«Лаборатория Касперского» обнаружила еще один чрезвычайно сложный вирус. На этот раз — в своих внутренних сетях.

Аватар пользователя rurixx

«Лаборатория Касперского» обнаружила еще один чрезвычайно сложный вирус, за которым почти наверняка стоит правительство одной ближневосточной страны. Обнаружила не где-нибудь, а в своих собственных внутренних сетях — хакеры наконец-то добрались до своего врага номер один.

Об этом пишет Wired, а также сообщает сама «Лаборатория Касперского», полностью раскрывающая технические детали атаки. На счету компании выведение на чистую воду таких известных и сложных вирусов как Stuxnet, Duqu, Flame, Gauss, Regin и Equation Group. Все они нацелены на правительственные структуры или частный бизнес, работающий с государством. За этими вирусами предположительно стоят правительства США, Великобритании и Израиля. Теперь компания сама стала жертвой тех, с чьими творениями  борется уже добрых 15 лет. Можно даже сказать — «наконец-то». Вытаскивая на свет божий вирусы, созданные самыми могущественными спецслужбами планеты, российская компания буквально напрашивалась на что-то в этом духе. И уже давно.

Вирус Duqu 2.0, как его назвали специалисты «Лаборатории Касперского», очень похож на Duqu 2011 года, который, в свою очередь, имеет немало общего со Stuxnet. Оба они использовались для атаки на цели в Иране и Судане, а также для саботажа иранской ядерной программы. В Wired уверены, что за его созданием почти наверняка стоит Израиль или спонсируемые им специалисты. В особенности потому, что Duqu 2.0 был использован не только для взлома сети «Лаборатории Касперского», но и для наблюдения за ходом переговоров по иранской ядерной программе. Переговоров, на которые Израиль, несмотря на его крайнюю озабоченность и заинтересованность, просто не пригласили.

Специалисты «Лаборатории Касперского» нашли в Duqu и Duqu 2.0 куски одинакового кода. Но если в первой версии было лишь шесть модулей, то во второй их было намного больше, а общий объем зловредного кода составляет гигантские для вируса 19 мегабайтов. Все они загружаются в оперативную память — после установки Duqu 2.0 не оставляет никаких следов на жестком диске. По словам представителей компании, код вируса — один из лучших из всех, что они только видели, и в нем практически нет изъянов.

В «Лаборатории Касперского» до сих пор не знают, какую конкретно информацию успели выкачать хакеры. Передавалась она наружу в «пустых» графических файлах, что сильно затрудняет оценку ущерба. В чем компания уверена на 100%, так это в том, что никто из 400 млн. обычных пользователей ее продуктов не получил от нее зловредный код.

При этом «Лаборатория Касперского» является не единственной жертвой вируса. Десятки технологических компаний, а также отелей и конференц-центров по всему миру — мест, в которых велись переговоры по иранской ядерной программе — также стали жертвами Duqu 2.0.

Как «Лаборатория Касперского» подхватила заразу

Компания нашла Duqu 2.0 случайно, когда инженер, тестировавший новый продукт на сервере компании, заметил аномально большой трафик. Он начал «копать» и понял, что несколько десятков компьютеров компании заражены чем-то, с чем «Лаборатория Касперского» еще не сталкивалась.

Дальнейшее расследование показало, что «пациентом зеро» стал компьютер компании в одном из азиатских офисов. Его заразили с помощью zero-day-эксплоита — уязвимости, про которую еще не знают разработчики и для которой не существуют патча. За четыре часа до того, как инженеры компании поняли это, почтовый ящик и история в браузерах на этой машине были кем-то удалены — очевидно, злоумышленниками, которые поняли, что они раскрыты, и пытались замести следы. На мысль о том, что вирус наконец-то найден, их мог навести тот факт, что «Лаборатория Касперского» начала изолировать пораженные компьютеры.

Дальнейшее расследование показало, что, получив контроль над первой машиной, злоумышленники, используя другую zero-day-дыру, начали «прыгать» по компьютерам в сетях компании, пока не добрались до основного офиса в Москве. В «Лаборатории Касперского» полагают, что для этого была использована уязвимость в протоколе Kerberos, которую Microsoft закрыла лишь в ноябре прошлого года.

Находя интересующие их компьютеры, хакеры использовали третью zero-day-дыру, загружая вирус в систему на уровне ее ядра и искусно обходя антивирусное ПО. Как только Duqu 2.0 загружался в память, он удалялся с жесткого диска и с этого момента жил только в оперативной памяти компьютера. По словам представителей «Лаборатории Касперского» это говорит о том, что злоумышленники были уверены в стабильности и качестве своего продукта.

