История с «российскими хакерами» в США зашла слишком далеко. Она не основана ни на каких веских публичных доказательствах, а тот факт, что сообщения о хакерских атаках часто настолько раздуты, что не достигают своей цели, является проблемой лишь для тех, кого волнуют кампании по дезинформации, а также стандарты журналистики — то есть довольно небольшой сегмент общественности. Однако новый правительственный доклад в США, который имеет целью установить технические детали недавних взломов, организованных российской разведкой, тоже не достиг своей цели и теоретически может нанести реальный ущерб гораздо большему числу людей и организаций.
В совместном докладе Министерства внутренней безопасности и Федерального бюро расследований дается довольно громкое название «российской вредоносной киберактивности» — «Степь гризли» — и создаются неограниченные возможности для операций «под чужим флагом», которые правительство США, по сути, обещает приписать России.
Цель этого документа заключается не в том, чтобы представить доказательства, скажем, вмешательства России в президентские выборы в США, а в том, чтобы предоставить американским организациям возможность обнаруживать шаги российской киберразведки и сообщать об инцидентах правительству США. Он должен показать сетевым администраторам, что именно нужно искать. С этой целью в доклад было включено правило YARA — код, используемый для распознавания вредоносных программ. В докладе говорится о программном обеспечении PAS Tool PHP Web Kit. Некоторые пытливые эксперты в сфере кибербезопасности поискали его в интернете, и оказалось, что эту программу можно было легко скачать с сайта profexer.name. Хотя в понедельник, 2 января, эта программа уже была недоступна, исследователи Feejit, разработчика защитного плагина Wordfence для WordPress, сделали скриншоты этого сайта, на котором с гордостью говорилось, что продукт сделан на Украине.
В это, разумеется, необязательно нужно верить, поскольку в интернете кто угодно может быть откуда угодно. Предполагаемый разработчик этой вредоносной программы активно появляется на русскоязычном хакерском форуме под ником Profexer. Он рекламировал бесплатную программу PAS и благодарил спонсоров, которые жертвовали самые разные суммы, от нескольких долларов до нескольких сотен долларов. Эта программа представляет собой так называемый «вебшел», то есть то, что хакер устанавливает на взломанный сервер, чтобы сделать незаметной кражу файлов и дальнейшие хакерские действия. Подобных программ огромное множество, и PAS «используется сотнями, если не тысячами хакеров, которые чаще всего ассоциируются с Россией, но которые могут находиться в любой точке мира (судя по постам на форумах хакеров)», как на прошлой неделе написал в своем блоге Роберт Грэхэм (Robert Graham) из Errata Security.
Та версия PAS, о которой говорится в правительственном докладе, на несколько версий отстает от текущей.
«Вполне разумно было бы предположить, что агенты российской разведки разрабатывают свои собственные инструменты или, по крайней мере, используют современные вредоносные программы, взятые из внешних источников», — написал Марк Маундер (Mark Maunder) из Wordfence.
И это тоже не слишком разумное предположение. Любой хакер, связан он с российской разведкой или нет, может использовать любые инструменты и программы, которые он находит удобными, включая старую версию бесплатной, разработанной на Украине программы. Даже Xagent, бэкдор, прочно ассоциирующийся с атаками хакерской группы, связанной с российской разведкой — известной как Advanced Persistent Threat 28 или Fancy Bear — может использовать почти любой пользователь, обладающий достаточными знаниями в этой области. В октябре 2016 года компания ESET опубликовала доклад, в котором говорится, что ей удалось обнаружить весь исходный код этой вредоносной программы. Если ESET смогла его получить, другие тоже могут это сделать.
Теперь, когда американское правительство твердо связало PAS c спонсируемыми российским правительством хакерами, это стало приглашением для любого второстепенного злоумышленника использовать данную программу (или Xagent, который также упоминается в докладе) для того, чтобы выдавать свои противоправные действия за деятельность российской разведки. Делу не помогло и то, что власти США опубликовали список IP-адресов, связанных с атаками Москвы. Большинство из них не имеют очевидных связей с Россией, а часть из них — это выходные узлы анонимной сети Tor, которая является частью инфраструктуры Темной паутины. Использовать их мог кто угодно и откуда угодно.
