Российские хакеры: кто более страшный - киберхробак или киберведмидь?

Обзор российских хакерских групп и шпионских программ

В течение двух лет Украина становится полигоном для российских хакерских групп, а нас с неослабевающим интересом смотрят международные компании, которые занимаются киберзащиты.

С 2015 года российские хакеры побывали в недрах украинских облэнерго , Вызвав отключения электроэнергии на несколько часов. Напомним, что атаки осуществлялись на информационную инфраструктуру одновременно трех энергопоставщиков - «Прикарпатьеоблэнерго», «Черновцыоблэнерго» и «Киевоблэнерго». В 2016-м вредоносная программа была обнаружена в сети аэропорта «Борисполь». Были сообщения, что произошла хакерская атака на Укрзализныцю. И это, не считая атак на СМИ На Центризбирком (помните известную ситуацию, когда после президентских выборов на центральном сайте ЦИК должно было появиться изображение Дмитрия Яроша, как победителя выборов), Украинской службам киберзащиты удалось очистить систему за сорок минут до официального объявления результатов выборов. Кибервойна, как показала практика, полноценная составляющая войны гибридной.

Так, в августе 2016 Совет национальной безопасности и обороны сообщила, что в течение полугода на государственные органы было совершено около 15 000 кибератак (событий информационной безопасности), из которых 170 носили характер Ddos-атак.

Тема киберзащиты очень закрыта в украинских органах власти, однако она активно изучается международными исследовательскими центрами.

Мы решили, опираясь на англо и русскоязычные источники, осуществить обзор основных хакерских групп с РФ. Но сначала немного теории.

Когда мы говорим о кибератаки, оперируем такими терминами: группы хакеров (киберпреступники) и вирус (обычно вредоносное программное обеспечение называют обобщающим словом «вирус»). Очень часто название команды хакеров дежурят под названием используемого ими вируса. То есть, та или иная хакерская команда нередко в медиа называется тем же именем, что и используемая ею вирусная программа, или даже вирусная семья.

Часто для серьезных кибератак используется комбинация трех вредных базовых программ. Первый вид: троянская программа . (Проникает к компьютеру под видом легального программного обеспечения).

Второй вид: компьютерный червь - разновидность вредоносной программы, самостоятельно распространяется через локальные и глобальные компьютерные сети.

Третий вид - компьютерный вирус - вид вредоносного программного обеспечения, способного создавать копии самого себя и проникать в код других программ, системных областей памяти, загрузочных секторов, а также распространять свои копии различными каналами связи.

Вот это главные «компоненты» кибероружия. Они могут видоизменяться, комбинироваться, совершенствоваться, но в целом предоставляются в вышеупомянутой классификации.

Обзор российских хакерских групп и шпионских программ   В течение двух лет Украина становится полигоном для российских хакерских групп, а нас с неослабевающим интересом смотрят международные компании, которые занимаются киберзащиты

BLACKENERGY - СПЕЦИАЛИСТЫ ПО АТАК НА УКРАИНЕ

Группа Песчаный червь (Sandworm, она же Quedagh) и вирус BlackEnergy - «специалисты» по Украине. Во всяком случае, именно их сеть использовалась для атаки на государственные и коммерческие организации в Украине и Польше. BlackEnergy был обнаружен во время атак на облэнерго.

Команда «Песчаный червь», которую связывают с вирусом BlackEnergy - наиболее технически продвинутая группа. В западных источниках она считается группой постоянной угрозы, имеет господдержку и используется в политических целях Российской Федерацией. Троянская программа BlackEnergy, с которой они работают, согласно некоторым данным, впервые была обнаружена в 2007 году на российском подпольном рынке вредоносных программ. Первая версия BlackEnergy была сравнительно простым набором инструментов для создания сетей ботов и осуществления атак на отказ обслуживания. За время его существования было создано еще две версии трояна, которые приобрели новые, более мощных возможностей. Так, в 2010 году была обнаружена вторая версия трояна, BlackEnergy 2, которая уже могла подключать модули с такими дополнительными возможностями, как передача похищенных данных на серверы злоумышленников, наблюдение за сетевым трафиком и т. Д. В 2014 году была обнаружена и третья версия данного трояна. Группа, возможно, в 2008 году принимала участие в кибератаках против Грузии.

ГРУППА СТРЕКОЗА , ОНА ЖЕ - энергичный МЕДВЕДЬ

Эта группа известна с 2011 года, и рассматривается как угроза для Восточно-Европейского региона , Нацеленная на его оборонную промышленность, энергетику, производителей информационных технологий и систем. Группа отличается способностью осуществлять технически сложные и длительные атаки, которые наводят на мысль о наличии государственного финансирования.

Эти хакеры заинтересованы в установлении постоянного доступа к системам, сломанных ими. Энергичный Медведь специализируется на выработке вредоносных программ, атаки в основном происходили в рабочее время (понедельник - пятница, 9 утра - 6 вечера) центрально времени плюс 4:00 (UTC + 4), соответствует периоду рабочего времени в России и Восточной Европе. Большинство охранных фирм пришло к выводу, что Энергичный Медведь - российская группа, которая находится на госфинансировании, поскольку ее ударам подвергаются национальные государства, находящиеся в оппозиции к России. Вредоносные программы, прежде всего, ставят под угрозу нефтяные, нефтеперерабатывающие и энергетические системы, которые конкурируют с энергетическим комплексом России. Энергичный Медведь, скорее всего, заинтересован в сборе информации о своих жертв и страны их происхождения и в установлении постоянного доступа к сломанных систем. Высоко продвинутые программы позволяют саботировать операции целей, что может привести к повреждению или нарушения в важнейших секторах инфраструктуры.

