Рубрика развивается при поддержке HP logo intel logo

Хакеры из России пять лет заражали ресурсы НАТО и украинских властей через уязвимость в PowerPoint Статьи редакции

Группа неизвестных хакеров из России более пяти лет взламывала ресурсы НАТО, а также компьютеры различных правительственных и военных организаций во Франции, Польше, США и Украине, используя уязвимость в операционной системе Microsoft Windows. Об этом 14 октября сообщили представители компании iSight, специализирующейся на вопросах кибербезопасности.

Для проведения атак и получения несанкционированного доступа к дипломатической информации злоумышленники, предположительно связанные с российскими властями, использовали вирус под названием Sandworm. 

Принцип его действия основан на эксплуатации кода, выполняющегося операционкой при обработке файлов программы PowerPoint, получаемых владельцем компьютера по электронной почте. PowerPoint предназначена для создания презентаций и слайд-шоу и является одной из самых распространённых программ Windows. 

Уязвимость, присутствующая во всех версиях софта, вышедших после релиза Windows Vista, помогала хакерам заражать компьютеры и перехватывать хранящиеся в их памяти конфиденциальные документы. Кроме того, киберпреступники могли удалённо управлять подвергшимся атаке устройством. Схема использовалась с 2009 года.

По данным iSight, жертвами Sandworm за несколько лет стали представители Организации Североатлантического договора (НАТО) и нескольких общеевропейских парламентских институтов. Также уязвимость использовалась против крупных польских энергетических фирм и компаний из США и Франции. С 2013 года следы Sandworm удалось обнаружить в атаках на ресурсы украинских властей, содержавших секретную дипломатическую информацию, касающуюся подготовки к саммиту НАТО в Братиславе.

Географическое распределение целей вируса Sandworm

На причастность к атакам проправительственных киберпреступников из России указывает сразу несколько свидетельств. Как заявляют в iSight, многочисленные командные файлы, использовавшиеся для заражения компьютеров и рассылки вируса, написаны на русском языке. Одно из заражённых вложений в PowerPoint содержит перечень имён «пророссийских террористов», который, судя по замыслу хакеров, должен был привлечь внимание потенциальной жертвы, заставив человека открыть документ. Отдельно отмечается, что все атаки скоординированы исключительно против западных организаций, получение секретной информации из которых несло бы прямую или косвенную выгоду заказчикам из числа российского руководства.

Отметки в вирусных файлах позволили выяснить, что их автор (или авторы) является поклонником романа «Дюна» писателя-фантаста Фрэнка Герберта. В содержании документов регулярно встречались упоминания описываемой в книге вымышленной планеты Арракис. Именно поэтому специалисты по кибербезопасности назвали вирус словом Sandworm, в честь мифических песчаных червей, которым в «Дюне» поклонялись обитатели Арракиса.

Указания явно свидетельствуют о том, что создавший этот вирус человек — большой фанат «Дюны». Сам уровень написания Sandworm позволял ему крайне успешно использовать уязвимость в Windows. Джон Халтквист, старший менеджер компании iSight

Просуществовавшая в нескольких версиях Windows уязвимость будет устранена корпорацией Microsoft 14 октября. В середине месяца IT-гигант анонсировал выход патча, который среди прочего должен исправить и «дыру», позволявшую российским хакерам заниматься шпионажем против НАТО, США и европейских стран.

{ "author_name": "Виктор Степанов", "author_type": "self", "tags": [], "comments": 61, "likes": 16, "favorites": 0, "is_advertisement": false, "subsite_label": "tech", "id": 52682, "is_wide": true, "is_ugc": true, "date": "Tue, 14 Oct 2014 17:40:33 +0400", "is_special": false }
0
61 комментарий
Популярные
По порядку
Написать комментарий...
Нежный диод

Не зря Microsoft передавал исходники своих продуктов в России. Эх, не зря.

29
Внезапный Гоша

мозгов у наших ведомств маловато чтобы 0day искать в сырцах

3
Нежный диод

распространённое заблуждение. Но вот с использованием, да. Наверху мозгов чаще меньше, чем внизу.