Полностью вирус разворачивался далеко не на каждой машине — на некоторых устанавливались лишь отдельные модули, которые предоставляли к ней удаленный доступ. Но если машина вызывала у хакеров большой интерес, то они ставили модули для перехвата нажатий на клавиатуру, для создания скриншотов, для перехвата паролей, доступа к файлам и так далее. Далеко не все модули еще расшифрованы «Лабораторией Касперского», но в компании утверждают, что есть там и довольно специфические образцы для особых промышленных систем. Что лишний раз указывает на то, что «Лаборатория Касперского» не была единственной, а может быть, даже и не главной целью злоумышленников.

Конечно, если вирус живет только в оперативной памяти, он должен был уничтожаться при перезагрузке или выключении компьютера. Именно это и происходило. Однако, поскольку была заражена целая сеть, это не несло особого риска. Одна или две зараженные машины исполняли роль «драйверов» — следили за состоянием Duqu 2.0 на других машинах, и если где-то код терялся, они через контроллер домена вновь загружали в память нужной машины зловредный код.

У этого «драйвера» также была еще одна цель — коммуникации. Если в сети много зараженных компьютеров, постоянно крадущих и пересылающих информацию, все вместе они могут вызвать слишком большой объем подозрительного трафика, что привлечет внимание администраторов. Создатели Duqu 2.0 для борьбы с этим использовали «драйверы» как единые «ворота» для передачи информации. Все зараженные машины общались с «драйвером», а уже он и только он передавал информацию наружу или раздавал команды изнутри.

За чем охотились авторы Duqu 2.0

Хакеров интересовали ход «раскопок» «Лаборатории Касперского» в отношении других сложных вирусных систем, вроде Equation Group и Regin. Второй, например, использовался для атак на Европейскую комиссию и считается, что за ним стоит Великобритания. Создатели Duqu 2.0 также крали информацию о новой защищенной операционной системе, которую «Лаборатория Касперского» разрабатывает для систем управления критическими производствами. Они также изучали систему получения данных от пользователей Kaspersky Security Network.

Однако «Лаборатория Касперского», как мы уже сказали, не была ни единственной, ни главной целью создателей Duqu 2.0. По словам представителей компании, заражению подверглись несколько десятков ее клиентов, хотя она и не раскрывает ни имена, ни даже страны, в которых они находятся. Известно лишь, что некоторые из них были связаны с разработкой индустриальных систем, а другие занимались гостиничным бизнесом. Или вот еще интересная цель вируса — компания, которая занималась организацией торжеств по случаю 70-летия со дня освобождения Освенцима. Тех самых торжеств, на которых были практически все мировые лидеры, не считая Путина и Обамы.

Как Wired сообщили в Symantec, которая в рамках партнерства с «Лабораторией Касперского» получила доступ к информации о Duqu 2.0 (и нашла его у своих крупных клиентов тоже), вирус заражал компании и организации по всему миру — Великобритании, Швеции, Гонконге, Индии, в Европе, Африке и США. Некоторые из жертв были заражены еще в 2013 году. По оценке Symantec, в целом было заражено чуть менее ста сетей. Авторы Duqu 2.0 действовали крайне избирательно, за мелочью не охотились и старались работать скрытно.

Самыми интересными их целями, по мнению специалистов, оказались места проведения встреч пяти постоянных членов Совета Безопасности ООН (плюс Германия) с представителями правительства Ирана. Хакеры действовали обстоятельно — как правило, сети каждого такого места заражались за 2-3 недели до того, как там происходила сама встреча, что давало злоумышленникам время на подготовку. В как минимум одном случае заражение произошло в секретном месте проведения такой встречи — оно никак не анонсировалось, и никто о нем не знал. Кроме ее участников, а также авторов или операторов Duqu 2.0, у которых оказался такого рода инсайд. Это прямо указывает на их связь с правительственными структурами или спецслужбами какой-то страны.

Детали того, как именно хакеры шпионили за переговорами по иранской ядерной программе не известны. Но, предположительно, они не только перехватывали почту и интернет-трафик в сетях, но и взламывали системы видеонаблюдения и/или внутренней связи, что позволяло им подслушивать, а также подглядывать за ходом переговоров и даже частными разговорами участников этих встреч.

