Компания Eset, один из крупнейших разработчиков программного обеспечения в сфере информационной безопасности, выпустила подробный экспертный (и в тоже же время очень понятный) доклад о деятельности хакерской группировки Sednit (она же Fancy Bear), стоявшей за нашумевшими взломами DNC и рядом других.
Вот тут лежит текст доклада:[censored]
В 40-страничном докладе рассказывается о инструментах и методах взлома, которые применялись Fancy Bear на протяжении последних двух лет; много деталей, интересных для специалистов. В целом, с одной стороны, ничего такого особенного в арсенале Fancy Bear нет — а с другой стороны в докладе показано, что ресурсов у группировки было очень много. Например, на протяжении двух последних лет они применили сразу шесть «уязвимостей нулевого дня» — таких, о которых не знают сами разработчики (и поэтому имеют 0 дней чтобы защититься, выпустить обновление): эти уязвимости очень редки, их очень сложно находить и они дорого стоят, зато с их помощью можно взламывать сразу большое количество компьютеров (все, на которых стоит определенное программное обеспечение). В докладе Eset подробно разобраны все основные методы атак Fancy Bear, показано, что хакеры специально для своих целей разработали целый набор специализированных инструментов, облегчающих подготовку и проведение атак и так далее.
Один аспект доклада чрезвычайно интересен всем нам, потому что является, как мне кажется, самым лучшим из пока опубликованных доказательств того, кто стоит за Fancy Bear (стр. 11 доклада Eset).
Одним из основных методов атаки, который применяли хакеры, была рассылка фишинговых писем — жертве приходит сообщений в духе «С вашим аккаунтом Google проблемы, нажмите здесь, чтобы получить больше информации», жертва нажимает, попадает на страничку, которая выглядит ровно как форма логина Google, вводит свои логин и пароль... и попадает в свой Google-аккаунт. Жертва даже не подозревает, при этом, о том, что форма логина была не на сервере Google, а на сервере хакеров, и ее логин и пароль достались Fancy Bear.
Так вот, поскольку хакеры запускали свои атаки по очень широкому фронту, они, естественно, не вручную обрабатывали данные, по ошибке слитые жертвами; каждая жертва получала уникальную ссылку для входа на фейковую Google-страницу, уникальность была обеспечена тем, что в ссылку зашивался email жертвы. Таким образом, хакеры сразу понимали, какое фишинговое письмо принесло успех, пароль от какого аккаунта они получили.
В письме, которая получала жертва, ссылка выглядела, конечно, совсем не подозрительно — а как обычная ссылка. Для этого хакеры пропускали ее через один из самых популярных сервисов генерации коротких ссылок — Bit.Ly.
Так вот (подхожу к сути) — один из аккаунтов на Bit.Ly, которым пользовались хакеры, по ошибке был не закрытым, а публичным. (Тут можно было бы сказать о сапожниках без сапог, но при огромных объемах операций Fancy Bear это не выглядит непростительной оплошностью).
Специалисты Eset получили список всех адресов, на которые велась рассылка фишинговых писем с использованием данного аккаунта Bit.Ly — это более 4400 писем, отправленных с марта по сентябрь 2015 года. Некоторые адреса подвергались атаке не один и не два раза; всего в списке было 1888 разных адресов электронной почты.
В докладе Eset подчеркивается, что речь только об одном Bit.Ly-аккаунте, нет никаких оснований считать, что он был единственным (скорее наоборот). Но вот конкретно с использованием этого аккаунта фишинговые письма рассылались:
— в посольства ряда стран (самых разных, от Джибути до Узбекистана)
— в министерства обороны ряда стран (Аргентины, Бангладеш, Южной Кореи, Турции, Украины)
— в чеченские общественные организации
— журналистам стран Восточной Европы
— политикам и руководителям силовых ведомств Украины
— сотрудникам различных организаций при НАТО
— ученым, посещающим российские университеты
— членам партии Парнас
— сотрудникам российской группы «Шалтай-Болтай» («Анонимный Интернационал»)
— некоторым российским оппозиционным политикам.
При этом утверждается, что все политики, журналисты и общественники, которых удалось идентифицировать как потенциальных жертв хакеров, имеют нечто общее — определенные взгляды на конфликт на востоке Украины.
Обратите внимание: список выше — это не выборка, это в точности полный список целей Fancy Bear в соответствии с докладом Eset.
Выглядит странно, не правда ли?
С одной стороны — посольства и министерства обороны: широким кругом, совершенно бессистемно, так, что кажется будто бы атакующим вообще не важно, кто клюнет; любой улов фишинга — хорош. С другой стороны — очень конкретный (типа «члены партии Парнас») выбор целей внутри России, явно со знанием дела и политической обстановки.
Короче говоря, попытайтесь представить атакующего, которому мог бы быть интересен такой круг целей, как описан в докладе Eset, и вы увидите, что версия о том, что заказчиком Fancy Bear являются российские власти (и, возможно, более специфично — ГРУ) кажется вам все более и более достоверной.
При этом утверждается, что все политики, журналисты и общественники, которых удалось идентифицировать как потенциальных жертв хакеров, имеют нечто общее - они были сказочными долбоёбами и не пользовались ESET.
