Архив рубрики: Кибероружие

Russian Military Spy Software is on Hundreds of Thousands of Home Routers

In May, the Justice Department told Americans to reboot their routers. But there’s more to do — and NSA says it’s up to device makers and the public.

LAS VEGAS — The Russian military is inside hundreds of thousands of routers owned by Americans and others around the world, a top U.S. cybersecurity official said on Friday. The presence of Russian malware on the routers, first revealed in May, could enable the Kremlin to steal individuals’ data or enlist their devices in a massive attack intended to disrupt global economic activity or target institutions.

On May 27, Justice Department officials asked Americans to reboot their routers to stop the attack. Afterwards, the world largely forgot about it. That’s a mistake, said Rob Joyce, senior advisor to the director of the National Security Agency and the former White House cybersecurity coordinator.

“The Russian malware is still there,” said Joyce.

On May 8, cybersecurity company Talos observed a spike in mostly Ukrainian victims of a new malware attack. Dubbed VPNFilter, the malware used code similar to the BlackEnergy tool that Russian forces have used (in modified form) to attack Ukrainian infrastructure. The U.S. intelligence community believes the culprits are the hackers known as APT 28 or Fancy Bear, Russian military operatives who were behind information attacks against the Democratic National Committee, State Department, and others. The new malware, if activated, could allow the Russian military to peer into the online activities of hundreds of thousands of people.

“The Cisco-Talos reports on the incident estimated hundreds of thousands of devices affected worldwide,” Joyce said.

Specifically, the May 23 report said, at least 500,000 victims in up to 54 countries.

The malware executes in three stages, according to the Talos report. The first stage is akin to a tick burrowing into a victim’s skin, to “dig in” with its teeth by changing the infected devices’ non-volatile persistent memory, the portion of the memory that persists even after the machine is turned off. During this phase, the malware also establishes links to any servers it finds.

Stages two and three are about receiving and executing the orders. These could include: stealing traffic data from the victim (via port 80), launching “man in the middle” attacks, using the router as a platform to attack other computers as part of a botnet, or overwriting the memory on the router to render it unusable.

The U.S. government effort to stop the attack “was effective at knocking down their command and control. But — and this is a ‘but’ we haven’t seen talked about that much — there was a persistent ‘stage one’ on all of those routers,” said Joyce. “If it was at a stage-two or stage-three implant, it knocked it back to one, which was power- and reboot-persistent. At that point, we couldn’t call back out via those two methods to re-establish command and control,” he told the crowd.

Bottom line: “It’s still on those routers and if you know the wake-up knock you can go in, control those routers, and put a stage two or three back on them… What do you think the odds are that the actors in Russia who put those down have the addresses of the places where the put the malware? I think it’s pretty high,” he said.

What’s needed now, Joyce said, is for government, industry, and cybersecurity professionals to find a way to straightforwardly tell individuals how to detect the presence of the malware on their routers and then to restore the device to its trustworthy state. The government won’t be able to do that for them “because, again, these are consumer devices…That’s the sort of thing we’re up against.”

Joyce served as the head of the NSA’s elite tailored access operations division. In effect, he was the official who presided over the NSA’s most sophisticated hacking research before joining the White House as cybersecurity coordinator. In April, the White House announced that Joyce would leave that job to return to the NSA, where he currently serves as an advisor to the director, Army Gen. Paul Nakasone, who also heads the military’s U.S.Cyber Command.

He used the majority of his Friday talk at DEFCON to focus on China, Russia, Iran, and North Korea and their malicious behavior online.

Like other cybersecurity professionals, he said that North Korea’s malicious targeting of financial institutions, particularly South Korean e-currency exchanges, was likely to continue. He also said that he expected to see probing of newly deployed missile defense radars and batteries in the region, such as Terminal High Altitude Area Defense, or THAAD, in South Korea.

Iranian hackers also pose a threat, Joyce said, saying that the demise of the Iran nuclear deal hinted at more attacks to come.

“When bilateral relations between Iran and Saudi Arabia decreased, we think that was a major factor in that January 2017 data deletion attacks in Saudi,” he said, referring to an incident where Iran state-backed hackers attacked 15 Saudi government and media targets with malware that was strikingly similar to the 2012 ‘Shamoon’ malware that Iran deployed against Saudi oil interests. “As we move to a point where the U.S. has just re-imposed sanctions on Iran, there’s a lot of focus on, ‘How are they going to respond?’”


США ищут разработчиков летального кибероружия

Армия США будет использовать «логические бомбы» в наступательных целях.

Как передает издание Nextgov, Министерство обороны США ищет подрядчика на изготовление так называемых «логических бомб» — средств кибервооружения наступательного характера, которые позволят разрушать объекты вражеской инфраструктуры с помощью компьютерных сетей. Ведомство не исключает того, что в результате операций с применением нового оружия могут возникнуть жертвы среди гражданских.

«Логические бомбы» представляют собой компьютерные программы, которые смогут разрушать инфраструктуру противника, приводя к ее самоуничтожению. Такое ПО будет использоваться вместо бомбардировок разрывными снарядами. Согласно доктрине Пентагона, армия США сможет в том числе «вызывать катастрофы на атомных станциях, открывать плотины для затопления населенных пунктов, отключать диспетчерское оборудование с целью вызова авиакатастроф».

Военные не исключают того, что в результате операций с применением «логических бомб» могут быть жертвы среди гражданских лиц. Тем не менее, в Пентагоне считают такой побочный эффект допустимым, если без него выполнить военную операцию будет невозможно.

