Как «Плохой Кролик» заскочил в Россию

— Не вижу в этом большого смысла, — сказал Кролик.— Нет, — сказал Пух скромно, — его тут нет. Но он собирался тут быть, когда я начал говорить. Очевидно, с ним что-то случилось по дороге.
Винни-пух и все-все-все

По сообщению экспертов компании Group-IB 24 октября с.г., ряд российских СМИ и украинских организаций подверглись хакерским атакам.
В частности, атакам нового вируса шифровальщика «Badrabbit» подверглись три российских СМИ, среди которых «Интерфакс», «Фонтанка», «Аргументы недели». О проблемах также сообщили Международный аэропорт «Одесса», Киевский метрополитен и украинское Министерство инфраструктуры. Согласно заявлению аналитиков Group-IB, преступники также пытались атаковать банковские инфраструктуры, но эти попытки оказались неудачными. Специалисты ESET в свою очередь утверждают, что атаки затронули пользователей из Болгарии, Турции и Японии.
Но как же так получилось, что под одним прицелом хакеров оказались такие разные организации с различной территориальной принадлежностью.
Совпадение? Не думаю…
Давайте попробуем вникнуть в суть произошедших событий и исследовать на первый взгляд случайно совпавшие факты. Детально изучив хронологию и механизмы распространения вируса, постараемся понять картину произошедшего и увидеть в случайных событиях закономерности.
Рассмотрим хронологию появления информации о заражении вирусом «Bad Rabbit».
Первые сообщения в СМИ появились еще 24 октября в первой половине дня. Все они были связаны с украинскими организациями. В том числе, представители Международного аэропорта Одессы заявили об увеличении времени обслуживания пассажиров и работе над устранением неполадок на странице своего официального аккаунта в СС «Фейсбук».


Posted by Odesa International Airport / Международный аэропорт Одесса on Tuesday, 24 October 2017.

После этого о хакерских атаках сообщила пресс-служба международного метрополитена Киева. В пресс-службе метро сообщили о сбоях в работе банковских сервисов при оплате банковскими картами.
Позднее, как сообщило издание 112.ua со ссылкой на свои источники, жертвой кибератаки стало Министерство инфраструктуры Украины. В свою очередь, пресс-секретарь ведомства Марина Томко заявила, что сайт временно не работает в связи с принятием мер по повышению информационной безопасности из-за угрозы кибератаки. Также не работал сайт Государственной авиационной службы.

Норы «Плохого Кролика»


Напомним, 12 октября сего года Служба безопасности Украины предупредила о подготовке новой волны масштабных кибератак, направленных на госструктуры и частные предприятия страны (подробнее: http://www.securitylab.ru/news/489315.php). Таким образом, официальный Киев знал, что атаки будут, кроме того, не исключено, что была задействована инсайдерская информация.
Как оказалось, перебои в работе компаний и госучреждений были вызваны не массовыми DDoS-атаками, а вирусом-шифровальщиком, который носит имя «Bad Rabbit». Так, основатель компании Group-IB Илья Сачков сообщил на своей странице в Facebook, что происходящее является новой эпидемией шифровальщика, получившего название «Badrabbit».



