Разделы

Безопасность

Зафиксирована активность шпионского ПО, созданного при участии ЦРУ

Перехвачен бэкдор, код которого был заимствован из набора HIVE, разработанного в ЦРУ. Является ли этот бэкдор непосредственным изделием американской киберразведки, или производным, созданным кем-то еще, неизвестно.

Подозрительный ELF

Эксперты китайской компании Qihoo Netlab 360 объявили об обнаружении нового бэкдора, использующего вредоносный код, предположительно разработанный в ЦРУ.

Речь идет о наборе средств для кибервзлома Project Hive, информация о котором утекла в апреле 2017 г. через Wikileaks. Тогда было опубликовано несколько документов, в которых Project Hive был назван «управляющей инфраструктурой», используемой разведкой США для распространения своих шпионских модулей и вывода интересующей их информации.

В октябре 2021 г. одна из «ловушек» Netlab 360 перехватила подозрительный файл ELF, который, при ближайшем рассмотрении, оказался вредоносом, распространяющимся через уязвимость нулевого дня в разработках технологической корпорации F5, специализирующейся, кстати, на информационной безопасности приложений, облачных ресурсов, борьбе с мошенничеством и т. д.

Исследователи обнаружили, что вредонос обращается к IP-адресу 45.9.150.144, используя SSL-соединение с поддельным сертификатом, якобы выпущенным «Лабораторией Касперского».

Китайские эксперты перехватили вредонос «авторства» ЦРУ

В дальнейшем удалось установить, что вредонос использует код Hive. Ему присвоили название xdr33.

«Из текста публикации Netlab 360 не следует однозначно, что этот бэкдор является прямой разработкой ЦРУ, — отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Указывается, что это “вариант HIVE”, то есть, это может быть оригинал, а может — дериватив, созданный в результате утечки кода. Второй вариант даже хуже, потому что это означает, что этим кодом, судя по всему, очень качественно написанным, будут пытаться пользоваться кто попало, с любыми целями».

Бэкдор с двумя функциями

Бэкдор был создан, очевидно, с целью сбора важной информации и установления постоянного присутствия в целевой инфраструктуре. Он использует алгоритмы XTEA или AES для шифрования траффика, который дополнительно защищается SSL.

Олег Покровский, «Росатом»: Создавая собственные ТИМ-решения, мы перестаем за свой счет обучать модели недружественных стран
Цифровизация

Как отметили исследователи, у бэкдора только две задачи или функции — «маяк» и «триггер». Первая регулярно передает одному из контрольных серверов данные о систме и выполняет команды, которые тот присылает в ответ. Вторая мониторит NIC-трафик с целью идентификации определенных сообщений, в которых скрыты данные о втором контрольном сервере. После их получения устанавливается соединение со вторым сервером, и вредонос ожидает команд уже от него.

Эксперты Netlab 360 отмечают, что сэмпл вредоносных программ, относящихся к набору HIVE, перехвачен впервые, хотя некоторая информация о них доступна уже более пяти лет. Впрочем, на Wikileaks сугубо технических подробностей почти нет.

Роман Георгиев