Архив метки: USA

Russian Military Spy Software is on Hundreds of Thousands of Home Routers

In May, the Justice Department told Americans to reboot their routers. But there’s more to do — and NSA says it’s up to device makers and the public.

LAS VEGAS — The Russian military is inside hundreds of thousands of routers owned by Americans and others around the world, a top U.S. cybersecurity official said on Friday. The presence of Russian malware on the routers, first revealed in May, could enable the Kremlin to steal individuals’ data or enlist their devices in a massive attack intended to disrupt global economic activity or target institutions.

On May 27, Justice Department officials asked Americans to reboot their routers to stop the attack. Afterwards, the world largely forgot about it. That’s a mistake, said Rob Joyce, senior advisor to the director of the National Security Agency and the former White House cybersecurity coordinator.

“The Russian malware is still there,” said Joyce.

On May 8, cybersecurity company Talos observed a spike in mostly Ukrainian victims of a new malware attack. Dubbed VPNFilter, the malware used code similar to the BlackEnergy tool that Russian forces have used (in modified form) to attack Ukrainian infrastructure. The U.S. intelligence community believes the culprits are the hackers known as APT 28 or Fancy Bear, Russian military operatives who were behind information attacks against the Democratic National Committee, State Department, and others. The new malware, if activated, could allow the Russian military to peer into the online activities of hundreds of thousands of people.

“The Cisco-Talos reports on the incident estimated hundreds of thousands of devices affected worldwide,” Joyce said.

Specifically, the May 23 report said, at least 500,000 victims in up to 54 countries.

The malware executes in three stages, according to the Talos report. The first stage is akin to a tick burrowing into a victim’s skin, to “dig in” with its teeth by changing the infected devices’ non-volatile persistent memory, the portion of the memory that persists even after the machine is turned off. During this phase, the malware also establishes links to any servers it finds.

Stages two and three are about receiving and executing the orders. These could include: stealing traffic data from the victim (via port 80), launching “man in the middle” attacks, using the router as a platform to attack other computers as part of a botnet, or overwriting the memory on the router to render it unusable.

The U.S. government effort to stop the attack “was effective at knocking down their command and control. But — and this is a ‘but’ we haven’t seen talked about that much — there was a persistent ‘stage one’ on all of those routers,” said Joyce. “If it was at a stage-two or stage-three implant, it knocked it back to one, which was power- and reboot-persistent. At that point, we couldn’t call back out via those two methods to re-establish command and control,” he told the crowd.

Bottom line: “It’s still on those routers and if you know the wake-up knock you can go in, control those routers, and put a stage two or three back on them… What do you think the odds are that the actors in Russia who put those down have the addresses of the places where the put the malware? I think it’s pretty high,” he said.

What’s needed now, Joyce said, is for government, industry, and cybersecurity professionals to find a way to straightforwardly tell individuals how to detect the presence of the malware on their routers and then to restore the device to its trustworthy state. The government won’t be able to do that for them “because, again, these are consumer devices…That’s the sort of thing we’re up against.”

Joyce served as the head of the NSA’s elite tailored access operations division. In effect, he was the official who presided over the NSA’s most sophisticated hacking research before joining the White House as cybersecurity coordinator. In April, the White House announced that Joyce would leave that job to return to the NSA, where he currently serves as an advisor to the director, Army Gen. Paul Nakasone, who also heads the military’s U.S.Cyber Command.

He used the majority of his Friday talk at DEFCON to focus on China, Russia, Iran, and North Korea and their malicious behavior online.

Like other cybersecurity professionals, he said that North Korea’s malicious targeting of financial institutions, particularly South Korean e-currency exchanges, was likely to continue. He also said that he expected to see probing of newly deployed missile defense radars and batteries in the region, such as Terminal High Altitude Area Defense, or THAAD, in South Korea.

Iranian hackers also pose a threat, Joyce said, saying that the demise of the Iran nuclear deal hinted at more attacks to come.

“When bilateral relations between Iran and Saudi Arabia decreased, we think that was a major factor in that January 2017 data deletion attacks in Saudi,” he said, referring to an incident where Iran state-backed hackers attacked 15 Saudi government and media targets with malware that was strikingly similar to the 2012 ‘Shamoon’ malware that Iran deployed against Saudi oil interests. “As we move to a point where the U.S. has just re-imposed sanctions on Iran, there’s a lot of focus on, ‘How are they going to respond?’”


Android-гаджет для обнаружения снайперов

Армия США давно применяет специальное акустическое оборудование для обнаружения снайперов по звуку от выстрела. Похожие системы вроде ShotSpotter используются в американских городах для быстрого реагирования на городскую стрельбу с вычислением координат выстрела, которые передаются патрульным машинам.

Городская полицейская система состоит из сети звуковых сенсоров. Они регистрируют точное время звука. Собрав информацию с разных сенсоров в разных точках, можно вычислить источник звука.

Группа инженеров из университета Вандербильта, получив грант от компании Google, разработала аналогичнуюсистему обнаружения источника выстрела, но на базе Android-смартфонов.

Изначально они хотели использовать только встроенные микрофоны смартфонов, но у них не получилось из-за встроенной системы шумоподавления и некоторых других технических проблем. Поэтому пришлось сделать специальный гаджет, приставку к смартфону. Гаджет небольшого размера имеет 1-4 встроенных микрофона и точно регистрирует время поступления звуковой волны. Гаджет с одним микрофоном очень маленький, а с четырьмя микрофонами чуть большего размера.

Для определения источника звука нужно шесть географически разнесённых смартфонов с сенсорами маленького размера или два смартфона с большими сенсорами на четыре микрофона в каждом.

Выстрел из огнестрельного ружья генерирует две звуковые волны. Первая распространяется сферически от места подрыва патрона. После вылета пуля двигается быстрее скорости звука, так что вторая звуковая волна имеет коническую форму. Сенсор регистрирует обе эти волны.

Результаты своего исследования специалисты из университета Вандербильта представили в научной работе “High-Accuracy Differential Tracking of Low-Cost GPS Receivers” на конференции ACM/IEEE Conference on Information Processing in Sensor Networks (IPSN) в апреле 2013 года.

США создадут резервную команду по реагированию на киберугрозы

Это решение позволит решить проблему привлечения на госслужбу квалифицированных специалистов, занятых в частном секторе.

Как сообщает информационное агентство Reuters, Министерство внутренней безопасности (Department of Homeland Security) США создает «кибер резерв» экспертов по информационной безопасности, которые могут быть привлечены в случае возможной атаки на правительственные серверы.

Эта идея позволяет США частично решить общую для всех стран планеты проблему, связанную с привлечением к сотрудничеству дорогих специалистов по кибербезопасности, уровень подготовки которых позволяет им зарабатывать в частном секторе.

«Статус кво недопустим. Мы не стоим на месте. Для кибербезопасности нужно многое сделать», — заявила Джейн Холл Лют (Jane Holl Lute), заместитель министра внутренней безопасности США.

Лют также выразила надежду на то, что в следующем году ее ведомству удастся выработать рабочую модель резерва и привлечь в него первых сотрудников, ранее ушедших с федеральной службы в частные компании. Впоследствии в состав этой команды реагирования на кибератаки могут войти также эксперты, ранее не работавшие в правительственных структурах.

Для Министерства внутренней безопасности США вопрос найма квалифицированных IT-специалистов является очень острым еще со времен его создания после терактов 11 сентября. Тогда большая часть заказов делегировалась внешним подрядчикам, с помощью которых удалось относительно быстро развернуть информационную инфраструктуру.