> Короче говоря, попытайтесь представить атакующего, которому мог бы быть интересен такой круг целей, как описан в докладе Eset, и вы увидите, что версия о том, что заказчиком Fancy Bear являются российские власти (и, возможно, более специфично — ГРУ) кажется вам все более и более достоверной.
Короче говоря, попытайтесь представить руководство, которое не использует разведку для получения информации в интересах своей страны.
Сейчас, сейчас
Вот тут лежит текст доклада:[censored]
В 40-страничном докладе рассказывается о инструментах и методах взлома, которые применялись Fancy Bear на протяжении последних двух лет; много деталей, интересных для специалистов. В целом, с одной стороны, ничего такого особенного в арсенале Fancy Bear нет — а с другой стороны в докладе показано, что ресурсов у группировки было очень много. Например, на протяжении двух последних лет они применили сразу шесть «уязвимостей нулевого дня» — таких, о которых не знают сами разработчики (и поэтому имеют 0 дней чтобы защититься, выпустить обновление): эти уязвимости очень редки, их очень сложно находить и они дорого стоят, зато с их помощью можно взламывать сразу большое количество компьютеров (все, на которых стоит определенное программное обеспечение). В докладе Eset подробно разобраны все основные методы атак Fancy Bear, показано, что хакеры специально для своих целей разработали целый набор специализированных инструментов, облегчающих подготовку и проведение атак и так далее.
Один аспект доклада чрезвычайно интересен всем нам, потому что является, как мне кажется, самым лучшим из пока опубликованных доказательств того, кто стоит за Fancy Bear (стр. 11 доклада Eset).
Одним из основных методов атаки, который применяли хакеры, была рассылка фишинговых писем — жертве приходит сообщений в духе «С вашим аккаунтом Google проблемы, нажмите здесь, чтобы получить больше информации», жертва нажимает, попадает на страничку, которая выглядит ровно как форма логина Google, вводит свои логин и пароль... и попадает в свой Google-аккаунт. Жертва даже не подозревает, при этом, о том, что форма логина была не на сервере Google, а на сервере хакеров, и ее логин и пароль достались Fancy Bear.
Так вот, поскольку хакеры запускали свои атаки по очень широкому фронту, они, естественно, не вручную обрабатывали данные, по ошибке слитые жертвами; каждая жертва получала уникальную ссылку для входа на фейковую Google-страницу, уникальность была обеспечена тем, что в ссылку зашивался email жертвы. Таким образом, хакеры сразу понимали, какое фишинговое письмо принесло успех, пароль от какого аккаунта они получили.
В письме, которая получала жертва, ссылка выглядела, конечно, совсем не подозрительно — а как обычная ссылка. Для этого хакеры пропускали ее через один из самых популярных сервисов генерации коротких ссылок — Bit.Ly.
Так вот (подхожу к сути) — один из аккаунтов на Bit.Ly, которым пользовались хакеры, по ошибке был не закрытым, а публичным. (Тут можно было бы сказать о сапожниках без сапог, но при огромных объемах операций Fancy Bear это не выглядит непростительной оплошностью).
Специалисты Eset получили список всех адресов, на которые велась рассылка фишинговых писем с использованием данного аккаунта Bit.Ly — это более 4400 писем, отправленных с марта по сентябрь 2015 года. Некоторые адреса подвергались атаке не один и не два раза; всего в списке было 1888 разных адресов электронной почты.
В докладе Eset подчеркивается, что речь только об одном Bit.Ly-аккаунте, нет никаких оснований считать, что он был единственным (скорее наоборот). Но вот конкретно с использованием этого аккаунта фишинговые письма рассылались:
— в посольства ряда стран (самых разных, от Джибути до Узбекистана)
— в министерства обороны ряда стран (Аргентины, Бангладеш, Южной Кореи, Турции, Украины)
— в чеченские общественные организации
— журналистам стран Восточной Европы
— политикам и руководителям силовых ведомств Украины
— сотрудникам различных организаций при НАТО
— ученым, посещающим российские университеты
— членам партии Парнас
— сотрудникам российской группы «Шалтай-Болтай» («Анонимный Интернационал»)
— некоторым российским оппозиционным политикам.
При этом утверждается, что все политики, журналисты и общественники, которых удалось идентифицировать как потенциальных жертв хакеров, имеют нечто общее — определенные взгляды на конфликт на востоке Украины.
Обратите внимание: список выше — это не выборка, это в точности полный список целей Fancy Bear в соответствии с докладом Eset.
Выглядит странно, не правда ли?
С одной стороны — посольства и министерства обороны: широким кругом, совершенно бессистемно, так, что кажется будто бы атакующим вообще не важно, кто клюнет; любой улов фишинга — хорош. С другой стороны — очень конкретный (типа «члены партии Парнас») выбор целей внутри России, явно со знанием дела и политической обстановки.
Короче говоря, попытайтесь представить атакующего, которому мог бы быть интересен такой круг целей, как описан в докладе Eset, и вы увидите, что версия о том, что заказчиком Fancy Bear являются российские власти (и, возможно, более специфично — ГРУ) кажется вам все более и более достоверной.