Новое исследование Лаборатории Касперского посвящено...спецслужбам

На конференции Security Analist Summit, которая проводилась 3 апреля исследователи "лаборатории Касперского" предоставили отчет, в котором они показали результаты своей работы. Они провели большой труд совместно с King’s College London и профессором Томасом Ридом. По их мнению это исследование посвящённое одной из первых хакерских атак классификации "кибершпионаж", именованная Moonlight Maze "Лунный свет", и проводилась Российскими спецслужбами в 1998 году.

В 1998 году ФБР и Министерство обороны США взялись расследовать взломы в сетях правительственных и военных организаций страны, а также в ряде университетов и исследовательских институтов. Общественность узнала об атаках Moonlight Maze только год спустя – в 1999-м, однако детали расследования на тот момент так и остались засекречены.

Расследуя подробности атак Moonlight Maze, от которых пострадали Пентагон, NASA и Министерство энергетики США.

Исследователи проделали огромный объем работы инашли ряд образцов вредоносного ПО и другие артефакты 20-летней давности. В их распоряжении оказался компьютер и его логи, он исполнял роль сервера для одного из взломанных хакерами web-сайтов. Исследователи были удивлены, когда оказалось что владелец одного из взломанных в ходе операции по кибершпионажу компьютера некий Дэвид Хеджес сохранил тот самый компьютер модели Hewlett-Packard 9000, а так же его логи, которые он положил на сохранение в сейф. По словам Дэвида он знал что рано или поздно эта информация станет ценной и она понадобится, но насколько было его удивление когда через 20 лет исследователи стали внимательно изучать операцию "Лунный свет".

"Я всегда знал, что когда-нибудь это будет интересно, по этому я положил диск с данными в сейф и забыл о нем, пока мне не позвонил Томас".

Как рассказал Томас Хеджес в 1998 году с ним связался Скотланд-Ярд, и сообщил что его компьютер, как и десятки других подвергся хакерской атаке и взломан, по соображениям безопасности сотрудник Скотланд-Ярда попросил не предпринимать никаких самостоятельных действий, и на протяжении полугода агенты вели наблюдение за кибершпионами.

Таким образом у профессора Томаса Рида оказались данные об операции "Лунный свет", и деятельности хакеров на протяжении 6 месяцев.

В ходе кибер атаки "Лунный свет" хакерами были похищены данные десятков Правительственных и Военных ведомств США. Ученые обнаружили образец "вредоносного кода", который использовали кибершпионы. Современная модификация кода используется и в наше время российскими хакерами из группировки Turla. Эта группировка подозревается в связях с Российским Правительством. Как считают исследователи костяк этой группировки остался еще с 90-х годов, тем самым говоря, что операция "Лунный свет" является самой продолжительной за всю историю кибершпионажа.

Как сказал Томас Рид:

"Мы наблюдаем эволюцию используемых методов. Русские хакеры занимаются этим уже 20 лет, а то и больше".

Исследователи выяснили что в ходе атаки "Лунный свет" кибершпионы использовали Linux-троян Loki2 для похищения данных с компьютеров. Журнал Phrack в 1996 году в своей статье впервые упомянул этот код, который приобрёл большую популярность. Модифицированная версия этого кода была использована хакерами группировкой Turla в ходе атаки на швейцарскую технологическую компанию RUAG в 2014 году.

Эксперт Хуан Андрес Герреро-Шаде отметил, "Этот бэкдор существует уже два десятилетия и до сих пор применяется в атаках. Когда им (ред. – хакерам) необходимо скрыть свои действия на Linux- или Unix-машинах, они сдувают пыль с этого кода и снова используют»

Специалисты так же отметили, что они вовсе не утверждают что стоящие за атакой "Лунный свет" хакеры и группировка Turla – одно и то же. Но так как для взлома использовался Linux-троян Loki2, это является первой зацепкой, которая их связывает. Так же Томас Рид отметил, что по его мнению операция "Лунный свет" продолжается по сей день, однако за это время хакеры усовершенствовали ее. Еще по словам Рида если операция "Лунный свет" и хакеры группировки Turla связаны между собой, то получается, что атака является самой продолжительной из всех проводимых на данный момент. Ее можно сравнить только если с Equation Group, связываемой с Агентством национальной безопасности США.

Если связь между группами Moonlight Maze и Turla удастся доказать, то окажется, что последняя – почти такой же долгожитель, как и нашумевшая группа Equation, чью активность удалось отследить до 1996 года.

В 90-х годах никто не мог предположить насколько хорошо подготовленными и продолжительными могут быть атаки по кибершпионажу.

Сотрудники "лаборатории Касперского" говорят, что наша общая задача на сегодняшний день понять - каким образом атакующие успешно применяют старый код, особенно это важно нам, параноикам, ведь вполне вероятно благодаря ему можно ломануть наш любимый Tails и толку будет ноль с нашего Tor браузера.