Позднее, во второй половине дня, от крупных российских СМИ начали поступать сообщения о кибератаках, спровоцировавших перебои в работе ресурсов. В частности, вирус заразил сервера интернет-сайтов информационного агентства «Интерфакс», изданий «Фонтанка» и «Аргументы недели».
Теперь необходимо пристальней взглянуть на механизм распространения вируса «BadRabbit».
Изначально эксперты сообщали, что хакеры использовали утилиту Mimikatz, позволяющую извлекать учетные данные из памяти в открытом виде, и с помощью списка логинов/паролей получали доступ к общим папкам SMB в целевой сети. Подробнее анализ функционирования и распространения вируса описан специалистами в области кибербезопасности.
https://www.kaspersky.ru/blog/bad-rabbit-ransomware/19072/
https://securelist.com/bad-rabbit-ransomware/82851/
Говоря простым языком, вирус работает по следующей схеме: Bad Rabbit инфицирует другие компьютеры в сети путем загрузки в нее своих копий. Далее происходит заражение компьютеров, связанных между собой процессом передачи данных, подключенных к одной локальной сети, имеющих один общий сервер. В частности, заражение вирусом одного компьютера рядового сотрудника влечет за собой заражение всей информационно-коммуникационной сети.
Таким образом, анализ показал, что первыми жертвами вируса-шифровальщика стали украинские организации, тем самым запустили дальнейший процесс распространения вируса по связанным элементам сети. Но как же тогда заражению подверглись сайты российских СМИ? Какая взаимосвязь между ними? Ведь «BadRabbit» пришел в Россию уже от инфицированных украинских ресурсов. Способ распространения вируса дает нам подсказку о наличии некой взаимосвязи между данными организациями.
Давайте разберемся и в этом.
Пристальней взглянув на список инфицированных вирусом сайтов российских СМИ и ознакомившись с контентом данных изданий, мы поняли, что заражению подверглись преимущественно либеральные информационные ресурсы.
Далее мы попытались понять, как именно взаимосвязаны украинские правительственные организации и российские либеральные масс-медиа.
В результате расследования удалось установить, что среди доходов как украинских организаций, в частности правительственных, так и российских либеральных СМИ, фигурирует один и тот же второстепенный источник: а именно, национальный фонд поддержки демократии (National Endowment for Democracy, NED).
Организация, связанная с ЦРУ и финансируемая из бюджета США, основанная в 1983 г. Конгрессом США. Под вывеской «поддержки демократии» фонд занимается продвижением интересов США в мире, устраивая «цветные» революции, выступая против антиамериканских правительств и приводя к власти проамериканские?..
NED распределяет свои гранты через четыре основных «канала»: Американский центр международной трудовой солидарности (ACILS), Центр международного частного предпринимательства (CIPE), Международный республиканский институт (IRI) и Национальный демократический институт (NDI). Ежегодно NED выделяет около 1,2 тыс. многомиллионных грантов различным неправительственным коммерческим организациям (НКО), направленных более чем в 100 стран. Вашингтон финансирует, как правило, организации, связанные с поддержкой демократии и различные оппозиционные СМИ.
Госдепартамент США отчитался о миллиардных тратах на вещание в России (подробнее: life.ru/1056152). Как следует из опубликованного детализированного ежегодного отчёта комиссии по публичной дипломатии при Госдепартаменте США, в 2016 году Совет по вопросам вещания США, руководящий деятельностью "Радио Свобода", "Голоса Америки" и телеканала "Настоящее время", потратил на программы в России $21,7 млн (или более 1 млрд рублей). Ранее сенатский комитет по ассигнованию затребовал на 2018 год на 81,6 миллиона больше, чем просил сам Совет управляющих по вопросам вещания (BBG) (подробнее: life.ru/1032182).
На сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) опубликован перечень средств массовой информации с российской юрисдикцией, получающих финансирование из зарубежных источников. Официальное название такого перечня: «Уведомление о получении редакцией средства массовой информации, вещателем или издателем денежных средств от иностранных источников» (там же полный список).
Ранее средства массовой информации работали в РФ, не предоставляя данных контролирующему ведомству об источниках своего финансирования. Однако в 2015 году было принято решение, которое изменило ситуацию. Так, Роскомнадзор обязал средства массовой информации, получающие денежные средства из-за рубежа, разглашать сведения такого рода. Речь о том, что все некоммерческие организации, занимающиеся политической деятельностью в той или иной мере, в России законодательство обязало обозначать свой статус НКО-иностранного агента.
Видимо, причина неспокойствия со стороны отдельных медиаплощадок связана с тем, что их руководящий состав всячески старался скрыть от читателей (зрителей, слушателей) тот факт, что СМИ кормятся с руки представителей иностранных государств. А если кормятся, то, стало быть, во многом и отражают (защищают) интересы зарубежных инвесторов. Ведь наивно полагать, что если газета, журнал, телеканал, радиостанция или интернет-портал финансируются, к примеру, западным фондом, то в этом СМИ читатель (зритель, слушатель) найдёт что-то, что проливает свет на реальные задачи такого рода финансирования. Хотя эти реальные задачи порой уж слишком активно сами себя обнаруживают.
Здесь стоит напомнить и о том, что с января 2017 года в отношении российских СМИ вводится изменённая норма, ограничивающая долю иностранных акционеров планкой в 20%. Кроме того, с 2017 года учредителями СМИ в России не смогут становиться как иностранные граждане, так и лица, имеющие двойное гражданство.
Если говорить о средствах массовой информации, которые связаны с публикацией политических, экономических новостных материалов, а также аналитических статей, то список получающих иностранное финансирование СМИ выглядит следующим образом: Газета «Ведомости» (организация ЗАО «Бизнес Ньюс Медиа»); издания ИД АО «Коммерсантъ», включая газету с одноимённым названием, а также журнал «Огонёк»; «Экономическая политика» (организация АНО Редакция журнала «Экономическая политика»); «Финансовая газета», Fingazeta.ru (организация ООО «ММГ»); Портал «СНОБ» (SNOB) (организация ООО «Сноб Медиа»); «Новая газета» (ЗАО ИД «Новая газета»); заблокированный Роскомнадзором портал «Грани.ру» (ООО «Флавус»).
На текущий момент в реестре иностранных агентов более 60 организаций, 21 из которых в 2014 году получала финансирование из NED. Опрошенные российские эксперты уверены, что по большей части аудитория сотрудников НКО с годами не меняется, это одни и те же люди — могут меняться названия организаций. Еще в 2014 году, согласно реестру Минюста, впервые из американского фонда получили финансирование следующие организации: «Ресурсный правозащитный центр», «Молодежный центр консультации и тренинга», еврейское отделение «Муниципальной академии», калининградская организация информационно-правовых программ «Женская лига», новосибирский областной общественный «Фонд защиты прав потребителей», благотворительная организация помощи беженцам и вынужденным переселенцам «Гражданское содействие», санкт-петербургская правозащитная организация «Лига избирательниц», фонд «Института развития свободы информации» и «Фонд поддержки расследовательской журналистики 19/29».
Согласно материалам Минюста, у этих двух десятков грантополучателей NED есть одна общая цель — «воздействие на принятие государственными органами решений, направленных на изменение проводимой ими государственной политики».
Обратим внимание на последнюю из перечисленных организаций «Фонд поддержки расследовательской журналистики 19/29» или на языке страны основателе фонда «Sdružení investigativních novinářů – Fond 19/29». Это международная некоммерческая организация, зарегистрированная в Праге (Чешская Республика) в 2015 году (идентификационный номер 04222792).
Учредителем фонда является Григорий Пасько.
Данные с сайта Минюста РФ:



