КриминалБанды 05.02.2015  

9 современных хакерских групп, финансируемых государствами

Перед вами — перевод статьи Лэнса Дэвида Леклера, одного из авторов блога www.listverse.com.

Хакерские группы сегодня — вполне реальная угроза. Причём речь идёт не о хакерах-любителях, а о серьёзных, профессиональных хакерских группах, работающих на правительства разных стран. Эти группы, финансируемые своими государствами, имеют возможность проникать в сети средств массовой информации, в сети крупных корпораций, военных ведомств, правительств… Проникать, и сеять хаос.

Ситуация настолько серьёзная, что её уже называют «другая холодная война», и война эта поистине глобальна, хотя видят её далеко не все. Но пройдёт совсем немного времени, и кибератаки будут расцениваться как настоящие военные действия.

1. «Сирийская электронная армия» (Сирия)

Впервые о «Сирийской электронной армии» мир услышал в 2011-м году. Группа главным образом состоит из студентов сирийских университетов, которые занимаются пропагандой в пользу сирийского президента Башара Асада. Жертвами их атак стали крупные информационные агентства, такие, как New York Times, различные аккаунты в Twitter, и даже Onion.

Башар Асад

Башар Асад

Также группа в 2013-м году провела успешные атаки на CNN, Washington Post и Time. А однажды группе удалось убедить общественность в том, что в Белом доме произошёл взрыв, и президент Обама ранен. Эта новость на короткое время нарушила работу фондового рынка, а индекс Dow Jones сильно понизился.

Известно также, что хакеры участвовали и в более тёмных делах, таких, как запугивание людей, не поддерживающих Асада. В работе группа часто использует так называемый «целевой фишинг», метод, частично основанный на социальной инженерии, главная задача которого — обманом заставить пользователя выдать пароли или иную конфиденциальную информацию. Для этого пользователей часто направляют на поддельные сайты, созданные специально для «фишинга».

В ноябре 2014-го года группа вернулась, и взломала множество сайтов, использующих специальные сети доставки контента. На сайтах появлялось всплывающее окно, надпись в котором гласила: «Вы были взломаны Сирийской электронной армией».

2. «Tarh Andishan» (Иран)

В 2009-м году компьютерная инфраструктура Ирана оказалась серьёзно дискредитирована после атаки широко разрекламированного червя под названием Stuxnet. Иран ответил на это, используя своих хакерские возможности как для простого выведения сайтов из строя, так и для полномасштабной кибервойны. Так появилась финансируемая государством хакерская группа «Tarh Andishan» (что на фарси означает «Мыслители» или «Новаторы»).

Известность группе принесла «Операция Топор мясника», которая проводилась в 2012-м году и целью которой стали по крайней мере 50 различных организаций по всему миру, которые работали в военной, коммерческой, образовательной, экологической, энергетической и аэрокосмической сферах.

Также группой были атакованы крупные авиакомпании, а в некоторых случаях им даже удалось получить полный доступ к инфраструктурам аэропорта и контрольным системам.

Фирма Cylance, занимающаяся кибербезопасностью, должна была сделать вывод относительно долгосрочных целей этой группы. Она опубликовала отчёт по Tarh Andishan, но представила в нём только часть действий группы, поскольку «Операция Топор мясника» уже на тот момент представляла «серьёзную угрозу физической безопасности в мире».

По мнению Cylance, инфраструктура, доступная Tarh Andishan, слишком велика, так что это не может быть работой одного человека или небольшой группы. Tarh Andishan использует передовые технологии, такие, как SQL-инъекции, новейшие эксплойты, бэкдоры и многое другое. Считается, что в этой группе около 20 участников, основная часть которых находится в Тегеране, а отдельные участники — в Канаде, Нидерландах и Великобритании. Жертвы группы находились в США, Центральной Америке, в различных частях Европы, в Южной Корее, Пакистане, Израиле и в ряде других регионов Ближнего Востока.

3. «Стрекоза» / «Энергетический медведь» (Восточная Европа)

Группа, которую Symantec называет «Стрекоза», а другие фирмы называют «Энергетический медведь», работает из Восточной Европы и с 2011-го года атакует в основном энергетические компании. До этого их целью были авиакомпании и оборонные отрасли США и Канады. В Symantec говорят, что группа хакеров «имеет все признаки государственного финансирования и демонстрирует высокую степень технических возможностей».

«Стрекоза» использует трояны, такие, как их собственный Backdoor. Oldrea и Trojan. Karagany. Это шпионское программное обеспечение, позволяющее следить за сферой энергетики, хотя методы группы могут быть использованы и для промышленного саботажа. Вредоносные программы, как правило, прилагаются к фишинговым электронным письмам, хотя хакеры недавно усовершенствовали методы таргетинга, и теперь пользуются специальными сайтами, на которых серии редиректов используются до тех пор, пока Oldrea или Karagany не попадут в систему жертвы.

