В предыдущих статьях киберпространство часто представлялось как крайний запад, на котором разворачиваются классические вестерны, то есть как реальность, полностью лишенная правил, в которой безжалостные и беспринципные бандиты пожинают жертвы, совершенно неспособные защитить себя. В частности, группы киберпреступников, более или менее спонсируемые суверенными государствами, бушуют в киберпространстве в ущерб обычным гражданам, а также правительствам или частным организациям и отраслям, также обогащаясь ошеломляющей добычей.
Эта кибернетическая панорама типа «все против всех» не ускользает от самого «реального» закона сильнейшего, который также применим к вышеупомянутым группам киберпреступников, как показано в следующей истории. Эта история, вероятно, неопубликована, хотя и символична для того момента, в котором мы живем, поскольку она показывает, насколько далеко мы можем продвинуть борьбу за доминирование в кибернетическом пространстве и, прежде всего, борьбу за должность самой ценной информации, которую он содержит. Борьба, как мы увидим, без четверти и без правил ...
21 октября Британский национальный центр кибербезопасности (NCSC) в сотрудничестве с Агентством национальной безопасности США (NSA) выпустил бюллетень безопасности, в котором две группы хакеров специализировались на Усовершенствованная стойкая угроза (APT - очень изощренные кибератаки, длительные во времени и направленные на сбор информации), как считается, связаны с двумя странами.
В частности, принимая во внимание то, что было подчеркнуто в предыдущих статьях о способности определять происхождение кибератак, это группа, известная как Turla (или WhiteBear / WaterBug / Venomous Bear), которые каким-то образом будут служить правительству России и группе APT 34 (также известной как Нефтяная вышка o Crambus) что вместо этого будет платить Исламская Республика Иран. Для обеих групп имеется достаточное количество доказательств того, что они имеют доступ к материальным и интеллектуальным ресурсам, которые обычно доступны исключительно суверенным государствам и действуют в глобальном масштабе, даже если APT 34 более ориентирована на проведение операций на Ближнем Востоке.
Именно в этом регионе в последние несколько дней NCSC обнаружил волну очень специфических кибератак. В итоге, Turla якобы взял под контроль ИТ-инфраструктуру, созданную APT 34 для ведения своей незаконной деятельности, в основном разведки, в ущерб военным и правительственным организациям, промышленным предприятиям и банкам, работающим в вышеупомянутом регионе и представляющим особый интерес для Ирана. Согласно собранным свидетельствам, получая доступ к серверам, используемым иранской группой, Turla он мог бы контролировать всю сеть компьютеров, смартфонов и, кто знает, что еще, компрометировал в предыдущие месяцы APT 34.
Это связано как минимум с четырьмя прямыми последствиями:
Первый. Turla получил бы одним движением доступ ко всем разведывательным данным, собранным APT 34, или к бесценному наследию, полученному из Ирана благодаря транзакции, которая длилась месяцы, если не годы, и которая, безусловно, требовала инвестиций, а не незначителен. Хороший выстрел!
второй. Turla он использовал бы инфраструктуру управления и контроля, созданную APT 34, чтобы запускать дальнейшие атаки и компрометировать другие устройства, используя свои собственные методы и программное обеспечение. Судя по всему, атаки были бы успешными и затронули бы около тридцати пяти стран, в основном расположенных на Ближнем Востоке. Еще один отличный результат.
третий, «Король голый», то есть методы и компьютерные уязвимости, используемые APT 34, больше не будут иметь секретов для Turla и в качестве основного и впоследствии могут быть использованы для адаптации их для целей российской группировки, и они смогут защитить себя от возможного ответного удара APT 34. Еще раз поздравляю.
четвертый. Хаос. Хорошо известно, что, особенно в последний период, Ближний Восток, затронутый этим делом, также является перекрестком международных кризисов, как региональных, так и потенциально глобальных. В этом деликатном контексте после публикации бюллетеня NCSC западная пресса поспешила указать пальцем на российское правительство, которое, в свою очередь, категорически отрицает какую-либо причастность, обвинив Запад в том, что он вынашивает хитрый план обман с целью подорвать прекрасные отношения сотрудничества, установленные между Российской Федерацией и Ираном, для разрешения кризисов, происходящих в настоящее время в вышеупомянутом регионе.
Короче говоря, хорошая загадка, которая еще раз демонстрирует, как правительства могут использовать кибернетические возможности, как и другие «традиционные» военные возможности, для навязывания своих соответствующих внешнеполитических программ.
Помимо методов, используемых Turla и сообщается в бюллетене NCSC и в последующих исследованиях по этому вопросу, которые, безусловно, очень интересны для экспертов (и работают там!), эта история должна вновь заставить нас задуматься о реальности, с которой мы сталкиваемся, и о как с этим бороться.
Учитывая, что западный кибернетический мир будет оставаться таковым еще долгое время, учитывая, что ни одна наднациональная организация не намеревается или не может вводить серьезное регулирование, мы должны спросить себя: Должны ли мы продолжать ограничивать себя превращением законов в законы «нулевой стоимости» и играть в оборону или, скорее, должны ли мы вооружиться конкретными национальными навыками кибернаступления, такими, чтобы действовать как сдерживающий фактор?
Как может выжить беззащитный «комар» в мире, где даже самый опытный паук может оказаться в своей паутине и погибнуть?
На карту поставлено выживание нашей нации, по крайней мере, в том виде, в каком мы ее знаем сегодня, но создается впечатление, что в нашей любимой стране все еще есть много людей, которые не поняли опасности, с которой мы сталкиваемся, и действительно считают эти разговоры слишком тревожными. Мы надеемся, что они правы. с надеждой.
Основные источники:
https://www.2-spyware.com/iranian-hacking-tools-hijacked-by-turla-group-...
https://attack.mitre.org/groups/G0010/
https://www.fireeye.com/current-threats/apt-groups.html#apt34
https://www.ncsc.gov.uk/news/turla-group-exploits-iran-apt-to-expand-cov...
https://nationalcybersecurity.com/hacking-russia-dismisses-hacking-repor...
