Журнал "Дипломатия": профиль киберугрозы: программы Dukes

 (16)
Häkker
Foto: Tanel Meos

Правительства редко сообщают конкретные детали о характере киберугроз, с которыми они сталкиваются. Именно поэтому факт обнаружения Полицией безопасности Эстонии (сокращенно эст. КаПо) CosmicDuke, как одной из ”сложных постоянных угроз”, которая в 2014 году повлияла на государственную безопасность страны, оказался особенно актуальным и интригующим. Обнаруженный на минувшей неделе SeaDuke, который имеет некоторое сходство с CosmicDuke, мотивирует пристальнее взглянуть на киберугрозы, исходящие от вредоносных программ семейства Duke, а также на тех, кто за ними стоит.

С точки зрения функциональности CosmicDuke — это троян, который может фиксировать ваши нажатия на клавиши, красть пароли вашей электронной почты, экспортировать ваши криптографические сертификаты, анализировать ваши файлы и переносить наиболее интересную информацию из вашего компьютера на свой дистанционный командно-контрольный сервер. Вредоносная программа загружается в компьютеры, выбранные в качестве мишени, используя ”фишинг”. Например, пользователь открывает приложение в электронном письме, которое по виду поступило из надёжного источника, близкого к профессиональным интересам пользователя (к примеру, ”Отчёт о безопасности газопровода Украины за март 2014”). В этот момент одновременно открывается документ-приманка и загружается вредоносный код. Кроме того, CosmicDuke защищает себя разными уровнями шифра, он запрограммирован избегать антивирусной обработки и препятствовать мануальному анализу.

Рядовой пользователь может никогда не узнать о его присутствии. Однако CosmicDuke не выбирает рядового пользователя в качестве мишени. Это часть сложной, многолетней шпионской кампании, направленной на правительства евроатлантического региона, исследовательские институты, корпорации и фонды. Те, кто стоит за CosmicDuke и его ”родственниками” MiniDuke, OnionDuke и CosyDuke, действуют по меньшей мере с 2011 года. Помимо Эстонии, их мишенями стали правительственные учреждения в Украине, Бельгии, Португалии и других европейских странах. Кроме того, сообщается, что в 2014 году вирус атаковал Госдепартамент США и Белый дом. Обнаружение SeaDuke наглядно демонстрирует тот факт, что люди, стоящие за этими программами, не показывают признаков замедления производства и применения.

Кто или что стоит за этой серией шпионских кампаний, которые активизируют программы Duke? Исследователи компаний по компьютерной безопасности, таких как F-Secure, Symantec, Kaspersky Labs и BitDefender, годами следили за программами семейства Duke. Они отмечают сходство в функциональности вредоносных программ, векторах инфицирования, часах работы, командно-контрольной инфраструктуре и явных русскоязычных шаблонах, используемых при кодировании. Это свидетельствует о том, что за всем этим стоит один человек или, в крайнем случае, несколько человек очень тесно работают вместе. Выбор стратегических целей высокого профиля в НАТО и странах ЕС, равно как и обнаружение в 2014 году OnionDuke, свидетельствуют о том, что вредоносная программа применялась российской группой в целях поддержки стратегических интересов России. Кроме того, сложность и продолжительность кампаний подчёркивают большой объём ресурсов, как в плане технических навыков, так и отработанных часов, которые были необходимы для ведения шпионажа на таком уровне. Накопившиеся улики привели аналитиков к заключению относительно наиболее вероятной теории, кем может быть эта группа: либо российским синдикатом киберпреступников, финансируемых государством, либо одним из подразделений федеральной службы безопасности России.

Не нужно много усилий, чтобы вообразить разные сценарии того, как безопасность национального государства может быть подорвана при помощи шпионажа вредоносных программ семейства Duke. Если хотите, представьте себе европейскую страну, которая в ближайшем будущем хочет стать членом НАТО. Высокопоставленный чиновник из влиятельной и оказывающей поддержку страны-партнёра невольно заражает рабочий компьютер CosmicDuke и отдел по информационной безопасности этой организации не обнаруживает и не предотвращает вторжение. Затем чиновник использует ставшую небезопасной электронную почту, чтобы сообщить о планах активной поддержки расширению НАТО за год до следующего саммита. CosmicDuke немедленно доставляет эту информацию до человека, который стоит за вредоносной программой и который осознаёт, что для предотвращения этого нежелательного результата время имеет важное значение. Он мобилизует прочие ресурсы, дабы немедленно разрушить и, в конечном счёте, предотвратить расширение. В этих целях используются агрессивные шпионские операции, информационная война, которая подрывает общественную поддержку, а также угрозы прекратить энергоснабжение, что отбивает у бизнес-элиты желание поддерживать членство в НАТО. И это только один из бесчисленных способов того, как программы Duke могли бы подвергнуть риску безопасность и солидарность евроатлантического региона. Конечно, читатель может вообразить ещё более рискованные сценарии.

В заключение, политики и аналитики в сфере международной безопасности всё больше и больше приспосабливаются к той роли, которую киберугрозы играют в общей стратегической обстановке. Полиция безопасности Эстонии, которая занимается кибератаками, инициированными иностранным государством или угрожающими государственной безопасности, предоставила редкий шанс заглянуть в мир угроз, с которыми Эстония столкнулась в прошлом году. Однако программы Duke и их хозяева представляют угрозу не только для Эстонии, но и для всего евроатлантического сообщества. Обзор тех лиц, которые стоят за угрозами, является в этой области фундаментальным для дальнейшего понимания комплекса проблем. Трудно обороняться от того, чего не знаешь или не понимаешь.

Текст публикуется в рамках сотрудничества портала Delfi и журнала Diplomaatia.

Оригинал текст — здесь.

Uudiskirja Üleskutse