2
Внезапный Гоша

С чего же это заблуждение? Прошу без сотрясания воздуха.
Пруф в студию или просто словоблудство? PoC от какого-нибудь ФГУПа?:) Гэбня и прочий биомусор изза отсутствия скилла отдают всю it-криминалистику на аутсорс конторам частным. Им до багхантинга как до Пекина раком.

2
Нежный диод

Хм, перебрал в уме варианты доказательств. Из открытого легко вспоминается ИКСИ: http://www.academy.fsb.ru/index_i.html
Оттуда выходят очень крутые ребята, при том, что по контракту они обязуются служить после окончания института. Любят олимпиадников. Одним из выпускников является товарищ Касперский.

–3
Внезапный Гоша

Пруфа так и не увидел. Олимпиадники быстро пишут сложные абстрактные алгоритмы и оптимизируют их. В прикладном программировании, особенно с уклоном в безопасность, такие навыки бесполезны. Про каспера вообще молчу.

4
Пермский Денис

Кто вам предоставит пруф на то, что в органах есть грамотные специалисты? Портфолио их предоставит?
У меня есть друзья, работающие в госкомпаниях и коммерческих организациях по направлению информационной безопасности, и они по работе сталкивались со специалистами из ФСБ, высококвалифицированные спецы там есть. Да и к тому же ничто же не мешает замутить какой-нибудь секретный проект под который привлечь действующих хакеров. Например купить 0-day на чёрном рынке за большие деньги. А такие есть, и многие из них до сих пор приватны.

3
Внезапный Гоша

Я не спорю, возможно пару человек с головой там есть. Купить 0day,

1
Нежный диод

Голова на плечах у него есть. И ни раз антивирус Касперского признавали 1 в мире. Тут уж о монополии говорить не приходится.
Люди в ИКСИ разные, но толковые. Такие что код и шифры изучают не только на уровне шестнадцатеричных кодов, но и двоичных.
А какого вы пруфа ждёте, чтобы вам позвонили и пригласили?

–1
Внезапный Гоша

1 в мире? По количеству установок наверно, но точно не по качеству детектирования) После "изучения кодов и шифров не только на уровне шестнадцатеричных кодов но и двоичных" у меня все вопросы отпали сразу, ввело в заблуждение it в Вашем нике. Зазванивали после института, и из ФСБ и из СВР.

1
Нежный диод

Есть различные инструменты для анализа трафика, я про товарищей, которые изучают новый материал и могут это делать на лету. Выглядит достаточно впечатляюще.
Видишь, как прекрасно работают в этих конторах, не поленились позвонить. А ты ворчишь, пруфов требуешь.
Хотя зря звонили, даже лень посмотреть тему обсуждения. У Каспера достаточно наград и номинаций. Можете, полистать:
http://www.kaspersky.ru/why_certificates

–1
Внезапный Гоша

Это тебя так СОРМ2/3 так впечатлил?) ты слишком впечатлителен и мало осведомлён. Изучал немного ПО одного из вендоров сорма которое они операторам ставят... шифрованный туннель и тов. гэбист причмокивает за обе щеки. В конторах работают хорошо только на защиту интересов хозяина и отъем бизнеса в его же пользу. А то что они пытаются безуспешно вербовать вчерашних студентов без опыта говорит о уровне. Награды? У Кадырова ещё больше их:)

2
Нежный диод

И да, я много раз говорил, что все законы, что у нас принимают — часто под конкретные распильные законы. Такой вот непыльный бизнес, но законы и направлены, чтобы палить не террориста, который знает как спрятаться, а следить за обычными гражданами, без VPN.

1
Нежный диод

Вообще, не ориентируйся на Сормы - они от беззубости и желания власти следить именно за нами, чтобы они не говорили. А оборудование - ну, что ты хочешь, это деньги, а не какая-то там развединформация. Этим, наверняка, занимаются конторы по распилке бюджетов. Я же сказал, что с начальством у них не так хорошо, как с талантливой молодёжью.
Хорошо, что у Кадырова больше
я лишь констатировал факт, что тестирующие лаборатории им часто присуждают первые места, с которым вы спорили

–2
Внезапный Гоша

Очень крутые всмысле на понтах и с ксивой?) Прощу прощения за сарказм, ну не верю я в присутствие там нормально скилла в реальном itsec, и думаю не безосновательно) Тем более не раз становился свидетелем того, как эти "крутые" ребята в стороннюю контору носят опечатанные сервера и десктопы на экспертизу. Даже среди покупателей Finfisher РФ нету:)

1
Нежный диод

Ага и с компанией международного уровня как Касперский.

