видеозаписи Witcher 3: Wild Hunt, the

Брокер-из-тени, или Шпионское аукцион-шоу

«Чёрная суббота»

В субботу 13-го августа 2016 у Агентства национальной безопасности США случился на редкость отвратительный день. Все остальные, правда, узнали об этом далеко не сразу, а лишь после выходных. В понедельник 15-го числа Микко Хиппонен, известный в мире специалист по компьютерной безопасности и глава финской компании F-Secure, привлек внимание сообщества к весьма чуднóй публикации, одновременно размещенной сразу на нескольких сайтах Интернета неведомо кем, но под именемThe Shadow Brokers.

Необычным в публикации было всё. От комично ломаного английского, напоминающего речь туземцев-дикарей, до чрезвычайно занятных файлов, сопровождавших это послание и предложенных публике для ознакомления в условиях странного аукциона. В переложении на русский начало объявления выглядит примерно так:

!!! Вниманию правительственных спонсоров кибер-вооружений и тех, кто на этом наживается !!!

Сколько вы заплатить за кибер-вооружения врагов? Не за тех вредоносов, что вы находить в сетях. За полный инструментарий от государственного спонсора – атаки плюс защита? Мы находить кибервооружения, сделанные создателями stuxnet, duqu, flame. Касперский называть их Equation Group. Мы следить за трафиком Equation Group. Мы находить массив исходников Equation Group. Мы хакать Equation Group. Мы находить много, много кибервооружений Equation Group. Вы видеть картинки. Некоторые из файлов Equation Group мы давать вам бесплатно, смотрите. Это хорошее доказательство, не так ли? Вы получать удовольствие!!! Вы взламывать много вещей. Вы обнаруживать много вторжений. Вы писать много слов. Но это не все, самые лучшие файлы мы выставлять на аукцион...

Поскольку в мире инфобезопасности всем мало-мальски осведомленным людям известно, что под нейтрально-безликим названием Equation Group на самом деле подразумевается хакерское подразделение АНБ США, то из публикации выходило вот что. Некая абсолютно безвестная прежде группа хакеров-подпольщиков, называющих себя Shadow Brokers, то есть «Теневые брокеры», решила бросить дерзкий вызов всемогущей американской спецслужбе.

Shadow Brokers не только объявила изумленному миру о похищении у АНБ арсенала наиболее ценных их шпионских разработок, но и предложила всем желающим купить это технологическое волшебство – на условиях совершенно дико устроенного аукциона. Когда каждый из потенциальных покупателей шлет продавцам столько биткойнов, сколько готов заплатить, а продавцы присваивают деньги и дожидаются, когда им кто-нибудь заплатит еще больше.

Все полученные на этих странных торгах биткойны «теневые брокеры» оставляют себе, когда этот аукцион заканчивать, они будут решать сами, а финальным покупателям, заплатившим больше всех, тайно передадут криптоключ к сотням мегабайт «самых интересных» файлов. Или же – другой вариант – ключ доступа будет открыто опубликован для всех, если общая сумма ставок на торгах достигнет 1 миллиона биткойнов (свыше полумиллиарда долларов согласно текущему курсу)...

По набору внешних признаков всё это мероприятие очень походило на шутовское кривлянье или чей-то глупый розыгрыш. Но вот только множество файлов, предоставленных «брокерами» в качестве доказательства – около 300 мегабайт исходных кодов – оказалось действительно суперсекретным хакинг-инструментарием АНБ США. Причем проверили это очень быстро – специалистам понадобилось около суток, чтобы удостовериться в подлинности документов и эффективности шпионских программ в деле.

И дабы не только специалистам, но и всем остальным стало понятнее, сколь велики масштабы нового провала для США вообще и для американской разведки в частности, надо хотя бы вкратце дать подробности и пояснения, что же это такое – Equation Group.