Теперь хакерам придется найти другой инструмент для выполнения своих целей. Но учитывая, что в сетях уже давно идет скрытое от глаз обывателя киберпротивостояние, в котором участвуют все крупные мировые державы, нет оснований сомневаться в том, что такие инструменты уже существуют и используются. «Лаборатории Касперского» — или другим антивирусным компаниям — надо только их в очередной раз найти.

Источник: rus.delfi.lv

Комментарии

Аватар пользователя Podvalny
Podvalny(10 лет 8 месяцев)

У Вас задублировался текст, см. 3-й раздел статьи

Аватар пользователя rurixx
rurixx(9 лет 10 месяцев)

Спасибо, поправил.

Аватар пользователя travel
travel(9 лет 6 месяцев)

это вирус саморазмножается

Аватар пользователя SVGuss
SVGuss(9 лет 10 месяцев)

Гении соревнуются в искусности перехвата информации, генерируемой мозгами тупых коррумпированных чиновников.

Аватар пользователя pokos
pokos(11 лет 7 месяцев)

Конечно, ведь именно тупые коррумпированные чиновники платят гениям неплохую зарплату.

А вообще, радуют собщения типа "Microsoft устранила уязвимость в протоколе KERBEROS"..гы-гы.

Следует читать: "АНБ поменяло закладку в протоколе KERBEROS".

Современные программы - это сборник закладок от конкурирующих спецслужб.

Аватар пользователя SVGuss
SVGuss(9 лет 10 месяцев)

в таком случае рад сообщить, что ни одной осмысленной крупицы информации из десятилетий моей частной переписки и служебных экзерсисов они точно не извлекут. Думаю, их точно так же троллят 98% остальных людей, имеющих доступ к компьютеру. Ибо жизнь хаотична и бесмыссленна.

А Господь Бог смотрит на своем облачке, как Вротшильды засовывают в рот феллерам вместе с Барухами (ну, или наоборот - какая разница) :)

Боже, какие дурацкие крисиные бега!

Аватар пользователя Antonio Montana
Antonio Montana(9 лет 5 месяцев)

Да чушь это всё - про какие-то офигенные вирусы.

Сама ОС сливает инфу "куда надо" и хрен ты уследишь.

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

И линух тоже?

Аватар пользователя SVGuss
SVGuss(9 лет 10 месяцев)

Да, только не в одну точку, а во все, кто поучаствовал :)

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

А если подойти к вопросу информационной безопасности более ответственно? :)

Я понимаю, что 99.9% линухоидов, и я в том числе, не будет заморачиваться непролазными консольными командами, потому что кроме честно утянутых с торрентов фильмов, котегов и порнухи на этих машинах ничего нет. По крайней мере, у меня так. ;)

А более серьёзные ребята должны иметь штат специально обученных людей, которые любую софтину, хоть отдалённо примыкающюю к гостайне, да и вообще к госструктурам, обязаны разобрать по битам, посмотреть под мелкоскопом, и собрать обратно. Ну, это в идеале.

Аватар пользователя Antonio Montana
Antonio Montana(9 лет 5 месяцев)

Стопудов.

Чё там понапихано в десятках миллионов строк кода - хрен его знает.

Аватар пользователя SVGuss
SVGuss(9 лет 10 месяцев)

Неужели нет никаких стандартов гарантирования безопасности? То есть, просто энтузиаст шпарит свой код, и непонятный, непроверенный, непроявленный функционал уже стоит на тысячах компьютеров в какой-нибудь Убунте? 

Аватар пользователя Antonio Montana
Antonio Montana(9 лет 5 месяцев)

Слишком толсто :)))

Аватар пользователя SVGuss
SVGuss(9 лет 10 месяцев)

Просто задал вопрос. Вы не допускаете, что не все люди знают, как создаются операционные системы, насколько глубоко они могут вгрызаться в железо и насколько трудно их оттуда выгрызть? Так вот я не знаю. 

Кстати, как посчитать одну сделку на рынке совпадением, а другую нет вы так и не объяснили. Тоже толсто видать.

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

В Линуксе без рута ничего не может поставиться. Поэтому, если что-то и пролезло, то "сам дурак".

Линукс - это ни разу не насквозь дырявая Винда. :)

Хотя... Шаттлворт вполне может быть агентом MI6, чорт их там разберёшь...