–4
Внезапный Гоша

Монополистическое положение совершенно не залог качества продукта, особенно ярко это видно на примере компании kaspersky.

–1
Бесконечный шмель

суперспецы из ФСБ

многочисленные командные файлы, использовавшиеся для заражения компьютеров и рассылки вируса, написаны на русском языке

OKAY.

Господи, откуда вот это благоговение перед гебней берётся, а? Откуда там специалисты, реально? Мне напомнить, какой процент преподавателей в универах знает хотя бы английский язык? Это в чём-то похоже на веру в фей: тоже вроде бы не с чего верить, но очень хочется и поэтому придумываются какие-то идиотские «причины». Касперский, говоришь? И что же такого СУПЕРПРОФЕССИОНАЛЬНОГО в Касперском? У чуваков один (!) продукт за всё это время. Они не сделали ничего супер-выдающегося, не выкатывают никакого крутого ресёрча, не делают научных прорывов. У них работают точно такие же студенты-недоучки, как и везде, только с распухшим до предела ЧСВ «я Ъ-хакер». «Спецы из ФСБ», билят.

2
Нежный диод

Ох. У них не один продукт, просто они работают в одном направление - безопасность. А не зря говорят, что завсегда ломать проще, они одни, а желающих ломать много, поэтому держать оборону отнюдь непростая задача, и распыляться не стоит.
У вас есть информация конкретно об ИКСИ?
Ещё лет десять назад некоторые желающие из универа защищали диплом на английском, сейчас, полагаю, таких больше.

–2
Бесконечный шмель

держать оборону отнюдь непростая задача, и распыляться не стоит

Лол, даже комментировать не хочется.

защищали диплом на английском

Поищем, как называется университет на английском: https://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%81%D1%82%D0%B8%D1%82%D1%83%D1%82_%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D0%B8,_%D1%81%D0%B2%D1%8F%D0%B7%D0%B8_%D0%B8_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%82%D0%B8%D0%BA%D0%B8 -> английская версия -> https://en.wikipedia.org/wiki/Institute_of_Cryptography,_Telecommunications_and_Computer_Science . Зайдём в scholar.google.com и поищем по обоим вариантам:
1. http://scholar.google.com/scholar?hl=en&q=Institute+of+Cryptography%2C+Telecommunications+and+Computer+Science&btnG=
2. http://scholar.google.com/scholar?hl=en&q=IKSI&btnG=
Кажется, ни одной публикации не нашлось. Ой, да?

Естественно, вы тут мне сейчас расскажете про «суперсекретность, никаких публикаций, блаблабла». Естественно, я вам напомню, что секретной науки не бывает, а особенно в районе криптографии — security through obscurity не работает. Но это вас не убедит и вы продолжите верить в фей.

P.S. О, нашлась одна публикация, и то в виде ссылки: некая «Mathematical foundations of computer security. The application». У меня друзья учились по этой «публикации» — ссань несусветная, такой математический велосипед без применения (ну кроме промывания мозгов студентам).

0
Нежный диод

Да, да. Зачем же комментировать собственную глупые высказывания про Касперского.
Про защиту дипломов на английском я говорил в гражданских ВУЗах. Скажете такого нет?
О чём вы вообще говорите? На секундочку представьте, что вы имеете представление об этой кухне: все дипломы имеют соответствующий гриф секретности и т.д. В каком инетике вы их собрались искать?
Ага, дочитал дальше. Security through obscurity не работает, но им нужно обратное, чаще всего, как мы видим из этой новости. И какие бы красивые слова им преподаватели не говорили, все диплом имеют гриф секретности.

