Читая ленту новостей захотелось написать длинный пост про хакеров, АНБ и информационную безопасность в целом.
Вот уже второй день все СМИ рассказывают о злом и опасном вирусе-шифровальщике, от действий которого пострадали крупные организации по всему миру. Некоторые пытаются подсчитать нанесённый ущерб, некоторые — доходы злоумышленников, но почему-то никто не смотрит и не пишет об опасности ситуации в целом. Я попробую простым языком донести немного углублённой информации для реальной оценки проблемы.
Начну с того, что вирусы-шифровальщики — абсолютно не новое явление, они известны как минимум с 2005, и хоть какие-то нюансы работы меняются (Tor, Bitcoin), их принцип (шифрование-вымогание) и "таблетка" (бэкапы) остаются теми же. Аналог этого преступления в жизни — вооруженное разбойное нападение, когда под угрозой смерти людей заставляют отдавать имущество. Хоть это, конечно, опасно и плохо, для проведения такой атаки большого ума не требуется — взял монтировку, спрятался, ждёшь жертву. В принципе, в законах любой страны есть преступления куда страшнее разбоя.
Не буду рассказывать о всех типах вирусов и атак, а сразу перепрыгну к самой опасной, изощрённой и требующей длительной подготовки — APT-атаке (https://ru.wikipedia.org/wiki/APT). Подробнее о ней написано в вики; если вкратце — это растянутая во время атака, при которой действия цели тщательно собираются и анализируются, а инструменты часто пишутся специально под нападение. Основной принцип работы в таких случаях — оставаться в сети незамеченным как можно дольше, чтобы полностью внедриться в работу структуры и поменять некоторые её механизмы в своих целях, или же просто в нужный момент нанести критический удар по всей структуре сразу. В первом случае наносимый ущерб обычно практически невозможно заметить, во втором — инфраструктура падает куда с более сильным треском и требует очень серьёзных средств для восстановления. Куда более серьёзных, нежели затраты на шифровальщика.
Возвращаясь к последним новостям, хочу обратить внимание на то, как именно производится заражение — уязвимость эксплуатируется удалённо и распространяется по локальным сетям; по типу её относят к RCE (https://en.wikipedia.org/wiki/Arbitrary_code_execution). Опять же, если вкратце — уязвимости такого типа позволяют запускать любой код на атакуемой системе; это может быть и сигнал к запуску пасьянса "Косынка", и вирус-шифровальщик (как сейчас), или ring0-руткит для будущих APT-атак. Более того, так как атака удалённая — никаких действий от пользователя для её осуществления не требуется, при желании всё будет сделано вообще без каких-либо видимых признаков. RCE можно считать самой опасной из уязвимостей.
То, о чём сегодня пишут все СМИ — результат работы далеко не самых умных хакеров: их задача свелась к массовому сканированию сетей и попыткам запуска шифровальщика на потенциально уязвимых компьютерах, без какого-либо таргетинга. Атака происходит в лоб и оставляет множество следов, вирус и не задуман работать скрытно. По уровню шума он похож на слона, ворвавшегося в посудную лавку в торговом центре, попутно забежавшего во все другие магазины на своём пути. Видимо, только такой шум и способен обратить внимание журналистов на проблемы в ИБ. Само качество шифровальщика тоже под вопросом — например, я не нашёл информации о попытке хоть какой-то эскалации привилегий (получения повышенных прав) со стороны трояна, хоть это могло и заметно увеличить наносимый ущерб атакуемой машине, и помочь в распространении угрозы по локальной сети.
Ещё нужно напомнить, что используемая уязвимость (ETERNALBLUE) — бывшая собственность АНБ (США), слитая в сеть анонимными доброжелателями. Нет совершенно никаких гарантий, что это единственный и самый опасный эксплоит из тех, что были в тайне — это даже глупая мысль. Он был опубликован публично, использован довольно топорно, и, тем не менее, заразил крупнейшие российские организации и структуры. И речь сейчас идёт о простом шифровальщике, а не о модуле для APT-атак. Модули, кстати, могли быть закинуты на все уязвимые компьютеры ещё задолго до последних событий — привет людям из МВД, ГИБДД, СК, РЖД, Мегафона, Йоты и другим.
