Ссылки для упрощенного доступа

Телескоп

Извиняемся, ничего нет про 14 июня. Смотрите предыдущий контент

среда 10 мая 2023

Министерство юстиции США 9 мая объявило, что американским специалистам по кибербезопасности удалось нейтрализовать вирус Snake ("Змея"), с помощью которого российские спецслужбы с 2003 года похищали чувствительные документы у сотен пользователей компьютеров, работавших в правительственных структурах стран НАТО, а также у журналистов и сотрудников посольств. Создание и применение этого трояна, обо всех функциях которого не знали даже использовавшие его хакеры, связывают с 16-м центром ФСБ России, бывший сотрудник которого оказался в числе дипломатов, высланных из стран ЕС после начала российского вторжения в Украину.

Примечание: уже после публикации в этот текст был добавлен комментарий эксперта по IT-безопасности Пола Раскогнереса.

Вирус-ветеран

Как следует из опубликованных американскими властями документов, Snake был создан группой хакеров ФСБ под названием "Турла", сотрудники которой работали в Рязани (вычислить их удалось в том числе с помощью отслеживания времени их активности). С помощью вредоносной программы спецслужбе удалось инфицировать компьютеры в 50 странах, в том числе в самой России. Утверждается также, что ФСБ удалось получить доступ к секретным документам и дипломатической переписке по крайней мере одного государства-члена НАТО, но объектом ее внимания помимо этого были образовательные и государственные учреждения, СМИ, финансовые организации и объекты критической инфраструктуры.

Западные спецслужбы вели наблюдение за Snake в течение двух десятилетий, предупреждения о ней регулярно публиковались специалистами по кибербезопасности, но обезвредить вирус полностью удалось только сейчас. Как объясняют специалисты, программа Snake постоянно совершенствовалась своими создателями, что препятствовало ее блокировке. В итоге для нейтрализации вируса в ФБР создали специальный инструмент под кодовым названием "Персей", который в рамках операции "Медуза" через зараженные компьютеры начал выдавать команды, заставляющие вредоносное ПО уничтожать собственные жизненно важные компоненты – фактически повторив сюжет древнегреческого мифа о превращавшей людей в камень своим видом Медузе Горгоне, которой Персей смог отрубить голову со змеями вместо волос, воспользовавшись щитом-зеркалом.

Проведенная американскими спецслужбами операция, в результате которой им удалось взломать сам вирус и заставить его уничтожить самого себя, редка, но не уникальна. Этот метод, для которого по американским законам требуется специальная санкция суда на подключение ФБР к зараженным компьютерам, применялся в 2021 году для нейтрализации вируса Cyclops Blink. Разработку Cyclops Blink связывали с группировкой Sandworm. Как неоднократно сообщали правительства США, Германии, Франции и других стран, Sandworm является подразделением ГРУ, атаковавшим в числе прочего энергосистему Украины. Кроме того, в 2021 году таким же методом была пресечена деятельность хакерской группы Hafnium, связанной с правительством Китая.

Агентство по кибербезопасности и защите инфраструктуры США в понедельник также выпустило подробную инструкцию, в которой описываются методы работы вируса Snake и способы его нейтрализации.

Как говорится в опубликованном Министерством юстиции США аффидевите, составленном сотрудником ФБР для поддержки обращения ведомства в суд за разрешением на операцию по нейтрализации вируса, Snake был обнаружен на компьютере как минимум одного журналиста американского СМИ, писавшего о деятельности российских властей. Имя этого журналиста и СМИ не называются.

В аффидевите отмечается, что вирус не был предназначен для массового заражения и использовался выборочно против целей и жертв, которых ФСБ считало самыми важными, – это позволяло ему дольше оставаться незамеченным. Обо всех технических возможностях Snake, говорится в документе, не знали даже некоторые из работавших с ним сотрудников российской спецслужбы. В числе этих возможностей был и глубоко замаскированный кейлоггер, отслеживавший все нажатия клавиш на компьютере жертвы и позволявший похищать ее пароли.