–2
Бесконечный шмель

Хорошо, если вам вдруг непонятно — «держат оборону» на фронте. Действительно разумные софтовые компании занимаются ресёрчем (хотя бы потому, что любой бизнес нужно диверсифицировать) — например, вот таким http://sel4.systems/ или вот таким https://www.openssl.org/~bodo/ssl-poodle.pdf (пусть это будет про безопасность). Где ресёрч от Касперского? Где хоть какой-то опенсорс от Касперского? Нет ничего. Это не «спецы-безопасники», это самая обычная контора без какой-либо супер-экспертизы, но с хорошей рыночной долей. Хочется экспертизы — смотрите на JB и Яндекс, у них есть и опенсорц, и ресёрч.

Я же говорю, у вас вера в фей — «никаких внешних следов супер-спецов нет, но это только потому, что СИКРЕТНАСТЬ!!1». Суперспецы из ФСБ с батниками на русском, лал.

Просто подумайте, откуда там взяться хотя бы преподавателям с какими-то практическими навыками, если они сами (преподаватели) в жизни не написали ничего популярного/используемого/опубликованного?

0
Нежный диод

Слушай, я даже кликнув два раза на их сайте, увидел, что они ещё проводят расследования, обучают персонал.. много чем занимаются.
Ресёрчи и новости от них тоже всплывают постоянно. Будто в информационном вакууме живёте.

0
Грузовой якорь

С 2013 года следы Sandworm удалось обнаружить в атаках на ресурсы украинских властей, содержавших секретную дипломатическую информацию, касающуюся подготовки к саммиту НАТО в Братиславе.

Лол, почему-то смешно становится, как представлю, что секретный план подготовки саммита НАТО пишутся в PowerPoint. Так и вижу, как какой-то мужик в потниках сидит и верстает, картинки из гугла вставляет, набирает, чтобы на 15 страниц было. Потом записывает на сверхзащищённую флэшку, садится в бронированный джип, приезжает на секретную базу, выходит представлять на секретном круглом столе, и такой:
— Так, а как тут проектор подключить? Сейчас, подождите... Запускается... Кхм, на этом слайде вы можете видеть...
— Да вы F5 нажмите.
— А, точно, спасибо. Итак, на этом слайде...
— Вы точно уверены, что эту информацию больше никто не получит?
— Конечно, у меня же MS Office с Microsoft™ Security Essentials®!

20
Лекарственный завод

Няня,
заражать компьютеры и перехватывать хранящиеся в их памяти конфиденциальные документы

3
Нежный диод

Помнится, количество денег, которое ФСБ тратило на заграничные поездки было вскрыто путём того, что в открытой для общественности презентации поменяли расширение под редактируемое, и под графиком с процентами оказался оригинал с указанием точных сумм, по которым эти проценты получились.

1
Бесконечный шмель

Так да, это везде так. В правительствах работают в основном отбросы, просто у них очень много денег. Напомнить про волшебного качества презентацию МО РФ по поводу сбитого Боинга?

1
Грузовой якорь

Напоминай.

1
Бесконечный шмель

Например, этот шедевр инфографики: http://stat.multimedia.mil.ru/images/military/military/photo/mh17_brief_09-900%281%29.jpg

1
Столичный парфюмер
13
Великий динозавр

Астрологи объявили неделю хакеров!
Количество статей о взломах на TJ удвоилось!

11
Нежный диод

Российские хакеры - это, кажется, единственные ребята, которые в новостях вызывают гордость за российское.

21
Рыбный микроскоп

Гордиться хакерами? Ну ок.

0
Нежный диод

«У России только два союзника: ядерное оружие и российские хакеры.»

8
Грузовой якорь

Бля, больше не буду её нажимать.

10
Нежный диод

А что захотелось подредактировать?
"Перечень имён «пророссийских террористов»"?

22
Полноценный меч
10
Оригинальный велосипед

Понравилось вот это:
"Как заявляют в iSight, многочисленные командные файлы, использовавшиеся для заражения компьютеров и рассылки вируса, написаны на русском языке."