У меня остаётся только один вопрос: если начнётся настоящая кибервойна с неопубликованными 0-day уязвимостями, таргетированными атаками и блэкаутами, смогут ли доблестные Fancy Bear не только вмешиваться в выборы в других странах, но и защитить критические объекты нашей инфраструктуры?
Вот уже второй день все СМИ рассказывают о злом и опасном вирусе-шифровальщике, от действий которого пострадали крупные организации по всему миру. Некоторые пытаются подсчитать нанесённый ущерб, некоторые — доходы злоумышленников, но почему-то никто не смотрит и не пишет об опасности ситуации в целом. Я попробую простым языком донести немного углублённой информации для реальной оценки проблемы.
Начну с того, что вирусы-шифровальщики — абсолютно не новое явление, они известны как минимум с 2005, и хоть какие-то нюансы работы меняются (Tor, Bitcoin), их принцип (шифрование-вымогание) и "таблетка" (бэкапы) остаются теми же. Аналог этого преступления в жизни — вооруженное разбойное нападение, когда под угрозой смерти людей заставляют отдавать имущество. Хоть это, конечно, опасно и плохо, для проведения такой атаки большого ума не требуется — взял монтировку, спрятался, ждёшь жертву. В принципе, в законах любой страны есть преступления куда страшнее разбоя.
Не буду рассказывать о всех типах вирусов и атак, а сразу перепрыгну к самой опасной, изощрённой и требующей длительной подготовки — APT-атаке (https://ru.wikipedia.org/wiki/APT). Подробнее о ней написано в вики; если вкратце — это растянутая во время атака, при которой действия цели тщательно собираются и анализируются, а инструменты часто пишутся специально под нападение. Основной принцип работы в таких случаях — оставаться в сети незамеченным как можно дольше, чтобы полностью внедриться в работу структуры и поменять некоторые её механизмы в своих целях, или же просто в нужный момент нанести критический удар по всей структуре сразу. В первом случае наносимый ущерб обычно практически невозможно заметить, во втором — инфраструктура падает куда с более сильным треском и требует очень серьёзных средств для восстановления. Куда более серьёзных, нежели затраты на шифровальщика.
Возвращаясь к последним новостям, хочу обратить внимание на то, как именно производится заражение — уязвимость эксплуатируется удалённо и распространяется по локальным сетям; по типу её относят к RCE (https://en.wikipedia.org/wiki/Arbitrary_code_execution). Опять же, если вкратце — уязвимости такого типа позволяют запускать любой код на атакуемой системе; это может быть и сигнал к запуску пасьянса "Косынка", и вирус-шифровальщик (как сейчас), или ring0-руткит для будущих APT-атак. Более того, так как атака удалённая — никаких действий от пользователя для её осуществления не требуется, при желании всё будет сделано вообще без каких-либо видимых признаков. RCE можно считать самой опасной из уязвимостей.
То, о чём сегодня пишут все СМИ — результат работы далеко не самых умных хакеров: их задача свелась к массовому сканированию сетей и попыткам запуска шифровальщика на потенциально уязвимых компьютерах, без какого-либо таргетинга. Атака происходит в лоб и оставляет множество следов, вирус и не задуман работать скрытно. По уровню шума он похож на слона, ворвавшегося в посудную лавку в торговом центре, попутно забежавшего во все другие магазины на своём пути. Видимо, только такой шум и способен обратить внимание журналистов на проблемы в ИБ. Само качество шифровальщика тоже под вопросом — например, я не нашёл информации о попытке хоть какой-то эскалации привилегий (получения повышенных прав) со стороны трояна, хоть это могло и заметно увеличить наносимый ущерб атакуемой машине, и помочь в распространении угрозы по локальной сети.