#«Всемогущие боги» кибервселенной

В феврале 2015 года флагманом российской и мировой антивирусной индустрии, компанией Kaspersky Lab, был опубликован большой аналитический отчет о незримой деятельности необычайно мощной силы в мире вредоносных программ. Таинственная команда умельцев получила в отчете имя Equation Group, то есть «Группа Уравнений» – из-за интенсивного применения ими алгоритмов шифрования, продвинутых методов маскирования своей деятельности и массы прочих изощренных технологий.

К началу 2015 в Kaspersky Lab было задокументировано свыше полутысячи историй заражения от Equation Group по меньшей мере в 42 разных странах. Среди наиболее густо зараженных государств оказались Иран, Россия, Пакистан, Афганистан, Индия, Китай и Сирия, но в целом характерные следы инфекции были выявлены практически на всех континентах.

Объектами же атак для Equation Group становились правительственные и финансовые, дипломатические и военные структуры страны, транспорт, энергетический и нефтегазовый секторы индустрии, телекоммуникационные фирмы и средства массовой информации, аэрокосмическая индустрия, ядерные исследования и нанотехнологии, ну и так далее. Спектр интересов у этих шпионов чрезвычайно широк.

В «Лаборатории Касперского» всегда очень строго следят за тем, чтобы находиться как можно дальше от политики, концентрируясь на технических проблемах инфобезопасности. Поэтому там никогда напрямую не говорят, что Equation Group – это Агентство национальной безопасности США. Но коль скоро все обнаруженные аналитиками факты свидетельствуют, что программы от Equation Group летают как от АНБ, выглядят как от АНБ и действуют как от АНБ, то ни у кого из профессионалов с самого начала не было сомнений, что это АНБ и есть.

Как бы оно там ни именовалось, в «Лаборатории Касперского» вполне отчетливо констатировали, что Equation Group – «это такой актер на сцене угроз, который по своему масштабу, в терминах сложности и изощренности своих технологий превосходит все известные прежде угрозы; причем действует эта группа на сцене уже почти два десятилетия»...

Поскольку же, помимо мощных средств маскировки, в программные инструменты Equation Group встроен механизм самоуничтожения, исследователи обоснованно предполагают, что на самом деле им удалось поскрести лишь самую верхушку этого айсберга. Так что реальное количество организаций и ведомств, ставших жертвами подобной инфекции, исчисляется как минимум десятками тысяч.

Чрезвычайно длинный перечень почти сверхъестественных технических возможностей, которые демонстрируют шпионские программы Equation Group, свидетельствует как об огромном опыте в подобных делах, так и о практически неограниченных ресурсах их создателей. Для примера, в частности, можно упомянуть такие вещи.

Использование виртуальной файловой системы и виртуальной ОС, незримо работающих в зараженном компьютере параллельно с основной операционной системой. Шифрование вредоносных файлов и размещение их во множестве ветвей Windows-реестра, что делало невозможным выявление заражения с помощью стандартного антивирусного ПО. Множество свидетельств компрометации не только Windows-компьютеров, но и Linux-машин, а также Apple-систем, работающих под iOS и OS X. Использование широко разветвленной инфраструктуры для задач C2, то есть «команд и контроля», включающей в себя работу свыше 300 интернет-доменов и сотни серверов. Развитые возможности по заражению, картографированию и автономной работе даже в тех сетях, которые для безопасности физически отделены от Интернета «воздушным зазором» (air gap).

Помимо множества установленных соответствий в кодах уже известных программ спецслужб вроде Stuxnet и Flame, с одной стороны, и программ Equation Group — с другой, есть тут еще один очень важный момент – программно-аппаратный. Разработчики этой супер-группы обладают таким инженерным опытом и арсеналом средств, который возможен лишь для организации, щедро финансируемой богатейшим государством планеты.

Из сверхсекретного каталога знаменитого хакерского подразделения АНБ под названием TAO (Tailored Access Operations), средь общего шума слитого кем-то в массы на волне разоблачений от Эдварда Сноудена, теоретически уже было известно о внушительном множестве прошивок, которыми шпионы перепрограммируют компьютерные чипы для заражения оборудования на особо глубоком уровне. Ну а аналитики Kaspersky Lab обнаружили эти вещи непосредственно на практике. Сильно поразившись, надо сказать, открывшимся им вещам.