А на более поздних этапах своей кампании хакеры даже научились заражать легальное программное обеспечение, так что оно может быть загружено и установлено в систему как обычно, но при этом будет содержать вредоносную программу.

Кампания группы «Стрекоза» (как и червь Stuxnet до неё) была одной из первых серьёзных попыток напрямую контролировать промышленные системы управления. В отличие от Stuxnet, целью которого была лишь ядерная программа Ирана, действия «Стрекозы» были куда шире, это был длительный шпионаж и большие возможности для серьёзных промышленных диверсий.

4. «Индивидуальные операции доступа» (США)

После Stuxnet США не собирались отставать в деле кибервойны и в шпионских играх. Страна оставляет за собой право «использовать все необходимые средства — дипломатические, информационные, военные и экономические — по мере необходимости и в соответствии с применимыми нормами международного права».

Финансируемая государством группа американских хакеров под названием «Индивидуальные операции доступа» находится в ведении Агентства Национальной Безопасности США.

Эдвард Сноуден

Эдвард Сноуден

Именно из-за этой группы стал известен Эдвард Сноуден, после того, как в немецком журнале Der Spiegel появились сведения о том, что АНБ прослушивало тысячи телефонов как в США, так и за рубежом.

По крайней мере с 2008-го года группа может перехватывать поставки персональных компьютеров (на которых затем размещается шпионское программное обеспечение), может использовать программные и аппаратные уязвимости для взлома даже таких серьёзных корпораций, как Microsoft.

Сейчас эта организация не особо скрывается, а её сотрудники даже перечислены на LinkedIn. Их штаб-квартира на 600 сотрудников находится в главном комплексе АНБ в Форт-Мид, штат Мэриленд. Чтобы получить представление об их текущей деятельности, достаточно спросить об этом Дина Шайвинта (Dean Schyvincht), который утверждает, что был в этой группе старшим оператором сети из Техасского офиса. Он говорит, что в 2013-м году было проведено «свыше 54000 глобальных сетевых операций, отвечающих требованиям национальной спецслужбы», и что всё это сделал штат из 14 человек под его непосредственным руководством.

5. «Группа безопасности Аякс» / «Летающий котёнок» (Иран)

«Аякс» возник в 2010-м году, изначально это была группа «хактивистов» и дефейсеров веб-сайтов из Ирана. Но от «хактивизма» они дошли до кибершпионажа и разоблачения политических диссидентов.

Свою государственную поддержку они отрицают, но многие считают, что они были наняты правительством Ирана, плюс группа всячески пытается привлечь внимание правительства к своей общественной деятельности, явно надеясь на государственное финансирование.

В фирме FireEye считают, что именно «Группа безопасности Аякс» предприняла то, что сегодня известно как «Операция шафрановая роза». Это была серия фишинговых атак и попыток изменить веб-доступ к Microsoft Outlook и страницы VPN для того, чтобы получить учётные данные пользователей и информацию об оборонной промышленности США. Также группа занимается разоблачением диссидентов, предоставляя им сервисы, якобы свободные от цензуры.

6. «Подразделение 61398» / «Комментаторская команда» / «Панда с клюшкой» (Китай)

В 2013-м году компания Mandiant опубликовала доклад, в котором пришла к выводу, что группа, работающая на элитное китайское военное подразделение 61398, похитила сотни терабайт данных как минимум из 141 организации по всему миру.

Это утверждение в Mandiant подкрепили доказательствами, такими, как Шанхайские IP-адреса компьютеров. Кроме того, в атакующих компьютерах использовались упрощённые настройки китайского языка, плюс была ещё масса признаков того, что за всем этим стоят многочисленные люди, а не автоматизированные системы.

Китай отверг все эти обвинения, заявив, что доклад «не основан на фактах» и что в нём явный «недостаток технических доказательств».

Брэд Глоссерман

Брэд Глоссерман

Брэд Глоссерман, исполнительный директор Центра стратегических и международных исследований Тихоокеанского Форума опроверг это, указав, что доказательств достаточно. В Mandiant даже знали, откуда исходила большая часть атак: из 12-этажного здания недалеко от Шанхая, где хакеры получили доступ к мощным оптоволоконным кабелям.

