Рубрика развивается при поддержке
Advertisement

Хакеры из России пять лет заражали ресурсы НАТО и украинских властей через уязвимость в PowerPoint Статьи редакции

Группа неизвестных хакеров из России более пяти лет взламывала ресурсы НАТО, а также компьютеры различных правительственных и военных организаций во Франции, Польше, США и Украине, используя уязвимость в операционной системе Microsoft Windows. Об этом 14 октября сообщили представители компании iSight, специализирующейся на вопросах кибербезопасности.

Для проведения атак и получения несанкционированного доступа к дипломатической информации злоумышленники, предположительно связанные с российскими властями, использовали вирус под названием Sandworm. 

Принцип его действия основан на эксплуатации кода, выполняющегося операционкой при обработке файлов программы PowerPoint, получаемых владельцем компьютера по электронной почте. PowerPoint предназначена для создания презентаций и слайд-шоу и является одной из самых распространённых программ Windows. 

Уязвимость, присутствующая во всех версиях софта, вышедших после релиза Windows Vista, помогала хакерам заражать компьютеры и перехватывать хранящиеся в их памяти конфиденциальные документы. Кроме того, киберпреступники могли удалённо управлять подвергшимся атаке устройством. Схема использовалась с 2009 года.

По данным iSight, жертвами Sandworm за несколько лет стали представители Организации Североатлантического договора (НАТО) и нескольких общеевропейских парламентских институтов. Также уязвимость использовалась против крупных польских энергетических фирм и компаний из США и Франции. С 2013 года следы Sandworm удалось обнаружить в атаках на ресурсы украинских властей, содержавших секретную дипломатическую информацию, касающуюся подготовки к саммиту НАТО в Братиславе.

Географическое распределение целей вируса Sandworm

На причастность к атакам проправительственных киберпреступников из России указывает сразу несколько свидетельств. Как заявляют в iSight, многочисленные командные файлы, использовавшиеся для заражения компьютеров и рассылки вируса, написаны на русском языке. Одно из заражённых вложений в PowerPoint содержит перечень имён «пророссийских террористов», который, судя по замыслу хакеров, должен был привлечь внимание потенциальной жертвы, заставив человека открыть документ. Отдельно отмечается, что все атаки скоординированы исключительно против западных организаций, получение секретной информации из которых несло бы прямую или косвенную выгоду заказчикам из числа российского руководства.

Отметки в вирусных файлах позволили выяснить, что их автор (или авторы) является поклонником романа «Дюна» писателя-фантаста Фрэнка Герберта. В содержании документов регулярно встречались упоминания описываемой в книге вымышленной планеты Арракис. Именно поэтому специалисты по кибербезопасности назвали вирус словом Sandworm, в честь мифических песчаных червей, которым в «Дюне» поклонялись обитатели Арракиса.

Указания явно свидетельствуют о том, что создавший этот вирус человек — большой фанат «Дюны». Сам уровень написания Sandworm позволял ему крайне успешно использовать уязвимость в Windows. Джон Халтквист, старший менеджер компании iSight

Просуществовавшая в нескольких версиях Windows уязвимость будет устранена корпорацией Microsoft 14 октября. В середине месяца IT-гигант анонсировал выход патча, который среди прочего должен исправить и «дыру», позволявшую российским хакерам заниматься шпионажем против НАТО, США и европейских стран.

{ "author_name": "Виктор Степанов", "author_type": "self", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b_\u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438_\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c_\u0432_windows_\u0434\u043b\u044f_\u0430\u0442\u0430\u043a_\u043d\u0430_\u0443\u043a\u0440\u0430\u0438\u043d\u0443","\u0445\u0430\u043a\u0435\u0440\u044b","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u0443\u043a\u0440\u0430\u0438\u043d\u0430","\u0440\u043e\u0441\u0441\u0438\u0439\u0441\u043a\u0438\u0435_\u0445\u0430\u043a\u0435\u0440\u044b_\u0430\u0442\u0430\u043a\u043e\u0432\u0430\u043b\u0438_\u0440\u0435\u0441\u0443\u0440\u0441\u044b_\u043d\u0430\u0442\u043e","\u043d\u0430\u0442\u043e","\u043a\u0438\u0431\u0435\u0440\u043f\u0440\u0435\u0441\u0442\u0443\u043f\u043d\u043e\u0441\u0442\u044c","\u0432\u0438\u0440\u0443\u0441\u044b","sandworm","microsoft_windows","microsoft"], "comments": 61, "likes": 16, "favorites": 0, "is_advertisement": false, "subsite_label": "tech", "id": 52682, "is_wide": true, "is_ugc": true, "date": "Tue, 14 Oct 2014 17:40:33 +0400", "is_special": false }
0
61 комментарий
Популярные
По порядку
Написать комментарий...
Пожилой велосипед

Не зря Microsoft передавал исходники своих продуктов в России. Эх, не зря.

29
Мучительный франт

мозгов у наших ведомств маловато чтобы 0day искать в сырцах

3
Пожилой велосипед

распространённое заблуждение. Но вот с использованием, да. Наверху мозгов чаще меньше, чем внизу.

2
Мучительный франт

С чего же это заблуждение? Прошу без сотрясания воздуха.
Пруф в студию или просто словоблудство? PoC от какого-нибудь ФГУПа?:) Гэбня и прочий биомусор изза отсутствия скилла отдают всю it-криминалистику на аутсорс конторам частным. Им до багхантинга как до Пекина раком.

2
Пожилой велосипед

Хм, перебрал в уме варианты доказательств. Из открытого легко вспоминается ИКСИ: http://www.academy.fsb.ru/index_i.html
Оттуда выходят очень крутые ребята, при том, что по контракту они обязуются служить после окончания института. Любят олимпиадников. Одним из выпускников является товарищ Касперский.

–3
Мучительный франт

Пруфа так и не увидел. Олимпиадники быстро пишут сложные абстрактные алгоритмы и оптимизируют их. В прикладном программировании, особенно с уклоном в безопасность, такие навыки бесполезны. Про каспера вообще молчу.

4
Безопасный месяц

Кто вам предоставит пруф на то, что в органах есть грамотные специалисты? Портфолио их предоставит?
У меня есть друзья, работающие в госкомпаниях и коммерческих организациях по направлению информационной безопасности, и они по работе сталкивались со специалистами из ФСБ, высококвалифицированные спецы там есть. Да и к тому же ничто же не мешает замутить какой-нибудь секретный проект под который привлечь действующих хакеров. Например купить 0-day на чёрном рынке за большие деньги. А такие есть, и многие из них до сих пор приватны.

3
Мучительный франт

Я не спорю, возможно пару человек с головой там есть. Купить 0day,

1
Пожилой велосипед

Голова на плечах у него есть. И ни раз антивирус Касперского признавали 1 в мире. Тут уж о монополии говорить не приходится.
Люди в ИКСИ разные, но толковые. Такие что код и шифры изучают не только на уровне шестнадцатеричных кодов, но и двоичных.
А какого вы пруфа ждёте, чтобы вам позвонили и пригласили?

–1
Мучительный франт

1 в мире? По количеству установок наверно, но точно не по качеству детектирования) После "изучения кодов и шифров не только на уровне шестнадцатеричных кодов но и двоичных" у меня все вопросы отпали сразу, ввело в заблуждение it в Вашем нике. Зазванивали после института, и из ФСБ и из СВР.

1
Пожилой велосипед

Есть различные инструменты для анализа трафика, я про товарищей, которые изучают новый материал и могут это делать на лету. Выглядит достаточно впечатляюще.
Видишь, как прекрасно работают в этих конторах, не поленились позвонить. А ты ворчишь, пруфов требуешь.
Хотя зря звонили, даже лень посмотреть тему обсуждения. У Каспера достаточно наград и номинаций. Можете, полистать:
http://www.kaspersky.ru/why_certificates

–1
Мучительный франт

Это тебя так СОРМ2/3 так впечатлил?) ты слишком впечатлителен и мало осведомлён. Изучал немного ПО одного из вендоров сорма которое они операторам ставят... шифрованный туннель и тов. гэбист причмокивает за обе щеки. В конторах работают хорошо только на защиту интересов хозяина и отъем бизнеса в его же пользу. А то что они пытаются безуспешно вербовать вчерашних студентов без опыта говорит о уровне. Награды? У Кадырова ещё больше их:)

2
Пожилой велосипед

И да, я много раз говорил, что все законы, что у нас принимают — часто под конкретные распильные законы. Такой вот непыльный бизнес, но законы и направлены, чтобы палить не террориста, который знает как спрятаться, а следить за обычными гражданами, без VPN.

