемый в ФСБ РФ. Об этом говорится в опубликованном во вторник заявлении американского Минюста.
"Сегодня Министерство юстиции объявило о завершении проводимой с ведома суда операции под кодовым названием MEDUSA, направленного на ликвидацию глобальной пиринговой сети компьютеров, зараженных сложным вредоносным программным обеспечением под названием Snake, которое правительство США приписывает подразделению 16-го Центра ФСБ РФ. На протяжении почти 20 лет это подразделение, именуемое Turla, прибегало к разным вариантам ПО Snake для кражи конфиденциальных документов из сотен компьютерных систем по меньшей мере 50 стран. Эти системы, в частности, принадлежали правительствам стран - участниц НАТО, журналистам и другим субъектам, представляющим интерес для Российской Федерации", - говорится в заявлении.
ФБР полагает, что после кражи документы переправлялись по специальной секретной сети.
Взять с собой побольше вкусняшек, запасное колесо и знак аварийной остановки. А что сделать еще — посмотрите в нашем чек-листе. Бонусом — маршруты для отдыха, которые можно проехать даже в плохую погоду.