Ещё нужно напомнить, что используемая уязвимость (ETERNALBLUE) — бывшая собственность АНБ (США), слитая в сеть анонимными доброжелателями. Нет совершенно никаких гарантий, что это единственный и самый опасный эксплоит из тех, что были в тайне — это даже глупая мысль. Он был опубликован публично, использован довольно топорно, и, тем не менее, заразил крупнейшие российские организации и структуры. И речь сейчас идёт о простом шифровальщике, а не о модуле для APT-атак. Модули, кстати, могли быть закинуты на все уязвимые компьютеры ещё задолго до последних событий — привет людям из МВД, ГИБДД, СК, РЖД, Мегафона, Йоты и другим.
У меня остаётся только один вопрос: если начнётся настоящая кибервойна с неопубликованными 0-day уязвимостями, таргетированными атаками и блэкаутами, смогут ли доблестные Fancy Bear не только вмешиваться в выборы в других странах, но и защитить критические объекты нашей инфраструктуры?
Reading the news feed I wanted to write a long post about hackers, the NSA and information security in general.
Already the second day, all the media talk about the evil and dangerous encryption virus, whose actions have affected large organizations around the world. Some try to calculate the damage, some - the income of the attackers, but for some reason no one looks and does not write about the danger of the situation as a whole. I will try in simple language to convey some in-depth information for a real assessment of the problem.
To begin with, encryption viruses are absolutely not a new phenomenon, they have been known since at least 2005, and at least some of the nuances of work are changing (Tor, Bitcoin), their principle (encryption-extorting) and “tablet” (backups) remain the same. An analogue of this crime in life is armed robbery, when under threat of death people are forced to give up property. Although this, of course, is dangerous and bad, for carrying out such an attack a large mind is not required - he took a crowbar, hid himself, waiting for the victim. In principle, in the laws of any country there are crimes that are worse than robbery.
I will not talk about all types of viruses and attacks, but immediately jump to the most dangerous, sophisticated and requiring a long preparation - APT-attack (https://ru.wikipedia.org/wiki/APT). Read more about it in the wiki; in short, it is a stretched attack during which the actions of the target are carefully collected and analyzed, and the instruments are often written specifically for the attack. The basic principle of work in such cases is to remain unnoticed in the network as long as possible, in order to fully penetrate into the work of the structure and change some of its mechanisms for their own purposes, or just at the right moment to strike a critical blow to the entire structure at once. In the first case, the damage inflicted is usually almost impossible to notice, in the second - the infrastructure falls where with a stronger crash and requires very serious means for recovery. Much more serious than the costs of the cryptographer.
Returning to the latest news, I want to draw attention to how exactly the infection is made - the vulnerability is exploited remotely and distributed over local networks; by type, it belongs to RCE (https://en.wikipedia.org/wiki/Arbitrary_code_execution). Again, if in brief - this type of vulnerability allows you to run any code on the system under attack; it could be a signal to launch Solitaire solitaire, a cipher virus (as it is now), or a ring0 rootkit for future APT attacks. Moreover, since the attack is remote - no action is required from the user for its implementation, if desired, everything will be done without any visible signs at all. RCE can be considered the most dangerous of vulnerabilities.
What all the media are writing about today is the result of the work of far from the most intelligent hackers: their task has been reduced to mass scanning of networks and attempts to launch a cryptographer on potentially vulnerable computers, without any targeting. The attack occurs in the forehead and leaves many traces, the virus is not intended to work secretly. In terms of noise, it looks like an elephant rushing into a china shop in a mall, running into all the other shops along the way. Apparently, only such a noise is able to draw the attention of journalists to problems in the information security. The quality of the encryptor itself is also questionable - for example, I did not find information about an attempt at least some escalation of privileges (obtaining elevated rights) from the side of the Trojan, although this could significantly increase the damage done to the attacked machine and help spread the threat over the local network.
It should also be recalled that the vulnerability used (ETERNALBLUE) is the former property of the NSA (USA), merged into a network by anonymous well-wishers. There are absolutely no guarantees that this is the only and most dangerous exploit of those that were in secret - it is even a silly thought. It was published publicly, used rather clumsily, and, nevertheless, infected the largest Russian organizations and structures. And now we are talking about a simple cryptographer, and not about a module for APT attacks. The modules, by the way, could have been thrown onto all vulnerable computers long before the recent events - greetings to people from the Ministry of Internal Affairs, traffic police, UK, Russian Railways, MegaFon, Yota and others.