16-й центр ФСБ и высланные из ЕС российские дипломаты

Министерство юстиции США утверждает, что вирус Snake был разработан и использовался сотрудниками 16-го центра ФСБ (войсковая часть 71330). Это подтверждается и открытыми источниками, например, судебными решениями. Одно из них было принято совсем недавно: 26 апреля Арбитражный суд Москвы признал законным изъятие "для государственных нужд" здания по адресу 2-й Волконский переулок, дом 3. Владелица помещения, частный предприниматель, оспаривала стоимость компенсации за изъятое имущество, которая явно была ниже рыночной: 11,7 миллиона рублей за 90 квадратных метров в центре российской столицы. Понять, почему "хакеры ФСБ" были так заинтересованы в этой недвижимости, несложно: в этом же квартале, как следует из открытых данных, располагается главный офис 16-го центра.

16-й центр хорошо известен специалистам по кибербезопасности: 24 марта 2022 года, спустя месяц после начала полномасштабной войны в Украине, Министерство юстиции США предъявило обвинения четырем россиянам, которых сочло виновными в кибератаках на объекты энергетической инфраструктуры в Соединенных Штатах и в других странах. В их числе были трое хакеров, работавших, как утверждалось, в 16-м центре и входивших в группировки "Стрекоза" (Dragonfly), "Медведь-берсерк" (Berserk Bear), "Крадущийся йети" (Crouching Yeti) и другие. В 2012-2014 годах эти люди внедрили в 17 тысяч компьютеров предприятий энергетического сектора вирус-троян Havex, который позволил им получить доступ к системам диспетчерского управления и промышленного контроля, а в 2017-м, уже после того, как вирус был обнаружен, проникли с помощью другого вредоносного ПО в сеть атомной электростанции Wolf Creek в Канзасе.

Предшественником 16-го центра в советское время было 16-е управление КГБ СССР, занимавшееся радиоперехватом и электронной разведкой. Уже после распада Советского Союза 16-й центр был выделен из состава Федерального агентства правительственной связи и информации при президенте РФ (ФАПСИ).

В марте 2023 года Радио Свобода выяснило с помощью открытых источников, что сотрудником 16-го центра ФСБ был Алексей Александрович Иваненко. Сейчас он занимает пост первого секретаря посольства России в Сербии, а ранее, после начала полномасштабного российского вторжения в Украину, был выслан из Хорватии, где работал вторым секретарем посольства. После начала войны европейские страны выслали или внесли в "черные списки" сотни российских дипломатов, прямо обвинив некоторых из них в шпионаже. Часть высланных все равно оказалась в Европе: они были устроены на работу в посольство в Сербии, одной из немногих европейских стран, не ставших вводить санкции в отношении России.

Интересно, что и вирусы хакерской группировки "Турла", которую Минюст США связывает с 16-м центром ФСБ, использовались в том числе против "посольств и консульств в странах постсоветского пространства", – об этом говорилось в статьях специализирующегося на кибербезопасности сайта SecurityLab и сообщениях "Лаборатории Касперского" еще в 2014 году. Тогда предметом беспокойства было вредоносное ПО под двойным названием Snake/Uroburos. Для маскировки своей деятельности "Турла" использовала спутниковую интернет-связь. В середине апреля центр "Досье" опубликовал свое расследование о высланных из ЕС российских дипломатах, предположив, что многие из них занимались в числе прочего обслуживанием антенн (включая спутниковые) на крышах российских посольств в Европе – правда, по мнению авторов материала, основной целью этого оборудования был перехват разговоров.

Независимый специалист и исследователь вопросов интернет-безопасности Пол Раскагнерес впервые познакомился с вирусом Snake еще в 2014 году. Он отмечает, что по меркам того времени это действительно был один из самых продвинутых инструментов в своем роде.

"Его авторы были действительно хороши. В то время, когда я работал над Snake и Uroburos, это были действительно продвинутые программы. Мы должны помнить, что это было 10 лет назад. Дизайн и архитектура этого ПО были чрезвычайно сложными, содержали в себе инструменты для обхода систем обеспечения безопасности, причем тогда эти инструменты даже не были задокументированы. Это был серьезный код, разработанный серьезной командой".

По словам Раскагнереса, у ФБР действительно есть возможность выполнять операции, подобные той, которая заставила Snake "самоликвидироваться". Вместе с этим он отмечает, что для ФСБ потеря Snake будет очень чувствительной.

"Это окажет на них большое влияние. Потеря доступа к зараженным системам стоит дорого. Им нужно повторно заразить цели, развернуть новое вредоносное ПО. Процесс компрометирования конфиденциальной цели занимает недели или даже месяцы работы".

Зал заседаний Кнессета
Зал заседаний Кнессета

Депутаты парламента Израиля – Кнессета – обратились в МИД страны с просьбой обеспечить международную поддержку движению за независимость Южного Азербайджана. Это регион на севере Ирана. В конце прошлого года там на фоне протестов против режима аятолл возникло движение за автономию региона от Тегерана.

В официальном обращении 32 депутата – это четверть всех членов Кнессета – попросили МИД Израиля обратить внимание на иранских оппозиционеров и усиление репрессивного режима Тегерана в отношении южных азербайджанцев.

"Это крупнейшая этническая группа в Иране, насчитывающая более 20 миллионов человек. Режим осуществляет политику культурного геноцида, ограничивая права азербайджанского меньшинства изучать и передавать своё наследие, обучать своему языку и даже регистрировать своих детей с азербайджанскими именами", — подчеркнули депутаты.

Израильские СМИ обращают внимание на состав авторов заявления. Треть из них – представители ультрарелигиозных фракций парламента, которые крайне редко интересуются международной политикой. Письмо подписали и активные противники религиозного блока – представители партии "Наш дом Израиль" и её бывший руководитель, выходец из Советского Союза Авигдор Либерман.

Израиль считает Иран и его режим серьёзной угрозой для всего Ближнего Востока. Депутаты Кнессета, подписавшие заявление в МИД, считают, что сепаратистское движение Южного Азербайджана при наличии международной поддержки нанесёт серьезный удар по Тегерану. А сам Южный Азербайджан станет одним из союзников Израиля в регионе наравне с Баку, где недавно побывал глава МИД Израиля Эли Коэн.

В начале года Азербайджан впервые назначил в Израиле своего посла – Мухтара Маммадова. Он стал первым послом в Израиле за время независимости Азербайджана. Решение об открытии посольства в Тель-Авиве правительство Азербайджана приняло в ноябре прошлого года.

Израиль и Азербайджан развивают сотрудничество более 30 лет, но в особенности оно активизировалось в последнее время. Израильские дипломаты поддерживают сторону Азербайджана в его конфликте с Арменией вокруг Нагорного Карабаха (армянское название - Арцах).

Азербайджанская нефть составляет около 40% всего нефтяного импорта Израиля. Кроме того, поскольку Азербайджан напрямую граничит с Ираном, он важен Израилю как союзник в области разведки и возможный военный союзник в случае обострения противоречий между странами.

Тегеран в свою очередь обвиняет израильские спецслужбы в дестабилизации обстановки в стране. В том числе в поддержке антиправительственных настроений в Южном Азербайджане и столице провинции – Тебризе.

  • Южный Азербайджан стал одним из крупных центров антиправительственных протестов Ирана после гибели в Тегеране в сентябре прошлого года 22-летней Махсы Амини. Её задержала полиция нравов по обвинению в неправильном ношении хиджаба.
  • Из полицейского участка Амини увезли в больницу, где она через несколько дней скончалась. Протестующие считают, что причиной её смерти стало избиение сотрудниками силовых структур. Иранские власти не раз заявляли, что осуждают любые формы насилия, но при этом Тегеран подчёркивает необходимость соблюдения установленных государством норм.

Загрузить еще

XS
SM
MD
LG