Российские хакеры пользуются сервисом микроблогов Twitter в качестве средства, позволяющего незаметно проникать в секретные компьютерные системы правительственных учреждений Запада. Это новый способ взлома, в котором сочетаются современные цифровые технологии и давно известные методы получения секретных данных.
Хакеры используют изображения, загружаемые на страницы социальных сетей, для передачи сообщений и команд хакерским — вредоносным — программам, которыми они заразили интересующий их компьютер.
Смысл использования Twitter в качестве средства управления вредоносной программой — которая может заставлять компьютер воровать файлы и выполнять другие операции — состоит в том, что большинство антивирусных систем практически не в состоянии отследить эту вредоносную программу, поскольку она выглядит как бесчисленное множество отчетов о других посещениях этого социального сервиса пользователем.
В последнем докладе, опубликованном в среду фирмой FireEye, работающей в сфере киберзащиты, впервые были представлены сведения о новой вредоносной программе, получившей название Hammertoss.
По утверждению специалистов из FireEye существует «высокая степень вероятности», что за разработкой этой вирусной программы стоят российские агенты.
«На самом деле это служит примером того, насколько изобретательными и изощренными становятся группы, занимающиеся сбором секретной информации, — говорит руководитель подразделения по предотвращению киберугроз FireEye Джен Уидон (Jen Weedon). — Они весьма эффективно используют в своих целях все эти учетные данные и сервисы. Это искусство. И вполне очевидно, что это отнюдь не то вредоносное ПО, которое создается лишь бы как».
При всей технической сложности программы Hammertoss принципы, на которых она основана, напоминают те примитивные сигналы, которыми пользовались шпионы времен холодной войны — знаки, написанные мелом на стволах деревьев, и тайники для связи с резидентами. По сути, сайт социального сервера позволяет российским хакерам поддерживать связь со своими агентами абсолютно у всех на виду и под носом у тех служб, которые отслеживают необычное поведение и связи в сети.
«Распространение кибероружия в социальных сетях является растущей угрозой. Это легкий способ передачи информации на вредоносную программу, которую отследить очень трудно — и разработка этой системы велась довольно долго», — отмечает руководитель компании KCS Group, предоставляющей услуги в сфере консалтинговой безопасности, Стюарт Пул-Робб (Stuart Poole-Robb).
После внедрения в компьютер вредоносная программа осуществляет ежедневные действия по отслеживанию определенной учетной записи в Twitter, уникальное имя которой создается каждый раз с помощью встроенного секретного алгоритма.
Имея в своем распоряжении идентичный алгоритм, хакеры-разработчики Hammertoss могут узнать имя учетной записи в Twitter, ежедневно отслеживаемое вредоносной программой. Когда им надо отправить вирусу команду, они создают учетную запись и публикуют в микроблоге сообщение.
Сообщение может выглядеть обычно и вполне безобидно, но в нем содержится ссылка на изображение. В изображении зашифровано секретное сообщение для Hammertoss — еще один метод времен холодной войны, известный как стеганография.
В качестве примера группа FireEye описывает случай, когда хакеры с помощью размещенного в Twitter изображения передавали программе Hammertoss инструкции, в соответствии с которыми она должна была загружать секретную информацию, прочитанную в компьютерной системе госучреждения, в облачное хранилище. После этого хакеры, использовавшие Hammertoss, уже сами получали доступ к секретным данным.
Один из высокопоставленных западных военных чиновников, работающий в системе противодействия шпионской деятельности в киберпространстве, заявил, что знал об этой вредоносной программе, которая впервые была выявлена в начале этого года и которую до этого замечали в некоторых секретных компьютерных системах государственных учреждений.
Еще одна разновидность российского кибероружия — вредоносная программа, известная как MiniDuke — также использовалась в системе микроблогов Twitter для отправки определенных команд и выполнения операций по управлению действиями компьютера. Правда, в отличие от Hammertoss, ее использовали только для связи с ограниченным количеством конкретных заранее созданных учетных записей.
«Вредоносная программа Hammertoss была создана одной из самых высококвалифицированных хакерских групп, за которыми мы наблюдаем, — отмечает г-жа Уидон. — Это уникальный инструмент. И используется он очень избирательно... для получения крайне важной информации и когда в этом действительно есть необходимость... когда нужно задействовать тяжелую артиллерию».