Сразу приходит на ум что-то такое:

7

Комментарий удален

Образовательный франт

Вчера впервые использовал Pages. Теперь Word вызывает только жалость

7
Ничтожный вентилятор

Чем больше пользуюсь iWork, тем больше понимаю, что MS Office был создан для наказания людей

3
Ядерный Никита

Эксель ван лав

0
Эмоциональный хичхакер

Куда можно выложить все свои интимные фотографии, номера счетов, карточек и паролей? Я уже устала волноваться и переживать. Можно уже заразить мой комп каким-нибудь вирусом побыстрее, а?

6
Полноценный меч
17
Столичный парфюмер

rsoc_in@rkn.gov.ru
Закидывай.
Правда, судя по профилю, вам больше 18-ти. Там такого не любят...

2
Нежный диод

чмоки всем в этом чятике. Мне тоже можно прислать: it-trend@gmail.com

1
Кожаный Даниль

Комментарий удален по просьбе пользователя

5
Ровный Никита

Очень сильно хочется посмотреть на файлик (в Ubuntu и LibreOffice конечно же).

3

Комментарий удален

Немецкий кофе

"Написали вирус, а давайте пусть командные файлы будут на русском, усложним им задачу поиска". Похоже я что-то не понимаю)

1
Внезапный Гоша

Зараженные ppt, просто охренеть какие элитные "хакеры" ахахаха)))))

–2
Полноценный меч

Ну хз. На старых форумах кул-хацкеров некоторые индивиды пытались писать вирусы и на Visual Basic.))

1
Внезапный Гоша

Примерно тот же уровень. Это не хакеры а скрипткидди с дроппером в презентации\пдфе и купленным у кого-нибудь билдом троя.

1
Немецкий кофе

А так ли важен способ? Главное же результат, а он есть. Да даже если бы счёты взломали)

1
Внезапный Гоша

Результат будет в любом случае, просто очень раздражает повсеместная профанация в СМИ слова "хакер"

1
Одинокий чайник

Слово хакер тащемта было дискредитировано сразу после своего появления

3
Непосредственный Орзэмэс

Мне, наверное, показалось. Но те люди, что решили назвать вирус Sandworm, отчасти уважают создателя(создателей).

0
Приятный кот

Разве в США не запрещено использовать продукты Microsoft в гос. учреждениях?

0
Нежный диод

В Америке либо Windows, либо OS X. Про Линукс слышали немногие. Его нигде особо не изучают

1
Приятный кот

Это обычные пользователи, не?
Еще ведь при Клинтоне начали запрещать в гос. учреждениях Windows, а сейчас я думаю там их оси вообще нигде не осталось, и соответственно PowerPoint.

1
Нежный диод

Смотрю щас Фарго. Там вроде 2006 год. Стоит православная Винда у всех.

1

Комментарий удален

Методический Мурод

Давайте уж сразу на чувашском и на татарском писать вирусы :)

–1
Гибкий клуб

всех переиграл

–2
Читать все 61 комментарий
Обсуждаемое
Новости
КПРФ готовит митинги по всей стране
Представители КПРФ подали заявки на проведение митингов по всей России в период с 20 по 26 сентября по итогам выборов.
Интернет
МИД России назвал вторжение СССР в Польшу «освободительным походом». В соцсетях это посчитали переписыванием истории
В министерстве указали, что «советских солдат встречали с ликованием».
Новости
YouTube заблокировал видео команды Навального с рекомендациями «Умного голосования»
Доступ к гугл-документам со списком кандидатов тоже закрыли.
Популярное за три дня
Интернет
Когда «бесконечное закрытие» Sunlight надоедает даже торговому центру
Пользовательница твиттера из Петербурга опубликовала табличку из местного торгового центра «Электра». Администрация ТЦ просит посетителей не поддаваться «недостоверной информации» от ювелирной сети Sunlight. TJ попытался дозвониться до «Электры», но там оперативно никто не ответил.
Интернет
«Извините, уважаемые программисты»: после блокировки Google Docs команда Навального выложила списки кандидатов на GitHub
Сервис пока не заблокирован.
Новости
Дуров объявил об ограничении телеграм-ботов «с агитацией» на время выборов в России
Под эту категорию попадает и бот «Умного голосования».
null