Эксперты «Лаборатории Касперского», совместно с исследователями из университета King’s College London, представили крайне интересный доклад на мероприятии Kaspersky Security Analyst Summit, которое проходит в эти дни на острове Сен-Мартен.
Специалистам удалось обнаружить связь между серией атак Moonlight Maze, направленных на правительственные ресурсы США в конце 1990-х годов, и современными кампаниями кибершпионажа. Двадцать лет назад в ходе атак пострадали Пентагон, NASA и Министерство энергетики США, после чего в руках экспертов остались образцы вредоносного ПО, использованного хакерами. Среди них был и бэкдор, который, как выяснилось теперь, используется и в наши дни. Так, в 2011 году очень похожая малварь применялась хакерской группировкой Turla, а повторно вредонос был замечен совсем недавно, в марте 2017 года.
Еще в далеком 1998 году ФБР и Министерство обороны США приступили к расследованию взломов в сетях правительственных и военных организаций страны, а также в ряде университетов и исследовательских институтов. Широкая общественность узнала об атаках Moonlight Maze только год спустя, при этом детали расследования на тот момент были засекречены. Теперь, спустя много лет, исследователи из трех разных стран, независимо друг от друга пришли к выводу, что группировка Moonlight Maze трансформировалась в группу Turla, за которой предположительно стоят русскоязычные организаторы. До недавнего времени считалось, что Turla (также известная под названиями Snake, Uroburos, Venomous Bear и Krypton) начала свою деятельность в 2007 году.
Но в 2016 году Томас Рид (Thomas Rid) из университета King’s College London работал над своей книгой Rise of the Machines. Восстанавливая события давно ушедших лет, Рид связался с бывшим системным администратором Девидом Хеджесом (David Hedges), который работал в той самой организации, чьи серверы были взломаны и превращены в прокси-сервер Moonlight Maze. И обнаружились удивительное. Давно вышедший на пенсию IT-специалист не только внимательно следил на атакой хакеров много лет назад, но также все это время хранил у себя, как сам сервер HP9000 (см. верхнее фото), так и копии всех артефактов, имевших отношение к атакам 1998 года. Он охотно передал все данные в руки исследователей из King’s College London и экспертов «Лаборатории Касперского».
Последние девять месяцев специалисты работали над реконструкцией операции Moonlight Maze, воссоздавая инструменты и техники хакеров, а также пытаясь найти связь между этой группировкой и группой Turla.
Аналитики рассказали, что в своих атаках на сети и компьютеры под управлением ОС Solaris группировка Moonlight Maze использовала инструменты, построенные на базе открытого ПО (Unix). Для проникновения в системы жертв атакующие применяли бэкдор на базе LOKI2 – программы, выпущенной в 1996 году и предназначенной для извлечения данных через скрытые каналы. Код показался специалистам знакомым, и тогда были повторно разобраны редкие образцы вредоносного ПО Turla под Linux, которые были найдены в 2014 году. Как выяснилось, малварь Turla точно так же была создана на базе LOKI2. Более того, вредоносы использовали тот же код, написанный в период между 1999 и 2004 годами.
Эксперты подчеркивают, что этот код с почти двадцатилетней историей до сих пор используется в атаках, которые приписывают хакерам Turla. К примеру, в 2011 году эта малварь была замечена в ходе операции, нацеленной на швейцарского военного подрядчика Ruag; в марте 2017 года образец бэкдора, содержащего этот код, был извлечен из сети предприятия в Германии. Исследователи полагают, что группа Turla использует старый код под Linux в атаках на особо важные и хорошо защищенные цели, поскольку таким образом им легче проникнуть в сеть, нежели в случае применения стандартного инструментария для Windows.
«В конце 90-х никто еще не понимал, насколько продолжительными и масштабными могут быть координируемые кампании кибершпионажа. Анализ вредоносного ПО и кода Moonlight Maze – это не просто увлекательное “путешествие” в прошлое, это очередное напоминание о том, что хорошо подготовленные кибергруппировки никуда не исчезают и не прекращают просто так свою деятельность. Наша общая задача сегодня – понять, почему атакующие до сих пор успешно применяют старый код, и скорректировать защиту таким образом, чтобы она учитывала все возможные векторы атак», – рассказывает Хуан Андрес Герреро-Сааде (Juan Andres Guerrero-Saade), ведущий антивирусный эксперт «Лаборатории Касперского».
С подробностями без преувеличения титанической работы, уже проделанной исследователями, можно ознакомиться здесь. Тем не менее, аналитики «Лаборатории Касперского» пишут, что совместное расследование будет продолжено, и представленный отчет – лишь небольшой фрагмент более масштабной картины. В частности теперь специалисты планируют сконцентрировать внимание на малоизвестной операции под кодовыми именем Storm Cloud.