Microsoft Word — это программа, разработанная в США. Тем не менее, ей пользуются очень многие, даже — вы не поверите — агенты российской разведки. Точно так же живущий в США хакер, желающий получить пароли и номера кредитных карт, а также стремящийся поднять свой авторитет, может воспользоваться любой доступной вредоносной программой, в том числе программами, разработанными в России и на Украине.
Путаница уже началась. В прошлую субботу издание Washington Post сообщило, что «код, связанный с российской хакерской операцией под названием “Степь гризли”, был обнаружен на компьютере одной энергетической компании в Вермонте, что вызвало лавину резких комментариев со стороны американских политиков, обвинивших Россию в попытке взломать электросети США. Вскоре выяснилось, что тот ноутбук не был соединен с электросетями, но, в любом случае, если на нем была обнаружена программа PAS и об этом сразу же сообщили правительственным органам, это, вероятнее всего, было ложной тревогой. Тысячи хакеров-одиночек ежедневно рассылают миллионы фишинговых писем, чтобы ни о чем не подозревающий пользователь нажал на ссылку и открыл хакерам доступ к своему компьютеру. Теперь у них появилась удобная возможность использовать созданные в России бэкдоры, чтобы атаковать цели в США.
Для агентов российской разведки это тоже стало удобной возможностью — если только они не настолько ленивы, насколько их представили авторы доклада. Им сейчас стоит переключиться на вредоносные программы, разработанные нерусскоязычными экспертами. Поскольку их работу приписывают российскому правительству на основании комментариев в кодах, написанных на русском языке, и других косвенных доказательствах, и поскольку экспертов в области кибербезопасности и американское правительство устраивает такое положение вещей, все, что им нужно, — это комментарии на китайском или, скажем, на немецком языках.
Американское разведсообщество выставляет себя на посмешище, действуя под политическим давлением уходящей администрации и некоторых ястребов в Конгрессе. Ему следует перестать поступать таким образом. Ведь невозможно устанавливать исполнителей хакерских атак на основании доступных для всех программ и IP-адресов. Более того, в этом нет никакой необходимости: организациям и отдельным пользователям нужно предотвращать подобные атаки, а не искать виноватых, когда все уже свершилось и ущерб нанесен. Самой информативной частью доклада ФБР и Министерства внутренней безопасности по иронии стала та часть, в которой речь идет о мерах по снижению риска. В ней говорится о необходимости постоянно обновлять программное обеспечение, обучать персонал основам кибербезопасности, ограничивать их административные привилегии, использовать мощные антивирусные программы. В большинстве случаев это помогает предотвратить атаки российских, китайских и американских хакеров. Американские демократы могли бы извлечь массу пользы, воспользовавшись этими советами до того, как их системы взломали: жаль, что они либо не получили эти советы, либо попросту проигнорировали их.
Материалы ИноСМИ содержат оценки исключительно зарубежных СМИ и не отражают позицию редакции ИноСМИ.
Лучшие
Показать новые комментарии (0)
Все комментарии

| 21 Лёня переобулся? Молодец! Быть ему главредом! Раскрыть всю ветку (10 сообщений в ветке) 
| 8 alex49, с октября-ноября Лёня активно носит новую обувь :) 
| 2 да просто невозможно вечно назвать черное белым, не может Леонид себе позволить потерять свою аудиторию, в отличие от прикормленных СМИ. 
| 4 alex49, Леня тролит: 5 сентов комментарий, $ 0,5 СМС, $5 статейка в Bloomberg о плохой России, 10 (с доплатой от КГБ) о хорошей 
| 6 " Вовремя предать — это значит предвидеть." Приписывается Талейрану и Ветеринару из "Гаража" 
| 1 alex49, дык не дурак же он! Знает, когда надо обратку включать. 
| 1 alex49, ну и кроме прочего это же ещё и Bloomberg, а не идеологически зашоренный желтый бульварный листок из подконтрольных "исключительным" СМИ в Европе. Здесь "включать дурака" на тему русофобии противопоказано, задача другая - искать действительно уязвимые места конкурента(ов) (России, Китая и др. геополитических игроков) и обозначать в том числе и собственные промахи и просчёты. Лёня и осваивает эту нишу-делянку, прежние же спонсоры (обамо-клинтонского розлива) сейчас «сливаются». 