I have only one question left: if a real cyberwar begins with unpublished 0-day vulnerabilities, targeted attacks and blackouts, can the valiant Fancy Bear not only intervene in elections in other countries, but also protect critical objects of our infrastructure?
Already the second day, all the media talk about the evil and dangerous encryption virus, whose actions have affected large organizations around the world. Some try to calculate the damage, some - the income of the attackers, but for some reason no one looks and does not write about the danger of the situation as a whole. I will try in simple language to convey some in-depth information for a real assessment of the problem.
To begin with, encryption viruses are absolutely not a new phenomenon, they have been known since at least 2005, and at least some of the nuances of work are changing (Tor, Bitcoin), their principle (encryption-extorting) and “tablet” (backups) remain the same. An analogue of this crime in life is armed robbery, when under threat of death people are forced to give up property. Although this, of course, is dangerous and bad, for carrying out such an attack a large mind is not required - he took a crowbar, hid himself, waiting for the victim. In principle, in the laws of any country there are crimes that are worse than robbery.
I will not talk about all types of viruses and attacks, but immediately jump to the most dangerous, sophisticated and requiring a long preparation - APT-attack (https://ru.wikipedia.org/wiki/APT). Read more about it in the wiki; in short, it is a stretched attack during which the actions of the target are carefully collected and analyzed, and the instruments are often written specifically for the attack. The basic principle of work in such cases is to remain unnoticed in the network as long as possible, in order to fully penetrate into the work of the structure and change some of its mechanisms for their own purposes, or just at the right moment to strike a critical blow to the entire structure at once. In the first case, the damage inflicted is usually almost impossible to notice, in the second - the infrastructure falls where with a stronger crash and requires very serious means for recovery. Much more serious than the costs of the cryptographer.
Returning to the latest news, I want to draw attention to how exactly the infection is made - the vulnerability is exploited remotely and distributed over local networks; by type, it belongs to RCE (https://en.wikipedia.org/wiki/Arbitrary_code_execution). Again, if in brief - this type of vulnerability allows you to run any code on the system under attack; it could be a signal to launch Solitaire solitaire, a cipher virus (as it is now), or a ring0 rootkit for future APT attacks. Moreover, since the attack is remote - no action is required from the user for its implementation, if desired, everything will be done without any visible signs at all. RCE can be considered the most dangerous of vulnerabilities.
What all the media are writing about today is the result of the work of far from the most intelligent hackers: their task has been reduced to mass scanning of networks and attempts to launch a cryptographer on potentially vulnerable computers, without any targeting. The attack occurs in the forehead and leaves many traces, the virus is not intended to work secretly. In terms of noise, it looks like an elephant rushing into a china shop in a mall, running into all the other shops along the way. Apparently, only such a noise is able to draw the attention of journalists to problems in the information security. The quality of the encryptor itself is also questionable - for example, I did not find information about an attempt at least some escalation of privileges (obtaining elevated rights) from the side of the Trojan, although this could significantly increase the damage done to the attacked machine and help spread the threat over the local network.
It should also be recalled that the vulnerability used (ETERNALBLUE) is the former property of the NSA (USA), merged into a network by anonymous well-wishers. There are absolutely no guarantees that this is the only and most dangerous exploit of those that were in secret - it is even a silly thought. It was published publicly, used rather clumsily, and, nevertheless, infected the largest Russian organizations and structures. And now we are talking about a simple cryptographer, and not about a module for APT attacks. The modules, by the way, could have been thrown onto all vulnerable computers long before the recent events - greetings to people from the Ministry of Internal Affairs, traffic police, UK, Russian Railways, MegaFon, Yota and others.
I have only one question left: if a real cyberwar begins with unpublished 0-day vulnerabilities, targeted attacks and blackouts, can the valiant Fancy Bear not only intervene in elections in other countries, but also protect critical objects of our infrastructure?
У записи 24 лайков,
0 репостов,
1250 просмотров.
0 репостов,
1250 просмотров.
Эту запись оставил(а) на своей стене Anton Lempinen