В соответствии с Федеральным законом «О некоммерческих организациях» 24.04.2015 г. в реестр некоммерческих организаций, выполняющих функции иностранного агента, включен «Фонд поддержки расследовательской журналистики – Фонд 19/29».
Факт его соответствия признакам некоммерческой организации, выполняющей функции иностранного агента, был установлен в ходе проведения Главным управлением Минюста России по Москве внеплановой документарной проверки.
Теперь посмотрим на взаимосвязь некоторых наших СМИ с NED.
«Фонд 19/29» тесно связан с медиа-холдингом ООО «АЖУР-медиа». Глава компании ООО «АЖУР-медиа» Андрей Константинов (он же – Андрей Баконин) является лидером попечительского совета «Фонда поддержки расследовательской журналистики 19/29». В свою очередь, в «Агентство журналистских расследований» (АЖУР) входит российское либеральное издание «Фонтанка».

NED -- Фонд 19/29 -- ООО «АЖУР» -- Фонтанка

Теперь, рассмотрим взаимосвязь NED с украинскими правительственными организациями.
В 2015 г. Национальный фонд поддержки демократии заявил в своём отчёте, что выданные им гранты сыграли важную роль на начальном этапе Евромайдана на Украине в 20103—2014 гг. По данным вышедшего в 2015 г. годового отчёта фонда, за 4 года (с 2011 по 2014 год) NED направил на поддержку украинских некоммерческих организаций почти $14 млн, активную роль в событиях майдана сыграл Институт массмедиа, входящий в состав NED. Всё это в итоге привело к госперевороту и свержению законного президента Виктора Януковича и приходу к власти Петра Порошенко.
В частности, в отчёте написано: Endowment grantees played important roles in the peaceful protests in Kyiv. (Перевод: Получатели грантов от фонда играли важную роль в мирных протестах в Киеве).
После переворота в стране деньги из США стали выделяться правильным организациям, популяризующим политику США.
Теперь давайте соединим все эти факты воедино и подведем итог.
Между российскими оппозиционными СМИ и украинскими организациями установлена следующая взаимосвязь: украинские правительственные организации, как и российские либеральные СМИ, финансируются Национальным фондом демократии. Данную взаимосвязь подтверждает атака хакеров на Украинские правительственные ресурсы и сервера компаний. Именно с Украины пошло заражение и распространение вируса «Badrabbit», атака велась целенаправленно на Украинские ресурсы, тем более, что правительство было в курсе готовящейся атаки, ведь Киев предупреждал об этом. Далее по эффекту бабочки вирус добрался до связанных с Украиной сайтов некоторых российских СМИ. Распространение вируса проходило непосредственно через цепочку, аффилированную с NED. Пока не совсем понятно, кто именно первым попал под удар хакеров: украинские сервера NED или сами организации. Об этом умалчивает Киев, который явно обладал инсайдерской информацией. Далее через те же каналы NED «Плохой Кролик» доскакал и до аффилированных с фондом либеральных СМИ, которые по цепочке стали рушиться друг за другом. Учитывая, что вирус распространяется к другим компьютерам в сети путем загрузки в нее своих копий, наглядно становится видна и группа либеральных СМИ, действующих на территории РФ и за немалую финансовую поддержку Запада активно отстаивающих интересы США. Некоторые издания и ранее фигурировали в отчетах Минюста своими иностранными грантами.
На первый взгляд, казалось, вирус-шифровальщик случайно перекинулся на российские СМИ и некоторые банки, однако, с учетом обстоятельств общего финансирования из-за рубежа, случайность становится не случайной, более того, становится понятно, почему атаки прошли, в том числе и на ряд российских банков. И теперь становится ясно, где была вырыта и насколько глубока кроличья нора. И не будем забывать, что женщина любит ушами, мужчина глазами, собака носом и только кролик тем, чем надо!

Как скакал «Плохой Кролик»

Взлом мирового масштаба: хакеры атаковали организации и ведомства в десятках стран

В пятницу хакеры подвергли массированной атаке целый ряд ключевых ведомств в разных странах мира — Национальную систему здравоохранения (NHS) Великобритании, испанскую телекоммуникационную компанию Telefónica, МВД России и оператора сотовой связи «Мегафон», а также другие крупные организации. Компьютеры были атакованы вредоносными программами типа ransomware — теперь хакеры требуют выкуп за предоставление доступа к зашифрованным данным. Американское издание Politico заявило, что хакеры используют вирус, который широко применяло АНБ США.

Западные эксперты обвиняют Россию в хакерских атаках Макрона

Российские хакеры атакуют компьютеры предвыборного штаба кандидата в президенты Франции Эммануэля Макрона, утверждают эксперты в сфере кибербезопасности. В частности, по словам сотрудника компании Trend Micro Фейке Хакборда, в качестве методов нападения хакеры из России используют фишинг, вредоносные программы и фальшивые сетевые домены.

По мнению экспертов, злоумышленники - часть той же хакерской группы, что стояла за взломом компьютеров Демократической партии в ходе предвыборной компании в США. Российские власти отрицают какую-либо причастность к кибератакам на предвыборный штаб Макрона.

