Могущественные хакеры из Рязани 25 лет крали секретные документы США
Содержание
ToggleПочему в Америке уверены, что за ними стоит ФСБ?
Фото: Frame Stock Footage / Shutterstock / Fotodom
В 1998 году обычный IT-специалист из небольшой американской компании по производству специализированных материалов ATI-Corp, проверяя активность внутренней сети, наткнулся на нечто странное. Он обратил внимание на то, что каждое воскресенье ровно в три часа ночи кто-то выполнял подключение с офисных компьютеров к сети авиабазы Райт-Паттерсон, на которой размещена штаб-квартира Главного командования ВВС США. Немного поразмыслив, сотрудник компании, имя которого до сих пор засекречено, позвонил в несколько ведомств, занимающихся информационной безопасностью страны.
507 метров составила бы высота стопки распечатанных секретных документов, украденных с 1996 по 1999 год в США
В «Лаборатории Касперского», аналитики которой в середине 2010-х внесли огромный вклад в расследование еще засекреченного дела, размах шпионажа называют монументальным. В частности, удалось выяснить, что хакеры заражали в основном сети университетов и небольших компаний внутри США. Это было нужно для того, чтобы трафик на этом этапе оставался внутри страны и не выглядел подозрительным для самих военных и госслужащих. Но в обратную сторону данные шли через единый прокси-сервер в Лондоне. И здесь была допущена единственная ошибка создателей вируса: один из входящих каналов связи с этим сервером вел в Москву. В публикациях того времени упоминалось, что кто-то из хакеров использовал соединение через модем с российским телефонным номером, другие источники указывали точкой подключения к прокси-серверу в ВеликобританииРоссийскую академию наук.
В 2023 году, спустя 25 лет после создания комиссии по делу Moonlight Maze, Министерство юстиции США объявило о завершении операции под кодовым названием «Медуза». Сотрудники ФБР по санкции суда Нью-Йорка получили физический доступ к компьютерам в разных регионах страны, каждый из которых был заражен вредоносным программным обеспечением под названием Snake. «Министерство юстиции совместно с нашими международными партнерами ликвидировало глобальную сеть зараженных вредоносным ПО компьютеров, которые российское правительство использовало в течение почти двух десятилетий для ведения кибершпионажа, в том числе против наших союзников по НАТО», — безапелляционно заявил генеральный прокурор США Меррик Б. Гарланд».
Операциями с вредоносными программами Snake управляет известное подразделение Центра 16 ФСБ России. Правительство США наблюдало за офицерами ФСБ, проводившими ежедневные операции с использованием Snake из учреждения ФСБ в Рязани. Отмечалось увеличение активности Snake в часы работы этого учреждения — примерно с 7:00 до 20:00 по московскому времени
Тейлор Форри специальный агент ФБР
И хотя американские спецслужбы утверждают, что они следили за Snake в течение 20 лет, в публичном поле о Turla заговорили лишь в середине 2010-х. Тогда в американских СМИ писали, что хакеры (которых сразу же связали с российскими спецслужбами), конечно, не прочь заполучить секретные документы из США, но куда больший интерес для них представляют правительства и вооруженные структуры других государств.
На тот момент появилась еще одна улика, косвенно указывающая на связь хакеров с Россией. После исследования кода использованного вируса обнаружилось, что в нем встречались строчки на русском языке. Также у некоторых разработчиков были ники, написанные кириллицей
По словам исследователей, если вирус заражал одно устройство в компании, к концу дня его можно было найти уже на 40 компьютерах. Он использовал преимущественно уязвимости нулевого дня — такие бреши в защите программного обеспечения и серверов, о которых не знали даже их разработчики. Как выяснилось позже, во время заражения вирус стремился сделать так, чтобы оставить возможность для восстановления на тот случай, если его удалят. Кроме того, исполнение хакерского кода начиналось еще до запуска операционной системы. В те годы такие вирусы считались крайне сложными, а стандартные антивирусные программы их не замечали. При этом к распространению вируса хакеры подходили творчески. В одной серии атак они рассылали поддельные электронные письма от имени военного атташе посольства одной из стран Ближнего Востока: во вложении, которое было замаскировано под протоколы встреч, на самом деле оказывался Uroburos. Сегодня такая схема стала обычной практикой промышляющих фишингом киберпреступников, но в первой половине 2010-х методы Turla оказались революционными.
Turla распространяла вирусы через флешки и заражала спутники
Спустя десять лет после Moonlight Maze и за шесть лет до обнародования факта существования Turla хакеры снова поставилиМинистерство обороны США в тупик. Тогда выяснилось, что неизвестным вирусом заражена засекреченная сеть Центрального командования Министерства обороны США. Загвоздка состояла в том, что эта сеть была изолирована от внешнего мира и никогда не подключалась к интернету. Тем не менее киберпреступникам удалось проникнуть в нее и на протяжении неизвестного периода времени наблюдать за происходящим. Сам факт этой атаки Пентагон подтвердил лишь спустя два года.
В число основных жертв этой методики попали неустановленные люди из стран Ближнего Востока и Африки: Афганистана, Ливана, Конго, Ливии, Нигера, Нигерии, Сомали и Замбии. Эксперты по информационной безопасности назвали эту схему блестящей и утонченной, а стоимость ее реализации составляла всего тысячу долларов в год
Последняя крупная акция, которую приписывают Turla, также вызвала восторг у независимых наблюдателей. По данным ИБ-компании Mandiant, хакеры обратились к наработкам своих коллег — разработчиков банковского трояна Andromeda. Те в начале 2010-х собрали из зараженных устройств целый ботнет — систему из многих устройств, которые можно использовать для DDoS-атак или дальнейшего заражения, при том что их владельцы даже не подозревают о существовании проблемы. Киберпреступники из Turla перехватили контроль над доменами, использовавшимися создателями Andromeda, а потом получили контроль над всей сетью инфицированных устройств. После этого банковский вирус начал устанавливать на них ПО, которое до этого в своих атаках применяла Turla. Таким образом хакеры смогли просмотреть все компьютеры гигантского ботнета, проверив, есть ли на них что-либо, представляющее интерес. Что любопытно, значительное количество проверенных с помощью этого способа устройств имели украинские IP-адреса.
***
Несмотря на то что исследователям доступны многие данные о Turla, количество публикаций об этой группировке в мире остается незначительным — особенно с учетом масштабов ее деятельности. Это можно связать как с тем, что часть информации остается засекреченной, так и с тем, что хакеры из Turla крайне гибко реагируют на усилия западных спецслужб. Созданные ими вирусы постоянно эволюционируют, а о самых крупных атаках становится известно лишь спустя годы после их начала.
Источник: