Эксперты по безопасности исследовали малоизвестный до сих пор инструмент хакерской группы Equation известный как Territorial Dispute

Эксперты по безопасности исследовали малоизвестный до сих пор инструмент хакерской группы Equation известный как Territorial Dispute

Операторы кибершпионских программ Агентства нацбезопасности США (АНБ) имеют техническую возможность распознавать на зараженных ими компьютерах чужие хакерские программы и оперативно выводить с машин свой код, чтобы не "засвечивать" свои инструменты.

К такому выводу пришли венгерские исследователи, которые изучили вредоносные программы АНБ, утекшие в апреле 2017 г., и описали утилиту под названием Territorial Dispute ("территориальный спор").

По мнению экспертов, она не привлекла к себе должного интереса сразу исключительно потому, что все внимание было приковано к эксплойтам EternalBlue, EternalRomance и др. В немалой степени это связано с тем, что EternalBlue использовался создателями вредоноса WannaCry, вызвавшего в 2017 г. глобальную эпидемию.

Как работает утилита АНБ

Territorial Dispute не имеет "наступательных" характеристик. По принципам работы этот инструмент напоминает антивирус, хотя и работает в связке со шпионским фреймворком DanderSpritz. Эта комбинация опрашивает зараженную систему, и Territorial Dispute, в частности, целенаправленно ищет файлы и записи в системном реестре, являющиеся признаками активности хакерских групп, связанных с другими государствами.

Если эти признаки обнаруживаются, то TerritorialDisputeотправляет оператору предупреждения следующих видов: "Пожалуйста, сверните операцию", "Срочно обратитесь за помощью", "Инструменты дружественной стороны", "Опасный вредонос" и т. д. Иными словами, указывают венгерские исследователи, TerritorialDisputeспособен различать между собой кибершпионские инструменты союзников и противников США. Инструмент содержит список индикаторов заражения, распределенных по 45 категориям. Каждая из этих категорий соответствует отдельно взятой кибершпионской группировке.

Исследователи сравнили эти индикаторы с теми, что были ранее обнародованы различными экспертами и антивирусными компаниями. Выяснилось, что TerritorialDisputeраспознает хакерские группировки, известные как Turla, FancyBear, Duqu, Stuxnet, Flame, DarkHotel и ряд других помельче. Кроме этого обнаружились прежде неизвестные индикаторы заражений: это означает, что на момент кражи их инструментов, хакеры АНБ были в курсе деятельности целого ряда кибершпионских групп, о которых широкой публике ничего не было известно.

"Эксплойты АНБ"

В конце лета 2016 г. некая никому доселе неизвестная группа ShadowBrokersзаявила о том, что в ее распоряжении находятся эксплойты кибергруппировки Equation. О существовании последней стало известно годом ранее от "Лаборатории Касперского". Эксперты "Лаборатории" назвали Equation – "Звездой смерти в галактике вредоносного ПО", отметив, что действовать она могла с конца 1990-х, и что всегда получала доступ к эксплойтам нулевого дня раньше других групп, известных к тому моменту. Впоследствии Equationс высокой долей достоверности связали со специальным подразделением АНБ.

После неуспешной попытки продать эксплойты Equation на импровизированном аукционе, ShadowBrokersв апреле 2017 г. выложила значительную их часть в общий доступ.

Как оказалось, многие из этих эксплойтов сохранили эффективность. В частности, EternalBlue, как уже сказано, был использован создателями вредоноса WannaCry, заразившего 230 тыс. компьютеров в 150 странах мира. В конце января 2018 г. стало известно, что тот же эксплойт теперь использует криминальный криптомайнер, занимающийся производством валюты Monero. Им заразились более 500 тыс. компьютеров. Очевидно, что эти же эксплойты использовались и другими злоумышленниками – в менее публичных атаках.

Эксперты отмечают, что само использование таких инструментов многое говорит о методах работы Equation/АНБ: "правительственные хакеры" США стараются проводить свои операции как можно тише и прилагают немало усилий, чтобы скрыть следы своей деятельности. Тем не менее, с 2015 г. их деятельность уже является "секретом Полишинеля".

Cnews