РАЗВЕДЧИКИ APT28 и APT29 (УЮТНЫЙ И МОДНЫЙ МЕДВЕДИ)

Российские группы кибершпионажа, которые связывают с российскими спецслужбами - APT28 и APT29. APT28 обвиняли в изломах правительственных учреждений в Германии, США и НАТО. Это одна из групп, которую считают причастной к последнему взлома сайта Демпартии в США. Еще одно название этой группы, гуляет по Интернету - « Модные мишки ». к излома американских правительственных сайтов также имеет отношение группа APT29. Считается одной из наиболее квалифицированных и опытных , Деятельность которых приходилось отслеживать киберохоронним структурам .

ЗМЕЯ на баланс государства РОССИЙСКОЙ

Еще одна группа, название которой идентична том вируса, который она использует «Уроборос, Турла, Змея». Британские службы киберзащиты писали, что это первый вирус, которым Россия начала войну против Украины еще в марте 2014 года. Только за первые месяцы 2014 украинские коммуникационные сети государственной важности подверглись 14 крупных атак со стороны хакеров, вдвое больше, чем за весь 2013 год. Вирус позволяет контролировать инфицированные ПК, выполнять на них произвольный код, скрывая при этом свою активность. Уроборос в состоянии похищать данные и перехватывать трафик, может удалить документацию и может предоставить хакерам «полный доступ к атакованной системы». Английские и американские эксперты считают , Что кибератаки проводились под эгидой российского правительства и требовали высокой организации большой группы хакеров.

Интересно, что в 2008 году компьютерным червем с этого же семейства Agent.BTZ были поражены компьютеры Центрального командования вооруженных сил США на Ближнем Востоке, из-за чего вирус удостоился звания «плохой события в компьютерной истории ВС США». Компьютерный червь попал в систему Пентагона через USB-флешку, оставленную на парковке комплекса, принадлежащего Минобороны США на территории военной базы на Ближнем Востоке. Накопитель, содержащий вредоносный код, был вставлен в USB-порт ноутбука, подключенного к компьютерной сети Центрального командования ВС США (United States Central Command). Пентагон потратил почти 14 месяцев на ликвидацию последствий заражения сетей ВС и в результате этот случай стал толчком для создания Кибернетического командования США, внутреннего подразделения ВС США.

Пентагон потратил почти 14 месяцев на ликвидацию последствий заражения сетей ВС и в результате этот случай стал толчком для создания Кибернетического командования США, внутреннего подразделения ВС США

CARBANAK - ТОЛЬКО БИЗНЕС. БАНКОВСКИЙ

Carbanak - это и название хакерской группы, и название компьютерного червя, поражает компьютеры банков под управлением операционной системы Microsoft Windows. Его специализация - банки .

Конечной целью атакующих является вывод денег из банка, через банкоматы или онлайн-банкинг. Сначала по электронной почте заражаются компьютеры рядовых сотрудников (им направляются файлы Word, Excel и т. П. Или через фишинг). Вторая фаза - это сбор разведданных о том, как устроена работа в этом банке, и кто за что отвечает. В этой фазе атакувальникы подбираются к компьютерам непересекающихся пользователей (системных администраторов, администраций разных уровней). Третья фаза атаки - это вывод денег различными способами, все зависит от конкретного банка (онлайн-переводы, передача денег с определенного банкомата, выдача денег в банкомате в определенное время). Считается, что именно это группа вывела из одного украинского банка в 2016-м году около 10 млн долларов.

Атаки на банки продолжают оставаться закрытыми в большинстве западных стран, финансовые учреждения предпочитают вести собственные войны с хакерами, не желая пугать клиентов. Наши источники из антивирусных лабораторий убеждены, что банковская группа не имеет политических целей, от нее страдает и российский финансовый сектор, и что ее задача - исключительно кражи.

Ну вот такие группы, если очень коротко, работающих в России. Бояться не стоит. В каждой приличной стране есть свои хакеры и свои киберзахисникы. В Украине эта отрасль тоже проходит свое становление. Что интересно, блуждая сайтами антивирусных лабораторий, я обратила внимание на то, что в Украине легко проникнуть в программу не только потому, что крутые айтишники госучреждении не по карману. А еще и потому, что мы очень чувствительны и любознательные. Влезть к компьютерам облэнерго удалось не только потому, что мы не были готовы к таким атакам. А еще и потому, что у нас рука сама тянется открыть чужой письмо, если там стоит приманка «Все о связи депутатов с ополченцами» или «Точные адреса« героев Новороссии ». Сотрудники впускали «троян» в систему том, что их проблемы, настроения и боли были «под мироскопом» изучены российскими хакерами. Очень многое можно избежать, если соблюдать элементарную кибергигиены. Но об этом - в следующем материале.

Лана Самохвалова, Киев