Главная » Блоги Экспертов И ИТ-Компаний » Вредоносы-долгожители: инструменты атаки 20-летней давности до сих пор актуальны

Вредоносы-долгожители: инструменты атаки 20-летней давности до сих пор актуальны

Исследователи King’s College London совместно с Лабораторией Касперского провели анализ атак на важнейшие правительственные ресурсы США, имевшие место в конце 90-х годов прошлого столетия, на предмет связи с современным кибершпионажем.

Работая над своей книгой “Rise of the Machines”, Томас Рид (Thomas Rid) из университета King’s College London в 2016 году связался с бывшим системным администратором, который работал в организации, чьи серверы были взломаны во время вредоносной атаки Moonlight Maze и превращены в прокси-сервер злоумышленников. IT-специалист, который к этому времени уже вышел на заслуженный отдых, не только сохранил сам сервер, но и копии всех артефактов, имевших отношение к атакам 1998 года. Эти материалы он передал исследователям из King’s College London и экспертам «Лаборатории Касперского». За девять месяцев работы аналитики смогли реконструировать операции Moonlight Maze, их инструменты и техники, а также попытались найти подтверждение связи этой группировки с Turla.

В своих атаках на сети и компьютеры под управлением ОС Solaris группа Moonlight Maze использовала инструменты, построенные на открытом ПО (Unix). Чтобы проникнуть в систему жертв была использована программа-бэкдор на базе LOKI2. Она была выпущена в 1996 году и предназначалась для извлечения данных через скрытые каналы.

В результате исследования был найден ряд образцов вредоносного ПО и другие артефакты 20-летней давности. К удивлению специалистов программа-бекдор, использованная во время атаки Moonlight Maze, мишенью которой стали Пентагон, NASA и Министерство энергетики США, имеет много общего с бэкдором, примененным в 2011 году (кампания Turla), и затем – в марте 2017 года.

Подобная неожиданная находка заставила исследователей снова обратиться к изучению образцов зловредов Turla под Linux, которые были обнаружены в 2014 году. Как выяснилось, они также были созданы на базе LOKI2. Более того, для создания использовался код, написанный в промежуток времени между 1999 и 2004 гг.

В 2011 году этот же код был замечен во вредоносной операции, нацеленной на швейцарского военного подрядчика Ruag. А в марте 2017 года образец программы-бэкдора, содержащей тот же самый код, был обнаружен в сети предприятия в Германии.

Специалисты предполагают, что группировка Turla, за которой предположительно стоят русскоязычные организаторы, использует старый код под Linux в атаках на особо важные и хорошо защищенные цели, поскольку таким образом им легче проникнуть в сеть.

Вот что сказал Хуан Андрес Герреро-Сааде, ведущий эксперт «Лаборатории Касперского»: «В конце 90-х никто еще не понимал, насколько продолжительными и масштабными могут быть координируемые кампании кибершпионажа. Анализ вредоносного ПО и кода Moonlight Maze – это не просто увлекательное «путешествие» в прошлое, это очередное напоминание о том, что хорошо подготовленные кибергруппировки никуда не исчезают и не прекращают просто так свою деятельность. Наша общая задача сегодня – понять, почему атакующие до сих пор успешно применяют старый код, и скорректировать защиту таким образом, чтобы она учитывала все возможные векторы атак».

Инструменты атаки 20-летней давности могут быть до сих пор актуальны


© editor for Царев Евгений, 2017. | Permalink | No comment

Feed enhanced by Better Feed from Ozh



Источник: http://feedproxy.google.com/~r/tsarev/KWeJ/~3/75pxEPv7CdI/


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU,
http://www.tsarev.biz/, Эксперт по информационной безопасности
---

В 2007 году закончил Томский государственный Университет Систем Управления и Радиоэлектроники по специальности «Защищенные системы связи».

В 2011 году получил степень MBA “Инновационный и проектный менеджмент” в Академии народного хозяйства при Правительстве РФ.

Профессионально занимается развитием направления информационной безопасности в российских интеграторах и вендорах.

Аудитор и тренер СТО БР ИББС, Ведущий аудитор и тренер ISO 27001 Автор ряда курсов по информационной безопасности. Автор более 10 исследований, 50 статей и 300 публикаций и комментариев в СМИ по информационной безопасности.


Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>