Цифровой след
Read more...Collapse )

Пророссийские хакеры предприняли 160 кибератак на ресурсы штаба Макрона

Связанные с Россией хакеры 160 раз атаковали электронные ресурсы штаба фаворита президентской гонки во Франции, лидера центристского движения «Вперед», экс-министра экономики Эммануэля Макрона. Об этом сообщает Associated Press со ссылкой на исследование японской антивирусной компании Trend Micro. Шеф профильного направления в штабе Макрона, Мунир Мажуби, подтвердил, что попытки вторжения имели место. «Это серьезно, но ничего компрометирующего», - сказал он.

Атаки на ресурсы штаба Макрона приходились на декабрь, сказал Мажуби. Ранее представители кампании отмечали шпионские операции, в которых они винили представителей России, но представили слишком мало доказательств. По свидетельству Trend Micro, одним из примеров кибератак стало создание фальшивого сайта для сбора паролей сотрудников кампании Макрона. Мажуби подтвердил, что фальшивый сайт работал в течение последних нескольких месяцев.

По данным Trend Micro, за атакой на штаб Макрона стоит группа Pawn Storm, которую в Вашингтоне считают рукой российской разведки и прокремлевскими хакерами. Японская компания не этот раз не стала уточнять кто именно стоит за группой. Французские официальные лица также не стали связывать группу с конкретной политической силой.

Хакеры угнали Mercedes-Benz с помощью российского военного софта

В Великобритании хозяйка лишилась нового Mercedes-Benz C220, который похитили хакеры.

Инцидент произошёл в Грейсе, графство Эссекс, на прошлой неделе, сообщает Irish Sun. Хозяйка автомобиля за €42 тыс. припарковала машину у дома, откуда она впоследствии ночью была угнана.

На записях с камер наружного наблюдения было замечено два человека. Один с кожаным портфелем стоял около стены дома, а второй открыл и завёл Mercedes-Benz, после чего оба злоумышленника скрылись на похищенном автомобиле.

Владелица машины сказала, что ей сообщили об использовании некоего российского военного программного обеспечения, установленного на ноутбук или планшет, лежавший в портфеле. С помощью электроники был считан сигнал с ключа от автомобиля и активирована система Keyless Go, позволяющая открыть замки дверей и завести двигатель. Хозяйка угнанного Mercedes-Benz заявила, что ключи от машины находились не у входной двери, а в противоположной части дома.

Полиция подтвердила угон автомобиля и объявила его в розыск. Представители Mercedes-Benz прокомментировали ситуацию, заявив, что им неизвестно о каких-либо угонах, связанных с системами бесключевого доступа.

Хакеры опубликовали документы о "черной кассе" Фонда борьбы с коррупцией

Портал InfoTrader опубликовал документы о "черной кассе" Фонда борьбы с коррупцией.

"У нас появился очень интересный "слив" о финансовых потоках внутри ФБК. Дело темное – миллионы с улицы, миллионы в карман. И все без налогов", - говорится в сообщении, размещенном на портале.

Если верить опубликованным данным, в 2014 и 2014 годах от неизвестных лиц на 10 персональных счетов представителя ФБК поступили более 24 млн рублей: чуть более 12 млн рублей в 2014 году и около 13,6 млн рублей в 2015 году.

"Причем по схемам Cash-in и Recyling. То есть какие-то неизвестные (третьи лица) через банкоматы ему переводили деньги", - говорится в сообщении InfoTrader. Затем якобы деньги пересылались известным оппозиционерам.

Власти США приняли выходные узлы Tor за IP-адреса хакеров из РФ

Журналист издания The Intercept, специализирующегося на публикации документов Эдварда Сноудена, Мика Ли (Micah Lee) обнаружил серьезный изъян в совместном докладе ФБР и Министерства внутренней безопасности США. Как оказалось, по крайней мере, 367 IP-адресов, указанных в отчете как связанные с «русскими хакерами», являются выходными узлами Tor.

После публикации доклада Ли решил проверить, посещали ли «русские хакеры» его блог с упомянутых в документе IP-адресов. К своему удивлению журналист обнаружил, что за последние 14 месяцев с вышеупомянутых адресов к его блогу было сделано порядка 80 тыс. запросов. Более того, некоторые из «русских хакеров» даже оставляли комментарии под его публикациями.

