книги хакеры / журнал хакер / 205_Optimized

торы малвари снова потерпели неудачу: эксперты сумели вскрыть шифрование Linux.Encoder, хотя в новой версии хакеры постарались учесть прошлые ошибки.

«Видимо, они совершенно забыли о том, что нужно выбрать алгоритм хеширования, так что данные, обработанные хеш-функцией, остаются без изменений. В результате полный AES-ключ теперь записывается в зашифрованный файл, и восстановить данные — это сущий пустяк», — пишет специалист компании Bitdefender Богдан Ботезату. Компания традиционно представила бесплатный инструмент для расшифровки данных, пострадавших от Linux.Encoder.

Через неделю специалисты Trend Micro обнаружили другой яркий пример фейла: авторы вымогателя RANSOM_CRYPTEAR.B взяли за основу чужой код. Основу кода RANSOM_CRYPTEAR.B составляет код Hidden Tear — вымогательской малвари, созданной исключительно в образовательных и научных целях. По словам Ютку Сена, автора Hidden Tear, это — ловушка для ленивых хакеров, которые вместо написания собственного вымогателя решат позаимствовать код чужого.

Как оказалось, авторы вымогателя не просто взяли код-ловушку, но и умудрились его испортить: шифровальщик после кодирования файлов не отправлял ключ шифрования на командный сервер, а попросту терял его. Узнав о проблеме, Ютку Сен исследовал образец малвари и заверил, что встроенный им в исходники бэкдор актуален, после чего подробно описал процесс воссоздания ключа в своем блоге.

Однако Hidden Tear не единственная малварь, которую Сен опубликовал на GitHub. В тех же «образовательных целях» он обнародовал исходные коды еще одного шифровальщика, EDA2, на базе которого тоже была создана настоящая малварь Magic.

В этот раз исследователю повезло меньше. В админке EDA2 тоже был предусмотрен бэкдор, позволяющий получить доступ к базе данных хакеров. Вот только Сен не подумал о бесплатных хостингах, которыми часто пользуются хакеры: если администрация такого хостинга получает жалобы на аккаунт, вся информация нарушителя (а вместе с ней и ключи) просто удаляется.

Неизвестные разработчики Magic связались с Ютку Сеном и предложили ему удалить свои репозитории с GitHub, взамен на что злоумышленники в течение 15 дней бесплатно предоставят всем пострадавшим пользователям ключи для дешифровки файлов. Пока никто не может сказать точно, сдержат ли неизвестные свое обещание и чем закончится эта история.

Примерно в это же время развернулась другая история: издание Bleeping Computer сообщило об обнаружении уязвимости в шифровальщике TeslaCrypt (популярное семейство троянов, повсеместно используемое хакерами), ко-

торая позволила найти способ расшифровки пострадавших файлов. Автор TeslaCrypt решил схитрить: использовать один и тот же ключ шифрования для всех файлов жертвы, но зашифровать этот ключ при помощи более стойкого алгоритма.

Первыми эту «матрешку» обнаружили специалисты «Лаборатории Касперского», затем до нее добрался пользователь форума Bleeping Computer, который написал пару скриптов на Python и опубликовал их на GitHub. Вскоре из нее родилось приложение для Windows — TeslaDecoder, помогающее расшифровать пострадавшие от TeslaCrypt файлы. Практически сразу же вышел релиз TeslaCrypt 3.0, где эта уязвимость была устранена, однако для старых версий она по-прежнему актуальна.

Вконце января системы трех индийских банков и фармацевтической компании поразил вымогатель LeChiffre. Как выяснили специалисты Malwarebytes, LeChiffre написан очень непрофессионально, а заражение вообще производилось вручную: неизвестный злоумышленник был вынужден внедриться в сети пострадавших компаний, повысить свои привилегии и получить доступ к другим машинам сети через незащищенные порты Remote Desktop.

Врезультате заражения банки понесли убытки в десятки миллионов долларов, однако и здесь хакеры потерпели поражение: к проблеме подключился эксперт компании Emsisoft Фабиан Восар, который сумел создать инструмент для дешифровки пострадавших данных. Восар также отслеживает появление новых версий дешифровщика, общаясь с жертвами в специальной теме на форумах Bleeping Computer.

операционную систему. Однако эта версия была специально настроена под АСУТП украинских электростанций: она обладала программируемым временем запуска, умела подчищать за собой журналы событий Windows, повреждала только 35 типов файлов (документы, изображения, файлы баз данных и конфигурации) и ряд специализированных технических процессов.

