СофтХабрахабр

Пентагон начал рассекречивать чужие зловреды

S. Кибернетическое командование США (U. Оно обещает регулярно заливать в базу VirusTotal образцы «рассекреченных зловредов». Cyber Command) объявило о необычной инициативе.

Другими словами, американская разведка собирается выставить инструменты противника на всеобщее обозрение. Несложно догадаться, что речь идёт о кибероружии, которые используют иностранные спецслужбы в текущих операциях (подразделения по киберразведке действуют во всех странах с развитыми разведывательными службами, в том числе в России). После появления в общедоступных базах VirusTotal эти инструменты попадут во все антивирусные базы и по сути станут неэффективными.

Публикуя вредоносное ПО, США вынуждают их постоянно находить и использовать новые уязвимости», — комментирует ситуацию известный специалист по безопасности и криптограф Брюс Шнайер.
Кибернетическое командование США собирается действовать максимально публично, широко информируя публику о зловредах противников. «Это похоже на пример новой стратегии США, направленной на активное преследование иностранных государственных акторов. Открыт новый твиттер-аккаунт USCYBERCOM Malware Alert специально для сообщений о новых образцах зловредов, которые отправлены в базу VirusTotal.

К настоящему моменту туда отправлены два образца.

После этого иностранный инструментарий рассекречивается и сливается в базу VirusTotal. Разумеется, спецслужбы рассекречивают инструменты противника только после того, когда уже больше не заинтересованы в сохранении их секретности, то есть после проведения соответствующих контрразведывательных мероприятий и сбора информации об иностранных акторах, их целях, методах работы и т.д.

Интересно, что открытие твиттер-аккаунта и публикация образцов не сопровождалась обычным для государственных учреждений анонсом новой инициативы, отмечает издание ThreatPost, которое специализируется на информационной безопасности. Первые образы таких программ опубликовало подраздение Cyber National Mission Force (CNMF), которое находится в подчинении Кибернетического командования США. Это было сделано без предупреждения.

«Признавая ценность сотрудничества с государственным сектором, CNMF инициировала усилия по обмену рассекреченными образцами вредоносных программ, которые, по нашему мнению, окажут наибольшее влияние на улучшение глобальной кибербезопасности», — сказано в кратком заявлении CNMF.

Эти дропперы используются в том числе для бэкдора Computrace хакерской группы APT28/Fancy Bear, которую связывают с выполнением заказов для Российской Федерации. Два первых рассекреченных образца — файлы rpcnetp.dll и rpcnetp.exe.

Троянская версия законного программного обеспечения LoJack называется LoJax или DoubleAgent», — объяснил представитель американских спецслужб. «Конкретная пара образцов, Computrace/LoJack/Lojax, на самом деле представляет собой троянизированную версию легального программного обеспечения LoJack от компании, которая раньше называлась Computrace (в настоящее время называется Absolute).

Он даёт возможность сообществу кибербезопасности мобилизоваться и реагировать на угрозы в режиме реального времени, тем самым помогая правительству в защите и обеспечении безопасности американского киберпространства». Выпуск таких образцов — смелый шаг для Министерства обороны, которое долгое время держало в секрете свою кибердеятельность и полученные знания, комментирует независимый эксперт, директор по кибербезопасности в Carbon Black: «Это огромный шаг вперёд для сообщества кибербезопасности.

Хотя в реальности отсутствие контекста может уменьшить эффективность защитных мер, потому что для построения надёжной обороны необходимо чётко понимать, каким образом и для чего противник использовал данные инструменты. Джон Хултквист, директор анализа разведки в FireEye, отметил, что раскрытие вредоносных программ осуществляется «в вакууме», без упоминания конкретных разведывательных операций противника и проведённых контрразведывательных операций: «Несомненно, за этими разоблачениями по-прежнему будет стоять стратегия, поскольку раскрытие всегда имеет последствия для разведывательных операций, но их простота может позволить более простые и быстрые действия, с чем правительство исторически боролось», — сказал Хултквист.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть