Офтоп
Женя Кузьмин

Взлом двадцатилетней выдержки

Российские хакеры до сих пор успешно используют инструменты для взлома из 90-х.

Скриншот из выступления Рида на Security Analyst Summit

3 апреля 2017 года на конференции Security Analyst Summit в Сен-Мартене группа экспертов представила результаты двухлетнего исследования методов взлома легендарной хакерской группировки Moonlight Maze, которая 20 лет назад провела одну из первых в истории операций по кибершпионажу.

Однако им удалось не только узнать, как именно взломщики похищали данные с компьютеров в США, но и связать Moonlight Maze со знаменитыми «русскими хакерами», которых обвиняют в работе на российское правительство. С помощью древнего компьютера 90-х эксперты обнаружили, что современная команда Turla использует те же инструменты для взлома, что и Moonlight Maze 20 лет назад.

Шпионаж за шпионами

Группу хакеров и одноимённую операцию Moonlight Maze называют «легендой кибершпионажа». В 1996 году, когда интернет только «вставал на ноги», команда взломщиков похитила множество конфиденциальных данных из правительственных и университетских сетей в США. Жертвами взлома стал Пентагон, космическое агентство NASA, Департамент энергетики и многие другие организации. В итоге в кибершпионаже обвинили Россию.

По словам специалистов, если сложить распечатанные украденные материалы, то стопка будет в три раза выше, чем Монумент Вашингтона.

По данным экспертов, Moonlight Maze занимались шпионажем и взломами несколько лет, после чего группировка просто пропала из поля зрения. Однако профессор Королевского колледжа Лондона Томас Рид (Thomas Rid) предположил, что хакеры просто «залегли на дно», после чего просто назвались другим именем и продолжили свою деятельность. Но для доказательства исследователю требовалось узнать, как именно Moonlight Maze взламывали компьютеры 20 лет назад.

Томас Рид

В 2016 году расследование привело Рида к дому в английской деревне Хартли Уитни, в которой жил Дэвид Хеджес (David Hedges), 69-летний IT-консультант на пенсии. Исследователь хотел узнать, остались ли у него логи компьютера, игравшего роль сервера для одного из сайтов его клиентов в 1998 году. По информации Рида, этот сайт взломали «русские хакеры» и использовали для шпионажа.

В 1998 году британская полиция связалась с Хеджесом и сообщила ему, что его компьютер, как и многие другие, взломан хакерами и используется для их нужд. Полиция совместно с ФБР и Министерством обороны США попросили IT-консультанта не предпринимать никаких действий, а просто следить и записывать активность взломщиков.

В течение полугода Хеджес шпионил за шпионами.

Перед визитом Рид написал Хеджесу письмо, в котором объяснил, что он ищет. Через несколько недель ему пришёл ответ. Оказалось, что Хеджес до сих пор хранит древний HP 9000 под столом в своём кабинете. Логи же лежат в его сейфе на магнитооптическом диске. «Я всегда думал, что однажды это кого-то заинтересует», — сказал владелец компьютера Риду.

HP 9000, принадлежащий Хеджесу

Хакерская капсула времени

Рид объединился с исследователями из Королевского колледжа Лондона и «Лаборатории Касперского», после чего начал изучать полученные от Хеджеса данные. Они содержали полугодовую историю действий русских хакеров, взломавших десятки правительственных организаций США во время операции Moonlight Maze.

Записи стали чем-то вроде «капсулы времени», позволяющей узнать, как действовали хакеры тех лет. Эксперты отметили, что участники Moonlight Maze практически не пытались скрыть следы своего «присутствия» в компьютере или хотя бы шифровать украденные данные. По сравнению с современными хакерами, в 90-е большая часть работы выполнялась вручную, без запуска автоматизированных вредоносных программ.

3 апреля 2017 года на конференции Security Analyst Summit Рид и его команда представили результаты нескольких месяцев работы над анализом информации со старого компьютера. По их словам, их «археологическая работа» имеет большее значение, чем просто попытка воссоздать ход легендарной операции. Исследователи заявили, что нашли «кусок древнего вредоносного кода», который до сих пор используется знаменитой российской хакерской группировкой Turla.

Долгое время считалось, что Turla, известная также под названиями Snake и Uroburos, начала свою деятельность в 2007 году. По информации западных СМИ, группировку активно поддерживает правительство России, а её ядро состоит из «русскоязычных хакеров». Специалисты по кибербезопасности отметили, что взломщики очень хорошо организованы, и когда кто-то пытается их вычислить, хакеры сразу же на время «впадают в спячку».

Как считает Рид, современная команда Turla — это те же хакеры, что работали над Moonlight Maze, хоть группировка и «мутировала за эти годы». Эксперт по кибербезопасности отметил, что это делает их участниками «одной из самых длительных операций по кибершпионажу» в истории.

Мы можем наблюдать за эволюцией разведки. Они делают это уже больше 20 лет, а может и больше.

Томас Рид, исследователь

Консервативные взломщики

Что это был за древний вредоносный код? В логах HP 9000 исследователи обнаружили, что участники Moonlight Maze использовали Linux-бэкдор под названием Loki2, предназначенный для извлечения данных со взломанных устройств. О трояне ещё в 1996 году рассказывали в журнале Phrack: в те годы он получил популярность благодаря «хитрому способу» скрытия украденной информации.

Но специалисты «Лаборатории Касперского» не остановились на этом открытии. Они попробовали сравнить результаты проверок с анализом инструментов для взлома, которые использовала группировка Turla в 2014 при атаке на швейцарскую компанию RUAG, связанную с министерством обороны страны. По результатам исследования оказалось, что хакеры использовали модифицированную версию того же бэкдора Loki2.

Скриншот из выступления Рида на Security Analyst Summit

По словам специалистов, они не встречали Loki2 ни в одной из современных операций других группировок. При этом Turla пользуется им не в первый раз: следы вредоносного кода были замечены при их атаках на компьютеры в Германии, а также в операции Stormcloud 2001 года. Один из сотрудников «Лаборатории Касперского» отметил, что когда взломщикам нужно было действовать скрытно на Linux или Unix, то они просто «стряхивали пыль с кода и использовали его снова».

В конце 90-х никто ещё не понимал, насколько продолжительными и масштабными могут быть кампании кибершпионажа. Анализ вредоносного ПО и кода Moonlight Maze — это не просто увлекательное «путешествие» в прошлое, а очередное напоминание о том, что хорошо подготовленные группировки никуда не исчезают и не прекращают свою деятельность.

Наша общая задача сегодня — понять, почему атакующие до сих пор успешно применяют старый код, и подстроить под него защиту.

Хуан Андрес Герреро-Сааде, эксперт «Лаборатории Касперского»

При этом команда не может доказать, что Turla, которых называют «хакерами Кремля» — это продолжатели дела Moonlight Maze. Эксперты отметили, что найденный Loki2 является лишь первой уликой в их расследовании. Исследователям предстоит узнать, что стало с хакерами в период с 1999 года по 2004 год. Однако по словам Томаса Рида, связь между группировками показывает, что Moonlight Maze за 20 лет могла стать крайне опасным и изощрённым «игроком».

Если взаимодействие между Turla и хакерами из 90-х будет доказано, то Moonlight Maze станет одной из самых «долгоживущих» команд взломщиков в истории. Сравниться с ними может только Equation Group, которой приписывают сотрудничество с АНБ. Рид надеется, что сможет найти новые зацепки, которые позволят окончательно связать легендарную группировку из прошлого с современными российскими хакерами. Возможно, ответы на его вопросы лежат в компьютере где-то под столом другого IT-консультанта.

#РусскиеХакеры