Украденное у АНБ кибероружие используется против России, Египта и Ирана
Москва, 23 октября - "Вести.Экономика"
Инструменты Агентства национальной безопасности (АНБ) США, опубликованные группировкой The Shadow Brockers в 2017 году, замечены в кампаниях по шпионажу, направленных на предприятия в области аэрокосмической промышленности, ядерной энергетики, научно-производственной и других сферах.
Речь идет о программах DarkPulsar, DanderSpritz и Fuzzbunch, которые, по данным «Лаборатории Касперского», применялись злоумышленниками для заражения систем на базе Windows Server 2003 и 2008 в России, Иране и Египте.
Первый фреймворк, Fuzzbunch, состоит из плагинов разных категорий, используемых для разведки, применения эксплойтов и изучения уже подконтрольных машин. Предназначение Fuzzbunch состоит в объединении множества утилит для удобства использования и возможности их комбинирования, например, когда выходные параметры одной утилиты являются входными параметрами для другой.
Второй фреймворк, DanderSpritz, — это, скорее, среда для контроля уже скомпрометированных хостов. Он написан на Java и предоставляет графический интерфейс с окнами, кнопками и меню. Похожие интерфейсы можно увидеть в административных панелях для управления бот-сетями. DanderSpritz включает в себя собственные бэкдоры и плагины для управления зараженными машинами и не имеющие отношения к FuzzBunch. Таким образом, FuzzBunch и DanderSpritz – это независимые платформы для осуществления кибершпионажа, которые, однако, имеют общие черты, поскольку созданы, судя по всему, одним производителем.
Как отмечалось выше, FuzzBunch содержит плагины разных типов, большинство из которых предназначены для изучения жертв, эксплуатации уязвимостей, удаленной работы с планировщиком задач, реестром, файловой системой и т.д.
Одним из плагинов для управления зараженными машинами является DarkPulsar — бэкдор, предоставляющий функции удаленного управления. Он работает на стороне зараженного пользователя, и позволяет злоумышленникам получить удаленный доступ к инфицированным компьютерам. Оказавшись на системе, атакующие могут применить DanderSpritz для мониторинга и извлечения данных с скомпрометированной системы.
Как сообщают эксперты «Лаборатории Касперского», все известные жертвы располагались в России, Иране и Египте.
"Мы обнаружили порядка 50 жертв на момент исследования, но уверены, что в период активного использования фреймворков Fuzzbunch и DanderSpritz жертв было значительно больше. В пользу этого говорит то, что интерфейс DanderSpritz позволяет управлять множеством жертв одновременно. Еще одна причина нашей уверенности – имплант поддерживает функцию удаления, и мы убеждены, что операторы всегда пытались удалить уже ненужный имплант после того, как достигли своей цели. 50 обнаруженных жертв на момент исследования – это, мы полагаем, просто жертвы, импланты которых каким-то образом остались неудаленными", - говорится в сообщении «Лаборатории Касперского».
Целями называют компании и организации, связанные с ядерной энергетикой, телекоммуникацией и информационными технологиями, аэрокосмическими технологиями и научно-производственные предприятия.
Инструменты Агентства национальной безопасности (АНБ) США, опубликованные группировкой The Shadow Brockers в 2017 году, замечены в кампаниях по шпионажу, направленных на предприятия в области аэрокосмической промышленности, ядерной энергетики, научно-производственной и других сферах.
Речь идет о программах DarkPulsar, DanderSpritz и Fuzzbunch, которые, по данным «Лаборатории Касперского», применялись злоумышленниками для заражения систем на базе Windows Server 2003 и 2008 в России, Иране и Египте.
Первый фреймворк, Fuzzbunch, состоит из плагинов разных категорий, используемых для разведки, применения эксплойтов и изучения уже подконтрольных машин. Предназначение Fuzzbunch состоит в объединении множества утилит для удобства использования и возможности их комбинирования, например, когда выходные параметры одной утилиты являются входными параметрами для другой.
Второй фреймворк, DanderSpritz, — это, скорее, среда для контроля уже скомпрометированных хостов. Он написан на Java и предоставляет графический интерфейс с окнами, кнопками и меню. Похожие интерфейсы можно увидеть в административных панелях для управления бот-сетями. DanderSpritz включает в себя собственные бэкдоры и плагины для управления зараженными машинами и не имеющие отношения к FuzzBunch. Таким образом, FuzzBunch и DanderSpritz – это независимые платформы для осуществления кибершпионажа, которые, однако, имеют общие черты, поскольку созданы, судя по всему, одним производителем.
Как отмечалось выше, FuzzBunch содержит плагины разных типов, большинство из которых предназначены для изучения жертв, эксплуатации уязвимостей, удаленной работы с планировщиком задач, реестром, файловой системой и т.д.
Одним из плагинов для управления зараженными машинами является DarkPulsar — бэкдор, предоставляющий функции удаленного управления. Он работает на стороне зараженного пользователя, и позволяет злоумышленникам получить удаленный доступ к инфицированным компьютерам. Оказавшись на системе, атакующие могут применить DanderSpritz для мониторинга и извлечения данных с скомпрометированной системы.
Как сообщают эксперты «Лаборатории Касперского», все известные жертвы располагались в России, Иране и Египте.
"Мы обнаружили порядка 50 жертв на момент исследования, но уверены, что в период активного использования фреймворков Fuzzbunch и DanderSpritz жертв было значительно больше. В пользу этого говорит то, что интерфейс DanderSpritz позволяет управлять множеством жертв одновременно. Еще одна причина нашей уверенности – имплант поддерживает функцию удаления, и мы убеждены, что операторы всегда пытались удалить уже ненужный имплант после того, как достигли своей цели. 50 обнаруженных жертв на момент исследования – это, мы полагаем, просто жертвы, импланты которых каким-то образом остались неудаленными", - говорится в сообщении «Лаборатории Касперского».
Целями называют компании и организации, связанные с ядерной энергетикой, телекоммуникацией и информационными технологиями, аэрокосмическими технологиями и научно-производственные предприятия.