1
Пожилой велосипед

Вообще, не ориентируйся на Сормы - они от беззубости и желания власти следить именно за нами, чтобы они не говорили. А оборудование - ну, что ты хочешь, это деньги, а не какая-то там развединформация. Этим, наверняка, занимаются конторы по распилке бюджетов. Я же сказал, что с начальством у них не так хорошо, как с талантливой молодёжью.
Хорошо, что у Кадырова больше
я лишь констатировал факт, что тестирующие лаборатории им часто присуждают первые места, с которым вы спорили

–2
Мучительный франт

Очень крутые всмысле на понтах и с ксивой?) Прощу прощения за сарказм, ну не верю я в присутствие там нормально скилла в реальном itsec, и думаю не безосновательно) Тем более не раз становился свидетелем того, как эти "крутые" ребята в стороннюю контору носят опечатанные сервера и десктопы на экспертизу. Даже среди покупателей Finfisher РФ нету:)

1
Пожилой велосипед

Ага и с компанией международного уровня как Касперский.

–4
Мучительный франт

Монополистическое положение совершенно не залог качества продукта, особенно ярко это видно на примере компании kaspersky.

–1
Инвестиционный глобус

суперспецы из ФСБ

многочисленные командные файлы, использовавшиеся для заражения компьютеров и рассылки вируса, написаны на русском языке

OKAY.

Господи, откуда вот это благоговение перед гебней берётся, а? Откуда там специалисты, реально? Мне напомнить, какой процент преподавателей в универах знает хотя бы английский язык? Это в чём-то похоже на веру в фей: тоже вроде бы не с чего верить, но очень хочется и поэтому придумываются какие-то идиотские «причины». Касперский, говоришь? И что же такого СУПЕРПРОФЕССИОНАЛЬНОГО в Касперском? У чуваков один (!) продукт за всё это время. Они не сделали ничего супер-выдающегося, не выкатывают никакого крутого ресёрча, не делают научных прорывов. У них работают точно такие же студенты-недоучки, как и везде, только с распухшим до предела ЧСВ «я Ъ-хакер». «Спецы из ФСБ», билят.

2
Пожилой велосипед

Ох. У них не один продукт, просто они работают в одном направление - безопасность. А не зря говорят, что завсегда ломать проще, они одни, а желающих ломать много, поэтому держать оборону отнюдь непростая задача, и распыляться не стоит.
У вас есть информация конкретно об ИКСИ?
Ещё лет десять назад некоторые желающие из универа защищали диплом на английском, сейчас, полагаю, таких больше.

–2
Инвестиционный глобус

держать оборону отнюдь непростая задача, и распыляться не стоит

Лол, даже комментировать не хочется.

защищали диплом на английском

Поищем, как называется университет на английском: https://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%81%D1%82%D0%B8%D1%82%D1%83%D1%82_%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D0%B8,_%D1%81%D0%B2%D1%8F%D0%B7%D0%B8_%D0%B8_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%82%D0%B8%D0%BA%D0%B8 -> английская версия -> https://en.wikipedia.org/wiki/Institute_of_Cryptography,_Telecommunications_and_Computer_Science . Зайдём в scholar.google.com и поищем по обоим вариантам:
1. http://scholar.google.com/scholar?hl=en&q=Institute+of+Cryptography%2C+Telecommunications+and+Computer+Science&btnG=
2. http://scholar.google.com/scholar?hl=en&q=IKSI&btnG=
Кажется, ни одной публикации не нашлось. Ой, да?