Эксперты опасаются, что «логические бомбы» могут привести к катастрофическим последствиям. Как отметил генерал-майор в отставке Чарльз Данлэп (Charles Dunlap), если разработчики такого ПО не внедрили в него функцию самореализации, «логические бомбы» смогут после уничтожения объекта военной инфраструктуры проникнуть в гражданские системы. Это приведет к неизбежным жертвам среди населения, поскольку военная инфраструктура использует ту же сеть, что и гражданская.

Кибервойска США были созданы в 2009 году. По данным Минобороны, главной задачей киберподразделений была защита от хакерских атак на объекты военной инфраструктуры. Тем не менее, в 2014 году члены НАТО заявили, что любая крупномасштабная кибератака на одного из участников альянса будет расцениваться как акт военной агрессии против всего блока.

Китай использует новое кибероружие для DDoS-атак на зарубежные сайты

Злоумышленники применили «Большую пушку» для DDoS-атаки на сайт GitHub и серверы, используемые GreatFire.org.

Согласно докладу междисциплинарной лаборатории GreatFire.org Университета Торонто, Китай начал использовать наступательное кибероружие под названием «Большая пушка» (Great Cannon) для DDoS-атак на зарубежные сайты.

По мнению исследователей лаборатории, «Большая пушка» может применяться для широкого спектра задач — от рассылки компьютерных вирусов конкретным людям до перехвата электронных сообщений. Основным предназначением кибуроружия считается перенаправление большого количества интернет-трафика на определенный сайт для нарушения его работы.

Эксперты полагают, что злоумышленники использовали «Большую пушку» во время недавних кибератак на сайт GitHub и серверы, используемые GreatFire.org. Вредоносный трафик, призванный нарушить работу web-сайта, исходил от китайского поискового движка Baidu и был нацелен на две страницы, посвященные обходу средств цензуры в КНР.

ИБ-специалисты считают, что кибернападение на GitHub стало результатом перенаправления трафика пользователей за пределами КНР, которые делали запросы в крупнейшем китайском поисковике Baidu. Представители Baidu в свою очередь заявили, что компания не причастна к кибератаке.

Исследователи также обнаружили связь между «Большой пушкой» и китайской системой фильтрации контента «Золотой щит» и выявили сходство в исходном коде этих систем. ИБ-эксперты полагают, что оба инструмента используются одними и теми же структурами.

Согласно докладу, АНБ США и ЦПС Великобритании также используют системы, аналогичные «Большой пушке» для сбора информации.

Stuxnet добрался до российской АЭС

Интересное продолжение получила история об американо-израильском кибероружии Stuxnet, которое применялось против иранской ядерной программы, а за ходом операции «Олимпийские игры» следил лично президент США.

Stuxnet предполагалось внедрить на компьютеры иранских заводов по обогащению урана. Код программы помогал нарушить штатный режим работы центрифуг Siemens P-1, так что со временем центрифуги выходили из строя по «непонятным» причинам.

Программа успешно выполнила поставленную задачу. Но проблема в том, что на определенном этапе Stuxnet вышел из под контроля и начал распространяться в интернете, угрожая другим целям, кроме иранских. Пулитцеровский лауреат Дэвид Сангер в своей книге «Confront and Conceal» говорит, что ошибка была во второй версии программы, которую независимо от американцев написали израильские коллеги.

Новые подробности о последствиях операции «Олимпийские игры» сообщил российский эксперт Евгений Касперский. Во время пресс-конференции в Австралии он сказал, что его друг, который работает на одной из АЭС, обнаружил вирус Stuxnet в локальной сети предприятия, не подключенной к интернету (см. после 27-й минуты на видео).

«Все, что вы делаете, является бумерангом, — сказал Евгений Касперский. — Оно возвращается к вам обратно. Это киберпространство. В нем нет границ, и на многих предприятиях работают одинаковые системы».

Известно, что Stuxnet заразил компьютеры на нескольких предприятиях, в том числе в США, но впервые стало известно о заражении атомной электростанции за пределами Ирана.

Более того, Касперский не остановился на этом. Он сказал, что «российские космические парни», с которыми он тоже знаком, сообщили о «периодическом заражении» компьютеров Международной космической станции по мере того, как новые космонавты прибывают на станцию со своими флэшками.


ВВС США приняли шесть новых киберинструментов в качестве оружия

Новые средства позволят улучшить конкурентоспособность программ, ограниченных финансированием Пентагона.

Шесть киберинструментов были определены как средства оружия ВВССША,благодаря чему у страны появится возможность улучшить конкурентоспособность программ с ограниченным финансированием со стороны Пентагона.

Лейтенант-генерал Джон Хайтен (John Hyten), вице-командир Командования военно-космических сил ВВССША,заявил во время конференции, посвященной киберпространству и проведенной совместно с Национальным космическим симпозиумом, чтоданныесредства повысят качество военных операций по борьбе с атаками, осуществляемыми из сетиИнтернет.

Хайтен, который давно вел подготовку и разработку проектов по интеграции киберопераций с физическими видами оружия, не сообщил подробности нововведенного кибероружия.

На текущий момент известно, что ВВС США планирует на 20% увеличить мощность имеющегося кибероружия. Одним из средств повышения качества является добавление в штат 1,2 тыс. ИБ-экспертов к имеющимся 6 тыс. сотрудникам ведомства.

«Необходимо сделать все в кратчайшие сроки. Нет времени на ожидание. Если мы будем временить, угроза станет неотвратимой», — заявил лейтенант-генерал.

Несмотря на то, что Хайтен не раскрыл подробности проекта, ИБ-эксперты со всего мира считают, что одним из средств является ботнет Stuxnet, использованный для осуществления атаки в 2010 году на объекты, занимающиеся разработкой урана в Иране.