КАКВО СЕ СЛУЧИ?

Миналата събота неизвестната досега хакерска група Shadow Brokers заяви, че е направила пробив в друга хакерска група – Equation Group, която пък твърди, че е създала „кибероръжие“ за американските власти. Последната приложи като доказателство файл с данни, които, според експерти по киберсигурността, наистина имат отношение към Агенцията за национална сигурност на САЩ. Ключът към архива с информация беше обявен на търг с плащане в биткойни. Shadow Brokers заявиха, че ще дадат ключа на този, който предложи най-високата цена, а на останалите парите няма да бъдат връщани. „Рискувайте“, написаха хакерите в обръщението си на развален английски. Ако получат повече от 1 милион биткойна (около 500 милиона долара), те обещаха да направят част от информацията публично достояние

Към съобщението си хакерите приложиха малко объркан манифест, в който критикуват „богатите елити“.

„Елитите създават закони, за да защитят себе си и приятелите си, за да лъжат и [правят лошо] на други хора. Елитите нарушават законите, обикновените хора отиват в затвора, животът им се руши, семействата им се рушат, но не и [семействата и живота] на Елитите. А след това Елитите се борят за президентския пост. Искаме да се уверим, че богатите Елити осъзнават опасността от кибероръжията, това съобщение, нашият търг е [заплаха] за тяхното богатство и контрол. Нека се обърнем към Елитите. Вашето богатство и контрол са зависими от електронните данни. Виждате какво може да направи Equation Group.“

Щаб-квартирата на Агенцията за национална сигурност в щата Мериленд, САЩ

Излиза, че хакерите са успели да разбият създателите на известния компютърен „червей“ Stuxnet, с чиято помощ бяха заразени компютрите на ядрените съоръжения на Иран. Stuxnet е смятан за кибероръжие, създадено с участието на правителството на САЩ, а за негов автор се смята хакерският колектив Equation Group.  

КОИ СА ЕQUATION GROUP?

Не е съвсем ясно. За съществуването на хакерската група още миналата година писаха руските експерти по безопасност от Kaspersky Labs. Те установиха, че определена група от хакери е успяла да зарази компютри в най-малко 30 страни със злонамерен софтуер, чрез който е получила достъп до устройствата. Данните за масираната кампания на кибершпионаж Kaspersky Labs публикува в специален доклад.

Създаденият от Equation Group вирус прониква във фърмуера на твърдия диск. При това, дори и в случай на неговото форматиране или  преинсталиране на операционната система, злонамереният софтуер продължава да работи. Вирусът може да попадне в компютъра чрез електронната поща, чре заразени файлове в CD или чрез експлойти (софтуерни кодове или команди, създадени за проникване и атака срещу компютърни системи), намиращи се в мрежата. След такава атака компютърът вече не може да се обезопаси – може само да се изхвърли.

Трудно е да се определи дали компютърът е заразен. Като цяло това може да направи само специалист със сериозни познания в областта на кибернетичната сигурност и добре подкован в спецификацията на твърдите дискове. Само притежавайки такива дълбоки познания, може да се напише програма, която позволява точно да се определи дали даден компютър е заразен. Ако се установи, че е заразен твърдият диск, той трябва да бъде физически унищожен, а най-добре е да се избавите от целия компютър. Файловете могат да се прехвърлят към друг компютър след проверка с антивирусна програма.

Служители работят в централата на Kaspersky Labs. Компанията е специализирана в производството на антивирусен софтуер и софтуер за сигурност в интернет

Kaspersky Labs не назова директно този, който стои зад Equation Group. Въпреки това компанията подчертава в своя доклад връзката между създадената от групата шпионска програма и компютърния червей Stuxnet, разработен по поръчка на Агенцията за национална сигурност (АНС) за атаки срещу обекти на иранската ядрена програма. Бивш служител на агенцията заяви пред Ройтерс, че информацията за участие на неговия отдел в кибершпионажа е вярна. В АНС знаеха за доклада на Kaspersky Labs, но отказаха да коментират съдържанието му.

Нападателите са подхождали много внимателно към избора на своите цели. Първичното заразяване, като правило, е започвало с експлойти, които попадали в компютъра или чрез заразена страница, или чрез рекламен банер на популярен уеб сайт (подобна схема за атака е била открита от експертите на Kaspersky Labs в Близкия Изток). Например, потребителят влиза в един от ислямските форуми. Страницата на този форум съдържа специален скрипт PHP, който определя дали този потребител съответства на параметрите, от които се интересуват атакуващите и по-специално, проверява неговия IP-адрес. Ако потребителят е потенциално интересен за Equation Group, бива атакуван с експлойт. В последно време хакерите използвали експлойти за Java.

Специалистите на Kaspersky Labs са анализирани и архива на Shadow Brokers. По тяхно мнение, съдържанието на публично достъпните данни действително е свързано с Equation Group.

КОИ СА SHADOW BROKERS И ИМАТ ЛИ ВРЪЗКА С РУСИЯ

Никой не знае откъде са се взели хакерите. По мнение на експерти по защита на данните, интервюирани от изданието Motherboard, зад тях може да стоят Русия или Китай. Създателят на компанията WhiteHat Security, Еремия Гросман (на снимката), говори за това, че е започнала „Студената кибер война, за която всички ние бяхме предупредени“.

Русия постоянно е обвинявана в участие в кибератаките срещу американски институции и организации. Например, за „руска следа“ представители на американските власти говореха след хакерския взлом в сървърите на Националния комитет на Демократическата партия. За връзка на руснаците с взлома намекна в серия от туитове намиращият се в Русия бивш служител на АНС Едуард Сноудън:

„Косвените доказателства и житейската мъдрост предполагат, че Русия носи отговорност [за действията на Shadow Brokers]. Изтичането може би е предупреждение, че някой може да докаже отговорността на САЩ за атаката… Това също може да има значителни външнополитически последици. И по-конкретно, ако съюзници на САЩ са били една от целите на операцията [на Shadow Brokers].“

Бившият експерт на АНС Дейв Айтел също смята, че зад Shadow Brokers може да стоят руските власти. Към това, според него, водят следните факти: Първо, изтичането е настъпило почти веднага след хакването на сървърите на Демократическата партия, въпреки че добитите от хакерите данни по-скоро са били получени три години по-рано и някой е можал да ги държи в тайна от света. Второ, Айтел смята за „много руски“ обвиненията в посланието за „корупцията и изборите“. Освен това, за да „дразните“ Equation group, според Айтел трябва да имате добра причина за това: при хакерите такава е малко вероятно да се намери, но за държава, която не е съюзник на САЩ – напълно. И накрая, за „руска следа“ говори и това, че Shadow Brokers са предали данните на сайта Wikileaks, който публикува кореспонденцията на Демократическата партия и е обвиняван във връзки с руските специални служби.

ИМА ЛИ ДРУГА ВЕРСИЯ, РАЗЛИЧНА ОТ РУСИЯ?

Има. В четвъртък Motherboard, позовавайки се на бивш служител на АНС съобщи, че Shadow Brokers не са руснаци, макар и това да е отлична спекулация за медиите, не са хакерска група, а е някой от Агенцията. Това показвали имената на файловете, които вече бяха публикувани. Те, по думите на източника на изданието, могат да бъдат преименувани само във вътрешния сървър. Освен това бившият служител на АНС е заявил, че информацията, която вече е публикувана, не може да бъде хакната от интернет, защото към нея няма никакъв достъп от мрежата.

Превод и обобщение: Цеца Христова / Memoria de futuro

Източници: The New York Times, Reuters, MOTHERBOARD