The Daily Beast: Теперь хакеры Путина подверглись атаке – со стороны Microsoft

Новая наступательная операция Microsoft теснит хакеров российского правительства, стоящих за вмешательством в прошлогодние выборы; она установила более 120 новых мишеней кибершпионажа Кремля и удалила сегменты хакерского аппарата Путина.

Как Microsoft это делает? Оказывается, есть нечто еще более грозное, чем вредоносное ПО Москвы: адвокаты.

В прошлом году адвокаты производителя программного обеспечения без лишнего шума подали иск на хакерскую группу, известную как Fancy Bear, в федеральный суд за пределами Вашингтона, обвинив ее в компьютерном внедрении, киберсквоттинге и незаконном использовании торговой марки. Однако это действие не нацелено на то, чтобы затащить хакеров в суд. Иск – инструмент для Microsoft, чтобы атаковать то, что он называет «самой чувствительной точкой» шпионских операций Fancy Bear: командно-контрольные серверы, которые хакеры используют, чтобы тайно направлять вредоносное ПО на компьютеры жертв. Эти серверы можно назвать шпионами российской сети кибершпионажа. Они терпеливо ждут контакта со своими содержащими вредоносное ПО агентами, а затем отправляют зашифрованные инструкции и принимают украденные документы.

Начиная с августа Microsoft использовал иск, чтобы вывести из-под контроля Fancy Bear 70 различных командно-контрольных точек. Подход компании непрямой, но эффективный. Вместо того чтобы брать под физический арест серверы, которые Fancy Bear арендует у центров обработки данных по всему миру, Microsoft захватывал имена интернет-доменов, которые к ним ведут. Речь идет об адресах, вроде livemicrosoft[.]net или rsshotmail[.]com, которые Fancy Bear регистрирует под вымышленными именами по цене примерно 10 долларов за адрес. Как только домены попадают под контроль Microsoft, они перенаправляются с российских серверов на серверы компании, отрезая хакеров от их жертв и предоставляя Microsoft всевидящий взгляд на сеть автоматических шпионов этих серверов.

«Другими словами можно сказать так: в любой момент, когда зараженный компьютер пытается связаться с командно-контрольным сервером через один из доменов, он будет подключен к контролируемому Microsoft, безопасному серверу», – пояснял на слушаниях в суде  в прошлом году внешний адвокат Microsoft Стивен Дженсон. 

Исторически сложилось, что Fancy Bear нацеливает свои вредоносные программы в основном на Windows и опирается на продукты Microsoft при выборе доменных имен — таким образом, Microsoft получил твердые основания для иска. В пятницу, после месяцев тяжбы и тысяч страниц судебных документов, судья в Александрии (штат Вирджиния) должна выслушать предложение Microsoft по финальному заочному вердикту и судебному запрету против Fancy Bear.

Группа Fancy Bear – она же APT28, Sofacy, Pawn Strorm и Strontium, как заявляет Microsoft – занимается кибер-шпионажем, по меньшей мере, с 2007 года. Она атаковала НАТО, Белый дом во время президентства Обамы, французскую телевизионную станцию, Всемирное антидопинговое агентство, бесчисленное количество НПО, а также военные и гражданские учреждения в Европе, Центральной Азии и на Кавказе. Согласно сообщениям разведки США, целью самых резонансных вторжений Fancy Bear были Национальный комитет демократической партии (DNC) и предвыборная кампания Хиллари Клинтон прошлого года – в рамках усилий Москвы по оказанию помощи Дональду Трампу войти в Белый дом.

Microsoft не называет Россию в иске, вместо этого описывая Fancy Bear как «изощренную и хорошо финансируемую организацию», которая остается неустановленной. Однако компании по безопасности и рассекреченные выводы разведки США причислили Fancy Bear к компонентам российской военной разведки ГРУ.