Естественно, вы тут мне сейчас расскажете про «суперсекретность, никаких публикаций, блаблабла». Естественно, я вам напомню, что секретной науки не бывает, а особенно в районе криптографии — security through obscurity не работает. Но это вас не убедит и вы продолжите верить в фей.

P.S. О, нашлась одна публикация, и то в виде ссылки: некая «Mathematical foundations of computer security. The application». У меня друзья учились по этой «публикации» — ссань несусветная, такой математический велосипед без применения (ну кроме промывания мозгов студентам).

0
Пожилой велосипед

Да, да. Зачем же комментировать собственную глупые высказывания про Касперского.
Про защиту дипломов на английском я говорил в гражданских ВУЗах. Скажете такого нет?
О чём вы вообще говорите? На секундочку представьте, что вы имеете представление об этой кухне: все дипломы имеют соответствующий гриф секретности и т.д. В каком инетике вы их собрались искать?
Ага, дочитал дальше. Security through obscurity не работает, но им нужно обратное, чаще всего, как мы видим из этой новости. И какие бы красивые слова им преподаватели не говорили, все диплом имеют гриф секретности.

–2
Инвестиционный глобус

Хорошо, если вам вдруг непонятно — «держат оборону» на фронте. Действительно разумные софтовые компании занимаются ресёрчем (хотя бы потому, что любой бизнес нужно диверсифицировать) — например, вот таким http://sel4.systems/ или вот таким https://www.openssl.org/~bodo/ssl-poodle.pdf (пусть это будет про безопасность). Где ресёрч от Касперского? Где хоть какой-то опенсорс от Касперского? Нет ничего. Это не «спецы-безопасники», это самая обычная контора без какой-либо супер-экспертизы, но с хорошей рыночной долей. Хочется экспертизы — смотрите на JB и Яндекс, у них есть и опенсорц, и ресёрч.

Я же говорю, у вас вера в фей — «никаких внешних следов супер-спецов нет, но это только потому, что СИКРЕТНАСТЬ!!1». Суперспецы из ФСБ с батниками на русском, лал.

Просто подумайте, откуда там взяться хотя бы преподавателям с какими-то практическими навыками, если они сами (преподаватели) в жизни не написали ничего популярного/используемого/опубликованного?

0
Пожилой велосипед

Слушай, я даже кликнув два раза на их сайте, увидел, что они ещё проводят расследования, обучают персонал.. много чем занимаются.
Ресёрчи и новости от них тоже всплывают постоянно. Будто в информационном вакууме живёте.

0
Буржуазный Филипп

С 2013 года следы Sandworm удалось обнаружить в атаках на ресурсы украинских властей, содержавших секретную дипломатическую информацию, касающуюся подготовки к саммиту НАТО в Братиславе.

Лол, почему-то смешно становится, как представлю, что секретный план подготовки саммита НАТО пишутся в PowerPoint. Так и вижу, как какой-то мужик в потниках сидит и верстает, картинки из гугла вставляет, набирает, чтобы на 15 страниц было. Потом записывает на сверхзащищённую флэшку, садится в бронированный джип, приезжает на секретную базу, выходит представлять на секретном круглом столе, и такой:
— Так, а как тут проектор подключить? Сейчас, подождите... Запускается... Кхм, на этом слайде вы можете видеть...
— Да вы F5 нажмите.
— А, точно, спасибо. Итак, на этом слайде...
— Вы точно уверены, что эту информацию больше никто не получит?
— Конечно, у меня же MS Office с Microsoft™ Security Essentials®!

20
Ничтожный микроскоп

Няня,
заражать компьютеры и перехватывать хранящиеся в их памяти конфиденциальные документы

3
Пожилой велосипед

Помнится, количество денег, которое ФСБ тратило на заграничные поездки было вскрыто путём того, что в открытой для общественности презентации поменяли расширение под редактируемое, и под графиком с процентами оказался оригинал с указанием точных сумм, по которым эти проценты получились.

1
Инвестиционный глобус

Так да, это везде так. В правительствах работают в основном отбросы, просто у них очень много денег. Напомнить про волшебного качества презентацию МО РФ по поводу сбитого Боинга?