На сегодняшний день примерно 20 высококлассных хакерских групп, как сообщают — это выходцы из Китая, и по крайней мере некоторые из этих групп могут представлять китайскую народно-освободительную армию. В их число входят «Комментаторская команда» и «Панда с клюшкой», хакерские группы, которые активны с 2007-го года, и которые предположительно работали из зданий, принадлежащих китайской народно-освободительной армии.

7. «Аксиома» (Китай)

Коалиция групп, связанных с кибербезопасностью, в которую входили Bit9, Microsoft, Symantec, ThreatConnect, Volexity и другие компании, определила ещё одну опасную хакерскую группу, которую они назвали «Аксиома».

Эта группа специализируется на корпоративном шпионаже и на разоблачении политических диссидентов, а также может стоять за атаками на Google в 2010-м году. Полагают, что «Аксиома» — группа из Китая, но до сих пор никому не удалось определить, из какой именно части Китая она работает. В отчёте коалиции об «Аксиоме» говорится, что её деятельность пересекается с «зоной ответственности» китайской разведки и китайского правительства. Это заявление подкрепляется и небольшим сообщением ФБР, которое было опубликовано в Infragard.

В отчёте «Аксиома» описывается как подгруппа, входящая в более крупную и пока неизвестную группу, существующую более шести лет, и атакующую преимущественно частные предприятия, оказывающие существенное влияние на сферу экономики. Методы используются самые разные, начиная от массированных вирусных атак до сложных эксплойтов, на разработку которых требуются годы. Также целями группы становятся западные правительства, различные демократические институты и диссиденты, находящиеся как внутри, так и за пределами Китая.

8. «Бюро 121» (Пхеньян, Северная Корея)

К настоящему времени уже многие слышали о том, что компанию Sony Pictures атаковали хакеры, называющие себя «Стражи мира». Группа очень расстроилась из-за «Интервью» — нового фильма, в котором показано убийство лидера Северной Кореи Ким Чен Ына. «Стражи мира» даже пригрозили новыми терактами в стиле 11 сентября, которые якобы могли произойти в кинотеатрах и на других объектах компании Sony, если фильм «Интервью» всё-таки будет показан.

«Стражи мира» написали: «Что бы не произошло в ближайшие дни, всё это называется „жадность Sony Pictures Entertainment“. Весь мир осудит SONY».

Всё это привело к тому, что Северную Корею начали обвинять в атаках. В СМИ стали появляться упоминания о группе, ныне известной как «Бюро 121». Считается, что «Бюро 121» — это группа северокорейских хакеров и компьютерных экспертов для ведения кибервойны. Перебежчики утверждали, что эта группа принадлежит к Главному Разведывательному Бюро, военному ведомству Северной Кореи.

Дженг Си-юл

Дженг Си-юл

При поддержке правительства группа проводит хакерские атаки и саботаж против Южной Кореи и против своих предполагаемых врагов, таких, как США. В 2013-м году на эту группу была возложена ответственность за атаку на 30000 компьютеров, находящихся в банках и телекомпаниях на территории Южной Кореи.

По некоторым данным «Бюро 121» насчитывает 1800 сотрудников, которые считаются настоящей элитой, и которым предоставляются многочисленные материальные стимулы, такие, как высокая зарплата и возможность перевезти свои семьи в Пхеньян, где сотрудникам выделяют квартиру. Перебежчик Дженг Си-юл рассказал агентству Reuters, что учился с участниками этой группы в северокорейском Университете Автоматизации. Также он сказал, что существуют и зарубежные подразделения этой группы.

9. «Незаметная рысь» (Китай)

«Незаметная рысь» (это название дала компания Symantec) — одна из новейших активных хакерских групп. Отчёт 2013-го года описывает «Незаметную рысь» как группу очень организованных и опытных хакеров (их число — от 50 до 100), которые располагают огромными ресурсами и огромным терпением, позволяющим эти ресурсы использовать. Группа регулярно использует (а возможно, и создаёт) новейшие хакерские методы, один из которых был использован в 2013-м году для проникновения в «облачную» охранную фирму Bit9 с целью получения доступа к данным её клиентов.

Но эти люди занимаются не только кражей личных данных. Они проникают и на объекты, считающиеся самыми безопасными в мире. К ним относится оборонная промышленность, крупнейшие корпорации и правительства ведущих держав. Источники атак могут находиться в США, Китае, Тайване и Южной Корее.

Множество признаков указывает на то, что «Незаметная рысь» пришла из Китая, но до сих пор непонятно, финансирует ли их государство или же это просто очень влиятельная группа наёмников. Однако их продвинутые навыки и методы, а также тот факт, что вся их инфраструктура, а также серверы для контроля и управления находятся в Китае — всё это заставляет усомниться в том, что группа обходится без государственной поддержки.

Еще: