Блог им. NakedTrader

Детали американской кибератаки на «фабрику троллей»

Получить доступ к серверам им помогло халатное отношение жертв к кибербезопасности
 
Главный вопрос, оставшийся после вчерашней новости об американской кибератаке на «фабрику троллей» Евгения Пригожина, — как США удалось это сделать и что атака говорит о возможностях американского киберкомандования: сможет ли оно, например, отключить Россию от интернета, как опасаются силовики и депутаты. Появившиеся сегодня подробности атаки позволяют на него ответить: никаких сверхвозможностей США не показало, а ноябрьский взлом — результат грамотной социальной инженерии и беспечного подхода сотрудников Пригожина к кибербезопасности.
Обстоятельства атаки стали известны из заявления связанного с Пригожиным РИА ФАН, которое и стало жертвой, а также от источника «Русской службы Би-би-си», близкого к атакованному США отделу. Из заявления ФАН следует:
 
Детали американской кибератаки на «фабрику троллей»Детали американской кибератаки на «фабрику троллей» Взлом проводился сразу по нескольким направлениям. Сначала хакеры провели успешную фишинговую атаку через электронную почту: один из сотрудников ФАН открыл вложение из поддельного письма с «информацией об американских выборах». Американцы получили доступ к его компьютеру, но не сумели через него попасть в локальную сеть ФАН.
Детали американской кибератаки на «фабрику троллей»
Детали американской кибератаки на «фабрику троллей»Детали американской кибератаки на «фабрику троллей» Гораздо лучше сработал второй способ, технические детали которого из заявления ФАН ясны не до конца. Один из сотрудников агентства подключил свой iPhone 7 Plus к персональному компьютеру, после чего смартфон обновил систему на компьютере. «После этого компьютер стал по факту управляем удаленно, и с него были проведены все необходимые процедуры для полноценного вторжения в локальную сеть ФАН», — говорится в сообщении ФАН.
Детали американской кибератаки на «фабрику троллей»
Детали американской кибератаки на «фабрику троллей»Детали американской кибератаки на «фабрику троллей» В ходе атаки были выведены из строя два жестких диска из четырех на внутриофисном сервере ФАН и отформатированы жесткие диски серверов, использовавшихся для хранения данных портала USA Really. При этом ФАН заверяет, что атака не смогла парализовать его работу, а его американский сайт USA Really, который был главной целью, продолжил работу в штатном режиме.
Детали американской кибератаки на «фабрику троллей»
Детали американской кибератаки на «фабрику троллей»Детали американской кибератаки на «фабрику троллей» Из объяснений ФАН следует, что смартфон смог получить управление над компьютером благодаря доступу к дата-центрам Apple (как именно — агентство не поясняет).
Детали американской кибератаки на «фабрику троллей»
Детали американской кибератаки на «фабрику троллей»Детали американской кибератаки на «фабрику троллей» Судя по описанию, приведенному ФАН, смартфон, который подключил к компьютеру сотрудник ФАН, должен был содержать вредоносное приложение — например, троян, способный перехватить управление над Windows для ПК (для этого айфон должен был пройти перепрошивку). Вирус запустился с айфона, как с флешки, и через него киберкомандование США могло получить доступ к компьютеру, хотя сам троян попал в смартфон без всякого участия со стороны американских военных.
Детали американской кибератаки на «фабрику троллей»
Детали американской кибератаки на «фабрику троллей»Детали американской кибератаки на «фабрику троллей» Технические детали кибератаки, которые удалось выяснить «Русской службе Би-би-си», в целом совпадают с описанием ФАН. Источник Би-би-си сообщил, что для взлома мог использоваться бэкдор в Windows (программа, эксплуатирующая уязвимость в системе), а после кибератаки сервера американского отдела перевели под управление ОС на ядре Linux.
Детали американской кибератаки на «фабрику троллей»
Детали американской кибератаки на «фабрику троллей»Детали американской кибератаки на «фабрику троллей» Существуют бэкдоры, предположительно разработанные АНБ и использующие уязвимости в продуктах Microsoft. Пример — бэкдор DoublePulsar, который раскрыла в 2017 году хакерская группировка ShadowBrokers (в США ее связывали с Россией). Но Microsoft закрыла используемую уязвимость еще в 2017 году. Если АИИ было взломано через такой бэкдор, это может означать, что агентство использовало контрафактное ПО, в котором традиционно наблюдаются проблемы с доставкой обновлений.
Детали американской кибератаки на «фабрику троллей»
 
Что все это значит?
Главный вывод — взлом не выходил за рамки обычных приемов хакеров. Подключение к USB-порту устройства с хакерским комплектом ПО — стандартный вектор атаки. Фишинговое письмо — тоже. Оба этих вектора используют простую социальную инженерию (открытие вложения из фишингового письма) и халатное отношение сотрудников к кибербезопасности (подключение к компьютеру небезопасного устройства).
 
Что мне с этого?
Беспокоиться о том, что у американского киберкомандования есть какие-то сверхтехнологии, не стоит. Как и прежде, взлом локальной сети может произойти только за счет беспечности людей, имеющих к ней доступ. Но наступление российских силовиков на свободный интернет это не остановит.
4 комментария
чтобы обманщики не придумали новый обман

оптимально сделать вид мол верим в обман
Однажды мне надо было отремонтировать фен. Пошарил по интернету, нашел якобы видос, но файл оказался .exe. Изменился интерфейс видны на китайский, установилось с десяток каких-то программ. Вычищал систему два дня в безопасном режиме
А могли бы и просто пару бомжей нанять чтобы те  топором в колодце кабель рубанули:)
avatar
Не совсем понимаю почему нет ответной реакции МИД, почему нет обсуждения в ООН, открытым же текстом сказали — госорганы США провели атаку. Когда мы где-то у себя чихаем, так сразу санкции на полмира, а тут тишина
avatar

теги блога Нэш Ван Дрейк (Кот Скрипаля)

....все тэги



UPDONW
Новый дизайн