1
Буржуазный Филипп

Напоминай.

1
Инвестиционный глобус

Например, этот шедевр инфографики: http://stat.multimedia.mil.ru/images/military/military/photo/mh17_brief_09-900%281%29.jpg

1
Бледный утюг
13
Человеческий меч

Астрологи объявили неделю хакеров!
Количество статей о взломах на TJ удвоилось!

11
Пожилой велосипед

Российские хакеры - это, кажется, единственные ребята, которые в новостях вызывают гордость за российское.

21
Общий якорь

Гордиться хакерами? Ну ок.

0
Пожилой велосипед

«У России только два союзника: ядерное оружие и российские хакеры.»

8
Буржуазный Филипп

Бля, больше не буду её нажимать.

10
Пожилой велосипед

А что захотелось подредактировать?
"Перечень имён «пророссийских террористов»"?

22
Вертикальный Кирилл
10
Специфический динозавр

Понравилось вот это:
"Как заявляют в iSight, многочисленные командные файлы, использовавшиеся для заражения компьютеров и рассылки вируса, написаны на русском языке."

Сразу приходит на ум что-то такое:

7

Комментарий удален

Позитивный пришелец

Вчера впервые использовал Pages. Теперь Word вызывает только жалость

7
Любой магнит

Чем больше пользуюсь iWork, тем больше понимаю, что MS Office был создан для наказания людей

3
Интеллектуальный дым

Эксель ван лав

0
Почетный шмель

Куда можно выложить все свои интимные фотографии, номера счетов, карточек и паролей? Я уже устала волноваться и переживать. Можно уже заразить мой комп каким-нибудь вирусом побыстрее, а?

6
Вертикальный Кирилл
17
Бледный утюг

rsoc_in@rkn.gov.ru
Закидывай.
Правда, судя по профилю, вам больше 18-ти. Там такого не любят...

2
Пожилой велосипед

чмоки всем в этом чятике. Мне тоже можно прислать: it-trend@gmail.com

1
Ледяной клуб

Комментарий удален по просьбе пользователя

5
Психический дым

Очень сильно хочется посмотреть на файлик (в Ubuntu и LibreOffice конечно же).

3

Комментарий удален

Богатый мангал

"Написали вирус, а давайте пусть командные файлы будут на русском, усложним им задачу поиска". Похоже я что-то не понимаю)

1
Мучительный франт

Зараженные ppt, просто охренеть какие элитные "хакеры" ахахаха)))))

–2
Вертикальный Кирилл

Ну хз. На старых форумах кул-хацкеров некоторые индивиды пытались писать вирусы и на Visual Basic.))

1
Мучительный франт

Примерно тот же уровень. Это не хакеры а скрипткидди с дроппером в презентации\пдфе и купленным у кого-нибудь билдом троя.

1
Богатый мангал

А так ли важен способ? Главное же результат, а он есть. Да даже если бы счёты взломали)

1
Мучительный франт

Результат будет в любом случае, просто очень раздражает повсеместная профанация в СМИ слова "хакер"

1
Подлинный бинокль

Слово хакер тащемта было дискредитировано сразу после своего появления

3
Благородный пёс_анон

Мне, наверное, показалось. Но те люди, что решили назвать вирус Sandworm, отчасти уважают создателя(создателей).

0
Неизвестный Макс

Разве в США не запрещено использовать продукты Microsoft в гос. учреждениях?

0
Пожилой велосипед

В Америке либо Windows, либо OS X. Про Линукс слышали немногие. Его нигде особо не изучают

1
Неизвестный Макс

Это обычные пользователи, не?
Еще ведь при Клинтоне начали запрещать в гос. учреждениях Windows, а сейчас я думаю там их оси вообще нигде не осталось, и соответственно PowerPoint.

1
Пожилой велосипед

Смотрю щас Фарго. Там вроде 2006 год. Стоит православная Винда у всех.

1

Комментарий удален

Последний кавалер

Давайте уж сразу на чувашском и на татарском писать вирусы :)

–1
Линейный паук например

всех переиграл

–2
Читать все 61 комментарий
null