Китайские спецслужбы перехватили кибероружие США

07 мая 2019, 17:30

Москва, 7 мая - "Вести.Экономика" Китайская разведка перехватила код кибероружия, использованного США при атаке на ее компьютеры, и передала хакерам, которые применили его для проникновения в сети союзников США. Китайские спецслужбы перехватили американское кибероружие во время атаки Агентства национальной безопасности США (АНБ, NSA) на китайские серверы в 2016 году и использовали их в атаке против американских союзников и частных европейских и азиатских компаний, пишет The New York Times со ссылкой на выводы IT-компании Symantec. Как пишет издание, в 2017 году перехваченные китайцами инструменты использовали хакеры из группировки Shadow Brokers, связанные с Северной Кореей и Россией, для массовых кибератак шифровальниками под общим названием NotPetya. Их целью была Украина и европейские компании. Только контейнерный перевозчик Maersk потерял от атак порядка $300 млн. Переработанный американский код был использован при атаках минимум на пять стран — Бельгию, Люксембург, Вьетнам, Филиппины и Гонконг. Одна из атак на крупную телекоммуникационную компанию дала хакерам доступ к миллионам частных посланий, сообщил Symantec. Перехват кода хакерами поднимает вопрос того, должны ли Соединенные Штаты продолжать разрабатывать самые высокотехнологичные секретные виды кибероружия, если не могут держать их под контролем. Как сообщали ранее "Вести.Экономика", хакерские инструменты Агентства национальной безопасности (АНБ) США, опубликованные группировкой The Shadow Brockers в 2017 г., замечены в кампаниях по шпионажу, направленных на предприятия в области аэрокосмической промышленности, ядерной энергетики, научно-производственной и других сферах. Речь идет о программах DarkPulsar, DanderSpritz и Fuzzbunch, которые, по данным "Лаборатории Касперского", применялись злоумышленниками для заражения систем на базе Windows Server 2003 и 2008 в России, Иране и Египте. Первый фреймворк, Fuzzbunch, состоит из плагинов разных категорий, используемых для разведки, применения эксплойтов и изучения уже подконтрольных машин. Предназначение Fuzzbunch состоит в объединении множества утилит для удобства использования и возможности их комбинирования, например когда выходные параметры одной утилиты являются входными параметрами для другой. Второй фреймворк, DanderSpritz, — это скорее среда для контроля уже скомпрометированных хостов. Он написан на Java и предоставляет графический интерфейс с окнами, кнопками и меню. Похожие интерфейсы можно увидеть в административных панелях для управления бот-сетями. DanderSpritz включает в себя собственные бэкдоры и плагины для управления зараженными машинами и не имеющие отношения к FuzzBunch. Таким образом, FuzzBunch и DanderSpritz – это независимые платформы для осуществления кибершпионажа, которые, однако, имеют общие черты, поскольку созданы, судя по всему, одним производителем. Как отмечалось выше, FuzzBunch содержит плагины разных типов, большинство из которых предназначены для изучения жертв, эксплуатации уязвимостей, удаленной работы с планировщиком задач, реестром, файловой системой и т. д. Одним из плагинов для управления зараженными машинами является DarkPulsar — бэкдор, предоставляющий функции удаленного управления. Он работает на стороне зараженного пользователя и позволяет злоумышленникам получить удаленный доступ к инфицированным компьютерам. Оказавшись на системе, атакующие могут применить DanderSpritz для мониторинга и извлечения данных с скомпрометированной системы. Целями называют компании и организации, связанные с ядерной энергетикой, телекоммуникацией и информационными технологиями, аэрокосмическими технологиями, и научно-производственные предприятия. Стоит отметить, что это не первый случай, когда АНБ США утратило контроль за разработанным в ведомстве арсеналом кибероружия и различных инструментов для взлома операционных систем и кражи персональных данных. В мае 2017-го года издание Financial Times, а также ряд других СМИ сообщили о том, что хакеры пытаются продать программу EsteemAudit, которая была разработана в АНБ. Как сообщается, вредоносный софт, предназначенный для взлома ОС Windows, был выставлен на продажу в так называемой "темной паутине" (dark web) – сегменте интернета, для доступа к которому требуются специальные программы. Немного раньше, после распространения вредоносной программы WannaCry, президент и главный юрисконсульт Microsoft Брэд Смит в официальном блоге американской компании заявил о том, что речь идет о глобальной кибератаке с использованием программы, разработанной в АНБ США. Топ-менеджер Microsoft сравнил применение хакерами вредоносного софта АНБ США с кражей и применением крылатых ракет: "Одна из таких программ была украдена у АНБ и затронула потребителей по всему миру. Программы, разрабатываемые правительствами, уже неоднократно становились всеобщим достоянием и наносили серьезный ущерб. Аналогичным сценарием с применением конвенционального оружия была бы кража у Вооруженных сил США крылатых ракет "Томагавк". Война в киберпространстве и кибертерроризм могут привести к авариям на атомных станциях, разрушению гидроэлектростанций, катастрофам на транспорте и других объектах инфраструктуры, приближаясь по своим разрушительным последствиям к оружию массового поражения. Кроме того, немалую опасность представляет сценарий, когда кибероружие в случае утечки может быть скопировано и распространено, к примеру, террористическими группировками. ООН рассматривает вопрос о введение моратория на кибероружие, а эксперты готовят основу глобальных договоренностей по контролю за использованием информационно-коммуникационных технологий (ИКТ), чтобы не допустить их превращения в оружие, сравнимое по своему разрушительному потенциалу с ядерным или химическим. Основные разночтения сводятся к определению границ суверенитета в киберпространстве, формулированию понятий киберагрессии, отличию шпионажа от подготовки к кибердиверсии и т. д. По мнению западных специалистов, действующие нормы международного права, определяющие понятия военных конфликтов и ответа на агрессию, вполне применимы и в области конфликтов в киберпространстве, позволяя контролировать этот новый вид ведения боевых действий. Российские эксперты, напротив, традиционно акцентируют нецелесообразность применения действующих норм международного права к киберпространству из-за сложностей в идентификации страны, откуда исходит атака. Эти и другие причины дают основания выступать за полный запрет использования кибервооружений.