Взломать хакеров! Когда попасть в (кибер) холст - это сам паук ...

(Ди Ciro Metuarata)
06/11/19

В предыдущих статьях киберпространство часто представлялось как крайний запад, на котором установлены классические западные фильмы, то есть как реальность, полностью лишенная правил, в которых безжалостные и беспринципные бандиты пожинают жертв, совершенно неспособных защитить себя. В частности, группы киберпреступников, более или менее спонсируемые суверенными государствами, широко распространены в кибер-измерении против простых граждан, таких как правительства или частные организации и отрасли, и обогащены ошеломляющей добычей.

Эта кибернетическая панорама типа «все против всех» не ускользает от самого «реального» закона сильнейшего, который также применим к вышеупомянутым группам киберпреступников, как показано в следующей истории. Эта история, вероятно, неопубликована, хотя и символична для того момента, в котором мы живем, поскольку она показывает, насколько далеко мы можем продвинуть борьбу за доминирование в кибернетическом пространстве и, прежде всего, борьбу за должность самой ценной информации, которую он содержит. Борьба, как мы увидим, без четверти и без правил ...

В октябре прошлого года 21, Британский национальный центр кибербезопасности (NCSC), в сотрудничестве с Агентством национальной безопасности США (NSA), выпустил бюллетень безопасности, в котором две группы хакеров, специализирующихся на Усовершенствованная стойкая угроза (APT - очень сложные кибератаки, затянувшиеся со временем и нацеленные на сбор информации), как полагают, связаны с двумя странами.

В частности, принимая во внимание то, что было подчеркнуто в предыдущих статьях о способности определять происхождение кибератак, это группа, известная как Turla (или WhiteBear / WaterBug / Venomous Bear), который каким-то образом послужит российскому правительству и группе APT 34 (также известной как Нефтяная вышка o Crambus) что вместо этого будет платить Исламская Республика Иран. Для обеих групп имеется достаточное количество доказательств того, что они имеют доступ к материальным и интеллектуальным ресурсам, которые обычно доступны исключительно суверенным государствам и действуют в глобальном масштабе, даже если APT 34 более ориентирована на проведение операций на Ближнем Востоке.

Именно в этом регионе в последние несколько дней NCSC обнаружил волну очень специфических кибератак. В итоге, Turla взял бы под контроль ИТ-инфраструктуру, созданную APT 34 для осуществления своей незаконной деятельности, в основном разведывательной, против военных и правительственных организаций, отраслей и банков, действующих в вышеупомянутом регионе и представляющих особый интерес для Ирана. Согласно собранным данным, при доступе к серверам, используемым иранской группой, Turla он мог бы контролировать всю сеть компьютеров, смартфонов и, кто знает, что еще, компрометировал в предыдущие месяцы APT 34.

Это связано как минимум с четырьмя прямыми последствиями:
Первый. Turla получил бы одним движением доступ ко всем разведывательным данным, собранным APT 34, или к бесценному наследию, полученному из Ирана благодаря транзакции, которая длилась месяцы, если не годы, и которая, безусловно, требовала инвестиций, а не незначителен. Хороший выстрел!
второй. Turla будет использовать инфраструктуру командования и управления, созданную APT 34, для запуска дальнейших атак и взлома других устройств, используя свои собственные методы и программное обеспечение. По-видимому, атаки были бы успешными и затронули бы что-то вроде тридцати пяти стран, в основном расположенных на Ближнем Востоке. Еще один отличный результат.
третий, «Король голый», то есть методы и компьютерные уязвимости, используемые APT 34, больше не будут иметь секретов для Turla и для его принципала, а затем они могли бы использовать их, адаптируя их для целей российской группы, и они могли бы защитить себя от возможного возмездия за APT 34. Поздравляю еще раз.
четвертый, Хаос. Известно, что, особенно в последний период, Ближний Восток, затронутый этим делом, также является перекрестком международных кризисов как регионального, так и потенциального глобального масштаба. В этом деликатном контексте после публикации бюллетеня NCSC западная пресса поспешила указать пальцем на российское правительство, которое, в свою очередь, категорически отрицая какую-либо причастность, обвинило Запад в том, что он вынашивал хитрый план обман, чтобы подорвать прекрасные отношения сотрудничества, установленные между Российской Федерацией и Ираном, для урегулирования кризисов, происходящих в настоящее время в вышеупомянутом регионе.

Короче говоря, хорошая загадка, которая еще раз демонстрирует, как правительства могут использовать кибернетические возможности, как и другие «традиционные» военные возможности, для навязывания своих соответствующих внешнеполитических программ.

Помимо методов, используемых Turla и сообщается в бюллетене NCSC и в последующих исследованиях по этому вопросу, которые, безусловно, очень интересны для экспертов (и работают там!), эта история должна вновь заставить нас задуматься о реальности, с которой мы сталкиваемся, и о как с этим бороться.

Принимая во внимание тот факт, что кибернетический дальний запад останется таковым еще долгое время, учитывая, что ни одна наднациональная организация не намерена или не способна навязать серьезные меры регулирования, мы должны спросить себя: Должны ли мы продолжать ограничивать себя превращением законов в законы «нулевой стоимости» и играть в оборону или, скорее, должны ли мы вооружиться конкретными национальными навыками кибернаступления, такими, чтобы действовать как сдерживающий фактор?

Как может выжить беззащитный «комар» в мире, где даже самый опытный паук может оказаться в своей паутине и погибнуть?

На карту поставлено выживание нашей нации, по крайней мере, в том виде, в каком мы ее знаем сегодня, но создается впечатление, что в нашей любимой стране все еще есть много людей, которые не поняли опасности, с которой мы сталкиваемся, и действительно считают эти разговоры слишком тревожными. Мы надеемся, что они правы. с надеждой.

Основные источники:
https://www.2-spyware.com/iranian-hacking-tools-hijacked-by-turla-group-...
https://attack.mitre.org/groups/G0010/
https://www.fireeye.com/current-threats/apt-groups.html#apt34
https://www.ncsc.gov.uk/news/turla-group-exploits-iran-apt-to-expand-cov...
https://nationalcybersecurity.com/hacking-russia-dismisses-hacking-repor...