| -1 alex49, вот только гавредом у него стать вряд ли получится – там толковые люди работают. И наш «специалист широкого профиля» для них так – третий сорт-вторая лига-массовка. Хотя, конечно, чего только не случается в нашей грешной земной жизни. 
| 0 zigor.2016, ты просто не понимаешь о чем говоришь. 
| 0 ytzin, соглашусь с Вами: да многого не понимаю. А что Вы имеете в виду в данном конкретном случае? Поясните, пожалуйста. 
| 0 ytzin, что-то затих наш всё понимающий "знаток". Вероятно, как это обычно бывает в таких случаях, просто сам не понимает: о чём идет речь? Главное - пукнуть или блевануть, а потом уже можно будет и по сторонам посмотреть: может кому ещё достанется, кроме себя самого? Однако, на всякий случай, уточняю и конкретизирую вопрос: уважаемый « ytzin», Ваша своеобразная критика оппонента касается: 1. Неправильного понимания редакционной политики издания (Bloomberg) и тех задач, которые оно решает? 2. Или особенностей селекции авторского коллектива, кадровой политики и замещения вакантных должностей в этой организации? 
| 13 Американское разведсообщество выставляет себя на посмешище ------------- и это уже не новость Раскрыть всю ветку (3 сообщений в ветке) 
| 3 Новостью является упорство, с которым они это делают. Может, усыпляют нашу бдительность, а на самом деле они умные и умелые? 
| 0 0ncnjqybr, это у них просто эксгибиционизм. Типа "хаха так косячить как мы тоже только мы умеем". Ну респект, чо. Как и все норм пацаны, они надеются выкачать в последнем раунде. Имхо, наивно, ведь я русский. Но - они достойный противник. 
| 1 i.volkodav, не моё, но супер: Обама принял Россию страной-бензоколонкой с разорванной в клочья экономикой, а оставил великой военной и кибератакующей державой 
| 10 хе-хе, этот цирк с ослами уже даже Лёню достал) 
| 11 Взлом, как и семейная жизнь, - штука интимная. Прежде чем обнародовать, - сначала надо подумать о последствиях. Давно наблюдаю, что в США перевелись мастера по интригам: сплошная тупая и топорная работа. Вот и как с такими подонками совместно работать? Я здесь имею ввиду не только Россию и другие страны мира, а даже их союзников. Раскрыть всю ветку (1 сообщений в ветке) 
| 0 Алексей (Крюково), +100500 Точно, нет профессионалов...скучно и предсказуемо. 
| 2 В агенстве бломберг работает много аналитиков прошедших школу ЦРУ. По сути нас уведомляют что началась гражданская война. но возможно примирение если нынешняя политика уйдет 
| 8 Быстро же автор поменял шкуру!Нюх заточен. Раскрыть всю ветку (1 сообщений в ветке) 
| 2 Стёпа-Дядя, джентельмен в поисках десятки, другой, третьей, сколько дадут. 
| 4 исследователи Feejit, разработчика защитного плагина Wordfence для WordPress, сделали скриншоты этого сайта, на котором с гордостью говорилось, что продукт сделан на Украине _________________________________________________________________________ агентами путина))))) 
| 11 Блумберг знает - Трамп не забудет тех кто вовремя принял правильное решение. Обаме две недели осталось 
| 6 Это в разведке США вот так всё сгнило? Хоть бы красные кнопки не начали нажимать в истерике. 
| 1 Весь обамовский обком - это одно посмешище с серьзными физиономиями.
Показать новые комментарии (0)alex49
Max_A
маша_купина
ru-al-ko
0ncnjqybr
Консервативный реакционер
zigor.2016
zigor.2016
ytzin
zigor.2016
zigor.2016
летящий против ветра бобёр
0ncnjqybr
poteha
strokа07
маша_купина
Алексей (Крюково)
bsmr
dfcbkbq-74
Стёпа-Дядя
0ncnjqybr
демократор
kaa 3
zm
serrg
в ответ(Показать комментарийСкрыть комментарий)