Долбаный gXNeur. Кто-нибудь, подскажите, как эту сволочь настроить. Это единственная софтина, которая меня выбешивает в убунте. А я настолько привык к пунтосвитчеру на винде, что не могу обходиться без его аналога на линухе! Крик души.

Аватар пользователя SVGuss
SVGuss(9 лет 10 месяцев)

А что если сам линукс и есть вирус? Шлет размер ваших трусов в ближайший универмаг? Или это было бы сразу разоблачено? 

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Запросто может быть. Просто, когда сырцы открыты, и есть многомиллионная армия "задротов", готовых с энтузазизмом в них ковыряться, такая вероятность стремится к нулю. Так что думаю, мои котеги и порнуха в полной безопасности. :)

Аватар пользователя SVGuss
SVGuss(9 лет 10 месяцев)

А, понятно. Ну, я как-то так и представлял себе ситуацию. Мало чего соображаю в этих делах. Спасибо.

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Никаких проблем, камрад. Но я знаю не больше вашего, так, по верхам прошёлся.

Аватар пользователя pokos
pokos(11 лет 7 месяцев)

"Просто, когда сырцы открыты, и есть многомиллионная армия "задротов""

Уа-ха-ха. Вот на этом призрачном предположении и держится вся ловля лоха на живца.

Два миллиона дебилов ни чем не помогут, дружище. Чтобы разобрать миллионы строк кода, нужна команда ОЧЕНЬ грамотных специалистов, небольшая, человек 50. 


Тут с разбегу нашёл: http://arstechnica.com/security/2014/03/critical-crypto-bug-leaves-linux-hundreds-of-apps-open-to-eavesdropping/


Особо радуют каменты...там, как раз, про миллионы задротов на протяжение сотен тысяч лет.

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Эта тема очень скользкая. Нет ни 100% подтверждений, ни 100% опровержений. Поэтому предлагаю сохранить копья для более аргументированных баталий. ;)

Аватар пользователя SVGuss
SVGuss(9 лет 10 месяцев)

Ну, кроме дебилов, сурьезные люди наверное, тоже просматривали код? И почему их должно быть меньше 50?

Аватар пользователя joho
joho(11 лет 1 месяц)

они просматривали (если не ограничились подписанием "акта о выполненных работах" - оптимизация жеж, миллионы дебиов ведь его просмотрели, чё парицца то, верно?) СВОЙ вариант кода.

С вашим он совпадает - если повезёт - процентов на 30. И с каждым обновлением этот процент сдувается.

Аватар пользователя fghfghfgh123645
fghfghfgh123645(10 лет 2 месяца)
А кто сказал, что компилятор не скомпрометирован?
Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

ТБМ. Открытые. Исходники. Компилятора.

Или gedit c nano тоже скомпрометированы и не показывают "плохие строки кода"? Тогда Вам в одну палату к Тони Монтане. ;)

Аватар пользователя fghfghfgh123645
fghfghfgh123645(10 лет 2 месяца)
Простой вопрос, куда вы отправите "хорошие" исходники компилятора, что бы получился "хороший" компилятор?
Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Нарисован с нуля благонадёжными родными прогерами. Если так и дальше будете копать, то персонал желтого дома может обить стены вашей палаты мягким материалом.

Аватар пользователя fghfghfgh123645
fghfghfgh123645(10 лет 2 месяца)
Не ответили на вопрос.
Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Глупенький вопрос, помню его ещё со времён ФИДО. В машинных кодах написать. ;)

Аватар пользователя fghfghfgh123645
fghfghfgh123645(10 лет 2 месяца)
Кого написать? Компилятор "хороший"?
И кто его написал? Линукс компилируется на этом доверенном компиляторе?
Я не говорю про то что может быть, возможно итд, я говорю про то что есть... И все эти "открытый код", "его может просмотреть кто угодно" - пустое сотрясение воздуха...
Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Тогда придётся писать ОСь с нуля, и файлуху тоже. Камни и логика свои уже есть. Осталось освоить производство HDD и SSD. Со своим проприетарным протоколом. Ибо SATA и PATA тоже умеют стучать куда ненадо. Полностью своя аппаратно-программная платформа.

Аватар пользователя fghfghfgh123645
fghfghfgh123645(10 лет 2 месяца)
Смотря что подразумевать под "с ноля"... В архитектуре можно опираться на существующие разработки + стандарты, но конкретную реализацию нужно самим делать.
Это в случае, если хотеть полностью доверенное окружение.
Для рядового пользователя такое ни к чему... Хотя выбор должен быть.
Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Да. Всё это плюс человеческий фактор. "Сноудены" не только в пендосии есть. Их везде достаточно.

