Клин – клином. Хакерские инструменты АНБ были перехвачены китайской разведкой и обращены против США
Китайская разведка перехватила хакерские инструменты АНБ и атаковала ими союзников США
Symantec: китайская разведка «перехватила» хакерские инструменты АНБ при атаке, направленной на цифровую инфраструктуру «Поднебесной», а затем использовала их же для атаки на самих союзников США и частные компании в Европе и Азии.
Китай ловит на лету
Агентам китайской киберразведки удалось перехватить вредоносный код АНБ и использовать его против стран — союзников США, утверждает компания Symantec.
Исходя из времени, когда произошли эти атаки, и подсказки, выявленные в компьютерном коде, исследователи Symantec сделали вывод, что китайские киберспециалисты не крали хакерские инструменты АНБ, а в буквальном смысле перехватили их во время атаки на собственные системы.
В своей публикации Symantec не называет Китай прямо, вместо этого используются обозначения «группировка Buckeye» и APT3. Однако в Минюст США, и других организациях, занимающихся вопросом кибербезопасности обозначают таким образом структуру, выступающую в роли подрядчика для Министерства государственной безопасности КНР, штаб-квартира которой находится в Гуанчжоу. В 2017 г. Министерство юстиции США выдвинуло обвинение против трёх китайских хакеров, который были названы членами Buckeye и APT3.
Для АНБ в Symantec также используют условное обозначение: Equation Group. Так в начале 2015 г. «Лаборатория Касперского» назвала создателей фреймворка для разработки кибероружия. В мировой индустрии кибербезопасности сложился устойчивый консенсус, согласно которому Equation — это группа киберэкспертов на службе у Агентства национальной безопасности США.
В августе 2016 г. неизвестная группировка Shadow Brokers начала публиковать эксплойты и другие вредоносные инструменты, принадлежащие Equation Group, то ли украденные, то ли «слитые» инсайдером. Все эти эксплойты попали в общий доступ в апреле 2017 г. и с тех пор несколько раз были использованы различными киберпреступниками (достаточно вспомнить глобальную эпидемию шифровальщика WannaCry).
Досливной улов
Между тем, по данным Symantec, модифицированные версии двух инструментов из этого набора — в частности, Eternal Synergy и Double Pulsar — ещё в марте 2016 г. были использованы APT3 в их атаках. Таким образом, к китайским хакерам эти инструменты попали до их «утечки»».
Эксперты Symantec указывают, что с помощью этих инструментов были атакованы коммерческие и научные структуры в пяти странах — Бельгии, Люксембурге, Вьетнаме, Филиппинах и Гонконге. Минимум одна атака была направлена на крупную телекоммуникационную сеть; в результате атакующие могли получить доступ к сотням тысяч или даже миллионам приватных сообщений.
В компании отметили, что впервые видят, как чужой вредоносный код оказывается перехвачен «на лету» и обращён на союзников его предположительных создателей. При этом APT3 не атаковало с помощью указанных эксплойтов инфраструктуру на территории США, вероятно, предполагая наличие защитных средств и не желая выдавать наличие у них возможности использовать эти эксплойты. Притом, что ранее APT3 неоднократно совершала атаки на инфраструктуру США, используя иные средства, и порой весьма успешно.
Утечка эксплойтов Equation имела весьма далеко идущие последствия для АНБ: весь накопленный за долгие годы арсенал пришлось немедленно представить Microsoft, чтобы та выпустила исправления для уязвимостей, ранее использовавшихся Equation. АНБ также пришлось свернуть несколько ключевых антитеррористических программ, как утверждают бывшие сотрудники агентства, согласившиеся общаться с журналистами.
Мало того, «слитые» инструменты, по утверждению газеты New York Times, быстро оказались в распоряжении Северной Кореи и России. С этим, по утверждению издания, связаны нашумевшие атаки на транспортную корпорацию Maersk, на британскую систему здравоохранения и гражданскую инфраструктуру Украины.
Однако главный вывод, который делает издание из этой ситуации, состоит в том, что спецслужбы США продемонстрировали, причем не в первый раз, неспособность надёжно хранить своё кибероружие. В разведывательных кругах США снова встал вопрос, есть ли смысл в разработке кибероружия, если невозможно предотвратить его попадание в руки недругов.
«Информация о существовани Stuxnet и кибероружия как такового в 2011 г. выплыла наружу только потому, что из-за ошибки в коде этот «боевой червь» вышел за периметр целевой области применения, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Кибероружие — «обоюдоострый меч», и, как доказывает эта история, никто не застрахован от того, что оно не будет использовано против его же разработчиков.
Хуже всего, однако, то, что при его деструктивном потенциале, сравнимым разве что с ОМП, до сих пор не существует никаких официальных международных договорённостей, регулирующих его применение. Ничего хорошего миру это не сулит».
По данным Symantec, после выдвинутых Минюстом США обвинений против предполагаемых членов Buckeye и APT3 в 2017 г., группировка свела свою активность на нет. Однако атаки с применением тех же модифицированных инструментов продолжались до сентября 2018 г.