В отчете об Equation Group, в частности, кратко описана одна из «вредоносных платформ» или особая плагин-подсистема, которая перезаписывает в зараженных компьютерах прошивку микросхем-контроллеров жесткого диска. В своей наиболее свежей – четвертой – на тот период версии плагин работал с 12 разными категориями накопителей разных изготовителей, включая Western Digital, Maxtor, Samsung, IBM, Micron, Toshiba и Seagate.

Нравится15
Комментарии (5)
  • 1
    Уу, захватывающее чтиво. Люблю, когда хитрожопых обставляют ещё более хитрожопые, причем вредя первым, а не просто смеясь над ними.
  • 3
    Сколько пудры... Сахарной пудры!
    В общем - я лично давно догадывался о подобном. Особенно такие мысли о наличии шпионской прошивки приходили во время мониторинга ресурсов использования оборудования... Например - мой жесткий диск издавал звуки характерные тем, что мы слышим при чтении, потом записи, потом удалении ( все эти звуки разные, можете поэкспериментировать сами ), в тот момент, когда на графиках мониторинга - ничего не было... Т.е. мало того, что подобная штука есть почти во всех Сигейтах и Вестерн Диджиталах, так и ещё она способна отличить, мол есть ли мониторинг, или нет, и конкретно свои потоки помечает как неактивные... И лишь одна самописная программа одного товарища - показала наличие "незарегистрированных" действий активной головки диска., ну мол напряжение есть, движение есть, процессы есть.
    Забавно вот что - в своё время я изучал воздействие "чистого" жесткого диска на производительность системы, особенно в играх... И вот пытался устранить все факторы, что могут привести к просадкам и фризам... А наткнулся на такое.
    Статья - не вброс, а реальный описанный факт.

    К слову, о моих исследованиях:
    1. Суммарное Свободное место на диске должно превышать отметку в 20%
    2. Свободное место на разделе должно превышать отметку 15%
    3. Свободное пространство должно быть очищено методом Гутмана (35 проходов), эт оумеет делать CCleaner
    4. Необходимо проводить Дефрагментацию и "оптимизацию" (упорядочивание) файлов раз в месяц, не более ( более не требуется ).
    5. Упорядочивание файлов нужно продумывать таким образом, чтобы первыми шли файлы системы... Т.е. использовать "оптимизаторы для игр", которые дефрагментируют и оптимизируют конкретную папку для игры - нужно только в том случае, если Операционка установлена на совершенно другой физический Диск, иначе же это загубит систему.
    6. Размер кластера имеет большую роль. Если правильно помню, то Большие кластеры - для больших файлов. Старайтесь изучать файловую структуру игры, если она "собрана" из больших кусков "однородных" файлов \ зашифрованных архивов, тогда для того тома, где лежит игра - нужно выделять кластеры побольше.
    7. Даже на современных системах - требуется закрывать все лишние процессы \ программы. Особенно это касается тех, кто использует торренты.

    Суммарный прирост к скорости отработки диска - может превышать отметку 100%...
    С учетом того, что простые действия с файлами состоят из 4-х и более манипуляций на уровне системы - то можно ускорить эти процессы, множитель ускорения будет равен количеству "отсеченных" манипуляций... например в 3 раза.
  • 4
    fomir написал:
    3. Свободное пространство должно быть очищено методом Гутмана (35 проходов), эт оумеет делать CCleaner

    Дальше читать не стал... Дети антивирусов и CCLeaner'ов видимо никогда не перестанут верить в "чудотворность" сих программ...
  • 1
    можно фильм снимать, сценарий уже готов.
  • 0
    Да что там эта АНБ. Даже геймнет вообще в Black Desert Online биткоины майнят...
B
i
u
Спойлер