«Что происходит? Неужели элитные русские хакеры являются постоянными читателями моего блога? Возможно ли, что я стал жертвой кибератаки?», - задался вопросом журналист.

В итоге опасения Ли оказались напрасными. Из 876 «подозрительных» IP-адресов, указанных в отчете, 367 (почти 42%) являются выходными узлами Tor. «У меня много постоянных читателей среди пользователей Tor, и я уверен, что не все они являются русскими хакерами. Поэтому наиболее очевидным ответом на вопрос, атаковали ли мой сайт с указанных в докладе IP-адресов, является тот факт, что русские, как и тысячи других, используют те же IP-адреса, что и мои постоянные читатели», - сообщил Ли.

Поскольку почти половина используемых в ходе кампании GRIZZLY STEPPE IP-адресов являются выходными узлами Tor, кто угодно, а не только хакеры из РФ, мог использовать их для выхода в интернет, подвел итог журналист./

Великобритания проверит национальную систему кибербезопасности

Правительство Великобритании проведет оценку уровня национальной кибербезопасности с целью выяснить, насколько страна готова противостоять внешним кибератакам. Данное решение было принято спустя два дня после публикации доклада американских спецслужб о предполагаемом вмешательстве РФ в избирательный процесс в США, сообщает Reuters.

«С некоторых пор все внимание сконцентрировалось на потенциальной эксплуатации киберпространства государствами и связанными с ними лицами по политическим причинам. Это только один из источников угроз, которому правительство должно противостоять», - заявила руководитель Комитета палаты общин по стратегии в области национальной безопасности Маргарет Бекетт (Margaret Beckett).

Как отмечает Reuters, с 2014 года по октябрь 2016 года число атак на финансовые институты Великобритании возросло на 70%.

В рамках исследования британское правительство рассмотрит ряд аспектов, в том числе типы киберугроз, с которым может столкнуться Великобритания, а также численность человеческих, финансовых и технических ресурсов, необходимых для противостояния угрозам и разработки наступательных кибервозможностей.

Кибератаки США стали причиной перебоев с электричеством в Турции

Министр энергетики и природных ресурсов Турции Берат Албайрак объяснил недавние перебои с подачей электричества в Стамбуле хакерской атакой, источником которой являлись США.
"Вчера мы столкнулись с интенсивной кибератакой, осуществляемой из США. Эти атаки на различные департаменты Министерства производились систематически, однако мы отразили их все", - цитирует издание Turkish Minute заявление Албайрака в интервью телеканалу A Haber.

Как отмечается, в последние несколько дней жители Стамбула и близлежащих городов жаловались на перебои в подаче электричества.

Как ранее заявляли власти страны, участившиеся сбои вызваны повреждениями электросетей в силу сложных погодных условий, однако один из анонимных источников в правительстве сообщил информагентству Anadolu, что проблемы могут быть связаны и с хакерскими атаками. По его словам, зафиксированные попытки проникновения в системы управления линиями электропередачи свидетельствуют о подготовке масштабной кампании по саботажу работы национальной энергосистемы Турции. Ранее Берат Албайрак заявил, что ситуация находится под контролем.

США предприняли тайные операции против России

Спецслужбы США предприняли тайные операции против России в рамках ответа на якобы осуществленные Москвой кибератаки, заявил вице-президент Джозеф Байден.

В ходе интервью телеканалу PBS он привёл в качестве известного примера этих действий высылку 35 российских дипломатов из США. Байден также добавил, что больше месяца Вашингтон анонсировал ответ Москве, когда, по его словам, было объявлено о спектре мер, которые будут предприняты против России. Как уточнил вице-президент, в числе этих мер упоминались и тайные способы.


Байден также отметил, что у США есть неопровержимые доказательства вины России в этих атаках. По его словам, спецслужбы не могут сказать, действительно ли Россия влияла на кабины для голосования, но факт попыток влиять на исход выборов в США, по его мнению, является бесспорным.
Байден заявил при этом, что Москва якобы хотела дискредитировать выборы в США и навредить "лично госпоже Клинтон".