Помимо вредоноса BlackEnergy, специалисты ESET выявили на одной из пострадавших машин SSH-бэкдор (Win32/SSHBearDoor.A trojan), позволяющий злоумышленникам получить доступ к зараженной системе. Однако эксперты весьма осторожны в своих выводах: они считают, что BlackEnergy, равно как и найденный SSH бэкдор, уже сами по себе могли предоставить доступ к зараженным сетям многим злоумышленникам. Ни одна компания не спешит обвинять в случившемся Sandworm.

BlackEnergy также нашли в сети аэропорта Борисполь, на одной из рабочих станций сети. Спикер администрации президента Украины по вопросам АТО Андрей Лысенко заявил, что хакерская атака была предотвращена, зараженную машину немедленно изолировали от сети, а все данные о случившемся были переданы экспертам CERT UA. Лысенко отметил, что за инцидентом явно стоят российские хакеры.

Вконце января специалисты компании ESET сообщили о новой таргетированной атаке на украинские энергосети: хакеры рассылали энергетическим предприятиям Украины фишинговые письма от лица компании «Укрэнерго»

свредоносным документом Excel во вложении. На этот раз, в отличие от предыдущих атак, злоумышленники использовали не троян BlackEnergy, а модифицированную версию бэкдора Gcat.

Gcat — малварь с открытым исходным кодом, написанная на языке Python. Модифицированная версия была сильно урезана и позволяла только исполнять команды оболочки зараженной системы. По мнению вирусного аналитика ESET Роберта Липовски, использование вредоносного ПО с открытым исходным кодом нехарактерно для кибератак, ведущихся при поддержке государства. Эксперт подчеркнул, что «новые данные не проливают свет на источник атак на энергосектор Украины, лишь предостерегают от поспешных выводов».

29 января эксперты «Лаборатории Касперского» опубликовали собственное развернутое исследование о кибератаках на различные критические секторы Украины. Группа хакеров, которая стала использовать SCADA-модули BlackEnergy и атаковать промышленные и энергетические секторы по всему миру, привлекла внимание ЛК еще в 2014 году. Одной из основных целей этих хакеров всегда была Украина. Специалисты отмечают, что эта группа обладает «уникальной квалификацией, намного выше среднего уровня типичных организаторов DDoS-атак».

В2014 году хакеры эксплуатировали веб-уязвимости. В 2015 году начали использовать документы Excel с макросами, а на днях привлекли и Microsoft

Word: новый вредоносный документ был загружен на сервис мультисканера из Украины 20 января 2016 года. Основной файл малвари — FONTCACHE.DAT

— содержал минималистичную модификацию BlackEnergy v2, которая соединяется с сервером управления 5.149.254.114 по 80-му порту, жестко прописанному в коде. Этот же сервер ранее фигурировал в отчетах компании ESET, которая анализировала атаки против Украины.

Судя по всему, авторы малвари продолжают совершенствовать свое детище. К примеру, они перестали использовать неподписанный драйвер для стирания дисков на низком уровне и заменили его средствами стирания более высокого уровня, которые работают с расширениями файлов; этот метод прекрасно работает на 64-разрядных системах, и ему не нужны права администратора.

Эксперты отмечают, что основными целями BlackEnergy на сегодняшний день являются «разрушительные действия и промышленный шпионаж», а также компрометация систем промышленного управления.

Впрочем, действия хакеров в январе не ограничились одной лишь Украиной. Министр энергетики Израиля Юваль Штайниц заявил, что энергетические сети Израиля тоже подверглись серьезной хакерской атаке. По данным газеты The Jerusalem Post, начало атаки пришлось на понедельник, 25 января, и совпало с резким ухудшением погоды в Иерусалиме, так что для устранения проблемы пришлось на два дня остановить работу ряда израильских энергосетей.

«Плохие парни использовали инструменты, аналогичные Shodan, задолго до его появления. И они продолжат их использовать, потому что Shodan — не анонимный сервис. Мы предпринимаем множество мер, чтобы ограничить использование Shodan во вред и удостовериться, что информацию получают только хорошие парни. Имеется множество свидетельств тому, что Shodan помогает сделать интернет лучше».

Основатель поисковика

Shodan Джон Мазерли

об обвинениях в адрес сервиса