Рубрика «cyberwarfare»

Тема cyberwarfare (ведения «боевых» действий в киберпространстве, частью которого является сеть Интернет, но не только она) довольно продолжительное время муссируется в различных изданиях и ведомствах стран всего мира, став столь же излюбленной темой, как и концепция сетецентрических войн (network-centric warfare). В качестве ликбеза можно упомянуть, что мероприятия, проводимые в рамках Cyberwarfare, условно можно разделить на информационные и технические. Технические в свою очередь можно разбить на «наступательные» (саботаж и кибершпионаж) и «оборонительные» (выстраивание системы информационной безопасности). Тему информационных мероприятий оставим в стороне, напомнив только, что их суть заключается в том, что бы определенный круг людей (население страны, например) получал большое количество информации (как правило сфальсифицированной или «немножко» подправленной), выгодной заинтересованной стороне, и не получал по настоящему объективной информации. Проведение такого рода мероприятий давно поставлено на широкую ногу — посмотрите хотя бы на свой телевизор или новостные ролики на youtube, а потом подумайте, кто эту информацию формирует и как она на вас влияет.
Читать полностью »

На волне интереса к кибервойнам новостные сайты запестрели броскими заголовками о страшных кибератаках, не забывая упомянуть такие примеры, как кибератака на Эстонию в 2007 и Грузию в 2008. Каковы последствия этих атак, при этом почему-то умалчивается. Зато все помнят о нехорошей стране России, где злобные хакеры сидят в шапках-ушанках в заснеженных снегах Сибири и с помощью микрокалькулятора MK-54 проводят кибератаки на Пентагон в промежутках между распитием водки стаканами. Это еще один пример успешной информационной операции, только жертвы тут не Эстония и Грузия.
Эксперты в области информационной безопасности отмечают, что, в основном, весь контент, который касается ИБ, берется из зарубежных источников. То есть у нас толковых писателей раз-два и обчелся. Почитав месяц-другой новости и сравнив их с первоисточниками на английском (которые, как правило, не указываются), можно убедится, насколько искажается общий фон новости из-за незначительных изменений в угоду «сенсационности». Ну конечно, журналисты же любят броские заголовки и слова кибервойна, киберугроза и кибероружие. Не отстают от журналистов и антивирусные компании. Особенно этим отличается компания Kaspersky Lab, в статьях которой на сайте securelist.com подозрительно часто мелькают слова Иран и Ближний Восток.
Анализируя «знаковые» угрозы, можно отметить, что с 2010 года были обнаружены следующие вредоносные программы с ярлыком «кибероружие»:

  • июль 2010 — Stuxnet (VBA);
  • октябрь 2011 — Duqu (Kaspersky);
  • март 2012 — Wiper (Kaspersky обнаружил следы);
  • апрель 2012 — Flame (Kaspersky);
  • август 2012 — Gauss (Kaspersky);
  • октябрь 2012 — MiniFlame (Kaspersky).

В добавок к ним несколько образцов поменьше калибром:

  • июль 2012 — Madi (Kaspersky);
  • август 2012 — Shamoon (Kaspersky);
  • ноябрь 2012 — Narilam (Symantec).

Читать полностью »

Описание

9 июля 2010 года специалисты белорусской антивирусной компании «ВирусБлокада» обнаружили в Иране вредоносное программное обеспечение (ВПО), которому было названо Stuxnet. У антивирусных компаний нет единого мнения, когда именно Stuxnet появился, по некоторым данным, распространение происходило уже с января 2009 года. Отличительные особенности:

  • Stuxnet содержит несколько модулей, написанных с использованием нескольких сред разработки и языков программирования;
  • для обхода механизмов антивирусной защиты некоторые модули (драйверы) ВПО имели цифровую подпись, сделанную с использованием сертификатов компаний Realtek и JMicron (предположительно, украденных);
  • несколько способов распространения – посредством USB-Flash накопителей и по сети. В версии 2009 года использовался широко применяемый способ запуска через autorun.ini (который, как правило, отключают из соображений безопасности), в версии 2010 года он был заменен на более эффективный – использование уязвимости обработки ярлыков MS10-046 (zero-day на тот момент). Для распространения через сеть использовались уязвимости MS08-067 (ранее использовалась в 2009 году ВПО Kido, что привело к массовым заражениям) и MS10-061 (zero-day на тот момент);
  • для обеспечения работы производилось повышение привилегий до уровня администратора системы при помощи использования двух локальных уязвимостей (zero-day на тот момент) MS10-073 (Windows 2000 и XP) и MS10-092 (Windows Vista, включая версию x64), таким образом, было предусмотрен нормальный запуск ВПО из-под ограниченных учетных записей;
  • Stuxnet организует свою собственную peer-to-peer (P2P) сеть для синхронизации и обновления своих копий;
  • присутствует функционал, позволяющий пересылать на удаленные сервера управления информацию, найденную на компьютере;
  • необычная «полезная» нагрузка – нарушение нормальной работы системы автоматизации SIMATIC, производимой компанией Siemens, которая обычно используется в различных промышленных системах управления производственными процессами (SCADA).

Читать полностью »

Компьютерные системы нефтяной компании Saudi Aramco 15 августа 2012 года подверглись атаке, ее подробности не раскрываются. Было сообщено, что компания вернулась к нормальной работе спустя 10 дней. Министр обороны США Леон Панетта 11 октября 2012 года, выступая на конференции по кибернетической безопасности в Нью-Йорке сообщил, что компьютеры компании Saudi Aramco и Катарской компании по произодству газа RasGas были атакованы вредоностной программой Shamoon. Некоторые высокопоставленые лица США утверждают, что Shamoon имеет иранское происхождение, однако прямых доказательств этого у них нет. Правительство Ирана, в свою очеред, настаивает на проведении официального международного расследования атаки Shamoon. Акхаван Бахабади (Mahdi Akhavan Bahabadi) – секретарь Национального центра, который занимается киберпространством Ирана, подтвердил, что, по их мнению, подобного рода высказывания американцев связаны с политическими мотивами, точнее с предстоящими выборами на пост президента США.

Ответственность за атаку на Saudi Aramco взяла на себя хакерская группа «Рассекающий меч правосудия» (The Cutting Sword of Justice), мотивировав свой поступок политическими причинами, обвинив Саудовскую Аравию в организации беспорядков в Сирии и Бахрейне. По непроверенной информации, размещенной якобы инициаторами атаки на сайте pastedbin.com, в Saudi Aramco были заражены более 30.000 компьютеров.

Образцы Shamoon были детально проанализированы сотрудниками Лаборатории Касперского, первая статья вышла 21 августа. Эксперты пришли к выводу, что атака имела точечный характер, образцы не были зафиксированны в KSN (Kaspersky Security Network). ВПО содержит несколько модулей. Внутри одного из них присутствует строка:

'C:ShamoonArabianGulfwiperreleasewiper.pdb'. Основной функционал программы — деструктивный. Многие Интернет СМИ публикуют неверную информацию, что Shamoon собирает информацию и отправляет ее на удаленный сервер.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js