Наступательная операция против Fancy Bear кажется первым примером того, как технологическая компания попыталась напрямую сорвать операцию иностранной разведки в большом масштабе. В 2015 году российская  фирма «Лаборатория Касперского», специализирующаяся на разработке систем защиты от киберугроз, смогла охватить дюжину командно-контрольных  доменов, используемых вредоносными программами Агентства национальной безопасности (NSA), но только после того, как NSA пропустила регистрацию, оставила домены на рынке.

Отключение Fancy Bear не влияет на все вредоносное ПО группы. Некоторые хакерские инструменты России, вроде имплантата X-Tunnel, использованного против Демократической партии, подсоединяются к командно-контрольным серверам, используя свой IP-адрес, состоящий из цифр, вместо доменного имени. Однако «то, как Microsoft топит их домены (…) увеличивает затраты Fancy Bear», отметил Кайл Эмке, старший исследователь в области разведки в ThreatConnect (штат Вирджиния), который ежедневно отслеживает тайные серверы Fancy Bear.

«Закупка инфраструктуры  –  это расходы и, мы, как расследовавтели, можем и должны это использовать. Чем больше им приходится перестраивать свою инфраструктуру, тем лучше–.

Атаку на Fancy Bear Microsoft начал через неделю после сообщений в The New York Times о том, что разведывательное сообщество с –высокой степенью уверенности– заявляет, что DNC взломал Кремль. Microsoft подал судебный иск, требуя издать чрезвычайный охранный приказ о временном аресте 22 доменов Fancy Bear, включая адрес ActBlues [.] Com, использованный в нападении на Комитет Демократической партии по выборам в Конгресс, и домены, ранее использованные при попытках взлома немецких энергетических компаний.

Судья Федерального окружного суда США Джеральд Брюс Ли вынес решение в пользу  Microsoft и выдал предписание регистраторам доменных имен  изменять домены, указывая на Microsoft и оставляя все данные регистрации – вымышленные имена и почтовые адреса – неповрежденными. Но почти сразу, как только Microsoft начала нейтрализовать домены, Fancy Bear ответил, зарегистрировав еще одну партию имен, что заставило Microsoft вернуться в суд для того, чтобы получить следующее судебное решение о захвате новых адресов.

С тех пор игра в «кошки-мышки» продолжается. Microsoft тщательно анализирует то, какие доменные имена, каких регистраторов и провайдеров веб-почты выбирает Fancy Bear, и даже разработал список из 140 слов, которые, скорее всего, появятся в домене Fancy Bear. С целью ускорить процесс по отключению доменов хакеров в качестве независимого «судебного контроллера», осуществляющего надзор над запросами об отключении, была назначена отставная судья. По состоянию на март прошлого года Microsoft пять раз обращалась в суд и захватила у россиян в общей сложности 70 доменов.

Не имея реальных имен и адресов, за которыми следовать, адвокаты Microsoft отправляли хакерам судебные документы по электронной почте, посылая их на одноразовые аккаунты, которые были использованы при регистрации командно-контрольных доменов. Ответа они так и не получили, но следящий жучок, который адвокаты внедрили в электронные письма, показал, что сообщения открывали как минимум 30 раз.

Пока единственным ответом от хакеров была спокойная регистрация новых командно-контрольных доменов с каждой волной отключений.

Компания ThreatConnect планирует обнародовать в пятницу еще 60 возможных зарегистрированных Fancy Bear доменов, которые она обнаружила на очередном витке цифрового слежения.

 В рамках своего предложения в суде, которое будет оглашено в пятницу, Microsoft просит остаться судебного контроллера на неопределенный срок (компания будет оплачивать расходы) и добивается ордера, который в будущем позволил бы конфисковать у Fancy Bear ряд прочих доменов, вдохновленных Microsoft, которые не были зарегистрированы, но, согласно алгоритмам компании, могут быть использованы впоследствии кремлевскими хакерами. infomicrosoftcenter [.] Com, win-newsmail [.] Com, statistic-security-microsoft [.] Com ..

В этом списке 9 тыс. имен.

Оригинал на The Daily Beast 

Перевод: Андрей САБАДЫР, специально для UAINFO