Аватар пользователя fghfghfgh123645
fghfghfgh123645(10 лет 2 месяца)
А для этого уже национальная идея какая-нибудь, что бы все знали, что трудятся на благо человечества.
Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Верно. И я наблюдаю, что работа в этом направлении ведётся. Ни шатко, не валко, но тем не менее. Подрастающее поколение уже далеко не такое "с необитаемой башней", как, к примеру, было моё.

Аватар пользователя SVGuss
SVGuss(9 лет 10 месяцев)

Что значить "настроить"? Я эту байду ставил на LXLE она работает, через раз, но работает. А в чем у вас проблема?

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

В том-то всё и дело, что через... эммм... раз он работает. Обычно, при автоматическом переключении добавляет кусок "непереключенного" слова перед переключенным. С отключением переключения я научился бороться давно тупой перезагрузкой проги.

Убунта 12.04.5 LTS, версия gXNeur крайняя, 0.17-я. Никаких манипуляций с системой ввода не делал с момента установки. По ходу дела Crew положил с прибором на свой проект. А жаль.

Аватар пользователя SVGuss
SVGuss(9 лет 10 месяцев)

gXNeur никогда толком (как пунто) и не работал. Я проблему решил кардинально - поставил винду, благо у меня две лицензии на восьмерку :)

Пока проблем не знаю, но если она шлет мой размер трусов врагам, то пусть знает, хотя бы сейчас через кнопочный интерфейс, что она гадина и вообще я пива ей не дам :)

Мой вывод после лет скитаний - если все, что нужно, это интернет, пойдет и Линукс. Нужно чуть больше - придется ставить винду. 

Кстати, как с марта поставил, никаких проблем от оси не имел. Бабло, судя по всему, побеждает добро или по крайней мере бесплатную ось. 

Кстати, навязываемая система оплаты за свежий офис навевает мысли о феодализме, где сюзерен - отнюдь не пользователь. Вообще, интересно, как все это будет эволюционировать. Но месячные платежи за офис начинают напрягать - не из-за денег, а из-за того, что не могу кулаком дотянуться....

 

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Я проблему решил кардинально - поставил винду, благо у меня две лицензии на восьмерку :)

Это запрещённый приём, камрад! Не ожидал.

Вся штука в том, что для моих домашних нужд мне хватает за глаза Убунты. Даже моя любимая CS:S давно портирована на линух, и фпс в ней даже больше, чем под виндой. А семёрка у меня стоит с начала прошлого года, как загрузчик wubi, иногда захожу, чтобы прошить телефончик какой-нибудь, который знакомые приносят, или инфу с винта поднять. Другого функционала от неё мне покуда и не нужно. Так что хай живе, стрелять пока не буду. :)

Аватар пользователя joho
joho(11 лет 1 месяц)

Уже писал где то тут, повторюсь.


народ на habre полагает, что не всё так гладко:

Давайте взглянем на Hadoop. Судя по всему, никто не знает как собирать Hadoop с нуля; это просто огромная куча из зависимостей, необходимых версий и утилит сборки.

Ни одна из «замечательных» утилит не собирается традиционной командой make. Каждая утилита поставляется со своим собственным не переносимым и не совместимым c чем-либо «методом дня» для сборки.

И так как никто не умеет собирать вещи с нуля, то все просто скачивают бинарники со случайных веб-сайтов, часто даже без проверки цифровой подписи.


В общем и целом, для 99 и 9 в периоде для потребителей линукса - как и потребителей виндов или маков - нет никакой технической возможности выяснить фунционал используемого ии софта, наличие уязвимостй и закладок в системе.

Наличие исходниов ситуацию не спасет, ибо прочитать и понять их рядовой гражданин не в состоянии.

Надежда на сообщество есть, но она весьма слаба, т.к. в отличе от тех же виндов, линукс - конструктор и каждый собирает свой букет уязвимостей. Поскольку набор различен, то и надежды что он будет верифицирован - ноль целых, ноль десятых.

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

А я о чём писал выше?..

Аватар пользователя ExMuser
ExMuser(11 лет 6 месяцев)

Ээээ, голубчик, так у Вас паранойя. :) :) :)

Аватар пользователя Antropomorf
Antropomorf(10 лет 9 месяцев)

Полагаю, что "инженер, тестировавший новый продукт, " должен получить премию в размере годового оклада.