Детали американской кибератаки на «фабрику троллей»

Получить доступ к серверам им помогло халатное отношение жертв к кибербезопасности

Главный вопрос, оставшийся после вчерашней новости об американской кибератаке на «фабрику троллей» Евгения Пригожина, — как США удалось это сделать и что атака говорит о возможностях американского киберкомандования: сможет ли оно, например, отключить Россию от интернета, как опасаются силовики и депутаты. Появившиеся сегодня подробности атаки позволяют на него ответить: никаких сверхвозможностей США не показало, а ноябрьский взлом — результат грамотной социальной инженерии и беспечного подхода сотрудников Пригожина к кибербезопасности.
Обстоятельства атаки стали известны из заявления связанного с Пригожиным РИА ФАН, которое и стало жертвой, а также от источника «Русской службы Би-би-си», близкого к атакованному США отделу. Из заявления ФАН следует:

	Взлом проводился сразу по нескольким направлениям. Сначала хакеры провели успешную фишинговую атаку через электронную почту: один из сотрудников ФАН открыл вложение из поддельного письма с «информацией об американских выборах». Американцы получили доступ к его компьютеру, но не сумели через него попасть в локальную сеть ФАН.

	Гораздо лучше сработал второй способ, технические детали которого из заявления ФАН ясны не до конца. Один из сотрудников агентства подключил свой iPhone 7 Plus к персональному компьютеру, после чего смартфон обновил систему на компьютере. «После этого компьютер стал по факту управляем удаленно, и с него были проведены все необходимые процедуры для полноценного вторжения в локальную сеть ФАН», — говорится в сообщении ФАН.

	В ходе атаки были выведены из строя два жестких диска из четырех на внутриофисном сервере ФАН и отформатированы жесткие диски серверов, использовавшихся для хранения данных портала USA Really. При этом ФАН заверяет, что атака не смогла парализовать его работу, а его американский сайт USA Really, который был главной целью, продолжил работу в штатном режиме.

	Из объяснений ФАН следует, что смартфон смог получить управление над компьютером благодаря доступу к дата-центрам Apple (как именно — агентство не поясняет).

	Судя по описанию, приведенному ФАН, смартфон, который подключил к компьютеру сотрудник ФАН, должен был содержать вредоносное приложение — например, троян, способный перехватить управление над Windows для ПК (для этого айфон должен был пройти перепрошивку). Вирус запустился с айфона, как с флешки, и через него киберкомандование США могло получить доступ к компьютеру, хотя сам троян попал в смартфон без всякого участия со стороны американских военных.

	Технические детали кибератаки, которые удалось выяснить «Русской службе Би-би-си», в целом совпадают с описанием ФАН. Источник Би-би-си сообщил, что для взлома мог использоваться бэкдор в Windows (программа, эксплуатирующая уязвимость в системе), а после кибератаки сервера американского отдела перевели под управление ОС на ядре Linux.

	Существуют бэкдоры, предположительно разработанные АНБ и использующие уязвимости в продуктах Microsoft. Пример — бэкдор DoublePulsar, который раскрыла в 2017 году хакерская группировка ShadowBrokers (в США ее связывали с Россией). Но Microsoft закрыла используемую уязвимость еще в 2017 году. Если АИИ было взломано через такой бэкдор, это может означать, что агентство использовало контрафактное ПО, в котором традиционно наблюдаются проблемы с доставкой обновлений.

Что все это значит?
Главный вывод — взлом не выходил за рамки обычных приемов хакеров. Подключение к USB-порту устройства с хакерским комплектом ПО — стандартный вектор атаки. Фишинговое письмо — тоже. Оба этих вектора используют простую социальную инженерию (открытие вложения из фишингового письма) и халатное отношение сотрудников к кибербезопасности (подключение к компьютеру небезопасного устройства).

Что мне с этого?
Беспокоиться о том, что у американского киберкомандования есть какие-то сверхтехнологии, не стоит. Как и прежде, взлом локальной сети может произойти только за счет беспечности людей, имеющих к ней доступ. Но наступление российских силовиков на свободный интернет это не остановит.

кибератака

Нэш Ван Дрейк (Кот Скрипаля)

где то в России

198

35 241

с 8 января 2016

4 Комментария

Логарифм Интегралыч
28 февраля 2019, 02:27
чтобы обманщики не придумали новый обман

оптимально сделать вид мол верим в обман
0
Нэш Ван Дрейк (Кот Скрипаля)
28 февраля 2019, 03:13
Однажды мне надо было отремонтировать фен. Пошарил по интернету, нашел якобы видос, но файл оказался .exe. Изменился интерфейс видны на китайский, установилось с десяток каких-то программ. Вычищал систему два дня в безопасном режиме
+1
Азат Туктаров
28 февраля 2019, 07:42
А могли бы и просто пару бомжей нанять чтобы те топором в колодце кабель рубанули:)
0
iireg
28 февраля 2019, 11:18
Не совсем понимаю почему нет ответной реакции МИД, почему нет обсуждения в ООН, открытым же текстом сказали — госорганы США провели атаку. Когда мы где-то у себя чихаем, так сразу санкции на полмира, а тут тишина
0