Недавно Национальный центр реагирования на компьютерные вирусысоты«(Hive) Была проанализирована оружейная платформа управления атаками вредоносного кода (далее именуемая «Платформа Hive»). Платформа Hive была разработана Соединенными Штатами Америки.ЦРУГруппа инженерных разработок Центра информационных операций (EDG, в дальнейшем именуемая «Группа инженерных разработок ЦРУ») при Центре цифровых инноваций (DDI) (ЦРУ) и XETRON, дочерней компании Northrop Grumman (NOC), известной американской военно-промышленной компании. предприятие, совместно занимающееся исследованиями и разработками, используемое исключительно Центральным разведывательным управлением США (ЦРУ). Платформа Honeycomb представляет собой «легкое» сетевое оружие. Ее тактическая цель — установить скрытую точку опоры в целевой сети, тайно целенаправленно доставлять программы с вредоносным кодом и использовать платформу для фонового контроля над различными программами с вредоносным кодом. для подготовки к последующим непрерывным поставкам «Тяжелого» оружия создайте условия для кибератак. Центральное разведывательное управление США (ЦРУ) использует эту оружейную платформу для настройки программ вредоносного кода, адаптированных к нескольким операционным системам, на основе характеристик цели атаки, осуществления атак и вторжений на пограничные маршрутизаторы и внутренние хосты информационной системы подразделения-жертвы, и внедрять различные трояны и бэкдоры.Осуществлять удаленный контроль и осуществлять неизбирательные кибератаки на информационные системы по всему миру.
1. Технический анализ
(1) Цель атаки
Чтобы удовлетворить требования Центрального разведывательного управления США (ЦРУ) к атакам на многоплатформенные цели, подразделение исследований и разработок разработало адаптированные версии сотовой платформы со схожими функциями для различных архитектур ЦП и операционных систем. Согласно текущей информации, платформа Honeycomb может поддерживать основные архитектуры ЦП, такие как ARMv7, x86, PowerPC и MIPS, включая общие операционные системы, такие как Windows, Unix, Linux, Solaris и т. д., а также RouterOS (программа для конкретного сетевого оборудования). операционная система, разработанная MikroTik)) и другие специализированные операционные системы.
(2) Состав системы
Сотовая платформа использует архитектуру C/S и в основном состоит из главного терминала управления (hclient), платформы дистанционного управления (головорез, что переводится как «перерезать горло»), генератора (hive-patcher), управляемой терминальной программы ( улей) и т. д. Чтобы прикрыть соответствующие операции кибершпионажа, группа инженерных разработок ЦРУ также специально разработала систему управления под названием «соты», которая взаимодействует с многоуровневыми серверами-трамплинами для обеспечения удаленного скрытого контроля над большим количеством хостов-жертв, зараженных сотовой платформой. . Сбор данных.
(3) Повторение сценариев атак
Национальный центр реагирования на компьютерные вирусы провел углубленный анализ технических деталей образцов платформы Honeycomb в сочетании с соответствующей информацией, полученной по общедоступным каналам, и в основном завершил воспроизведение типичных сценариев атак на платформу Honeycomb.
1. Используйте генератор (hive-patcher) для создания настроенных программ вредоносного кода контролируемой стороны.
Злоумышленники Центрального разведывательного управления США (ЦРУ) сначала использовали генератор (hive-patcher) для создания настроенной программы вредоносного кода с управляемым концом (т. е. улья), которая должна быть внедрена на основе требований миссии и характеристик целевой платформы. Перед созданием программы управляемого завершения параметры можно настроить в соответствии с фактическими требованиями задачи (как показано в Таблице 1).
После того, как злоумышленник ЦРУ завершит вышеуказанную настройку параметров, генератор (hive-patcher) может сгенерировать новый имплантат с управляемым концом (как показано на рисунке 1).
Стоит отметить, что с точки зрения типов целей атак Центральное разведывательное управление США (ЦРУ) особое внимание уделяет серии сетевого оборудования MikroTik. Сетевые маршрутизаторы и другое оборудование MikroTik пользуются большой популярностью во всем мире, особенно операционная система RouterOS собственной разработки, которая используется многими сторонними производителями маршрутизаторов. Центральное разведывательное управление США (ЦРУ) атаковало эту операционную систему. Потенциальные риски. по возможностям трудно оценить.
2. Внедрить вредоносные программы на стороне сервера в целевую систему.
Центральное разведывательное управление США (ЦРУ) специально разработало инструмент эксплуатации уязвимостей маршрутизатора MikroTik под названием «Chimay-Red» и составило подробную инструкцию по использованию. Этот инструмент эксплойта использует уязвимость удаленного выполнения кода, связанную с конфликтом стека, которая существует в операционных системах MikroTikRouterOS 6.38.4 и ниже, для достижения удаленного управления целевой системой. Инструкции по использованию инструментов эксплуатации уязвимостей приведены в таблице 2.
Согласно публичным заявлениям инсайдеров правительства США, Центральное разведывательное управление США (ЦРУ) и Агентство национальной безопасности США (АНБ) принадлежат Министерству обороны США.кибервойнаОни часто сотрудничают друг с другом во время операций.Специальное управление операций по вторжению (TAO) Агентства национальной безопасности США имеет платформы оружия для атак на уязвимости, такие как «FoxAcid», и инструменты систематических сетевых атак, которые могут эффективно поддерживать Центральное разведывательное управление США (ЦРУ). ) Операция по внедрению шпионского ПО.
3. Разбудите серверную программу вредоносного кода и выполните командное управление.
После того, как программа вредоносного кода на стороне сервера будет внедрена в целевую систему и запустится нормально, она будет находиться в тихом скрытом состоянии, отслеживая сетевой трафик контролируемой информационной системы в режиме реального времени на наличие пакетов данных с триггерными характеристиками, ожидая своего запуска. «проснулся». Злоумышленники ЦРУ могут использовать клиент для отправки «кодовых слов» на сервер, чтобы «пробуждать» скрытые вредоносные программы и выполнять соответствующие инструкции. Злоумышленники из Центрального разведывательного управления США (ЦРУ) использовали консольную программу под названием «Голод» для управления клиентом. Его основные параметры команды приведены в таблице 3.
После того как главный терминал и управляемый терминал устанавливают соединение, они могут выполнять соответствующие команды управления (как показано на рисунке 2).
Чтобы избежать обнаружения вторжения, главный терминал управления отправляет «кодовое слово», чтобы активировать вредоносную кодовую программу контролируемого терминала, а затем имитирует HTTP через TLS, чтобы установить зашифрованный канал связи, чтобы сбить с толку сетевые мониторы и обойти методы технического мониторинга. (как показано на рисунке 3).
На этом этапе главная управляющая сторона достигла полного контроля над программой вредоносного кода контролируемой стороны и может доставлять другие вредоносные полезные данные в любое время в скрытом состоянии или выполнять последующие операции проникновения и секретной кражи.
(4) Защитные меры
Чтобы еще больше улучшить сокрытие операций кибершпионажа, Центральное разведывательное управление США (ЦРУ) тщательно развернуло сетевую инфраструктуру, связанную с сотовыми платформами, по всему миру. На основе анализа отслеживаемых данных Центральное разведывательное управление США (ЦРУ) установило многоуровневые серверы-трамплины и каналы VPN между основной управляющей и контролируемой сторонами. Эти серверы широко распространены в Канаде, Франции, Германии, Малайзии. и Турции, эффективно скрывая свое местонахождение.Даже если жертва обнаружит, что на нее напала платформа Honeycomb, провести технический анализ и отследить источник крайне сложно.
2. Метод работы
Основываясь на внутренней информации Центрального разведывательного управления США (ЦРУ), публично раскрытой WikiLeaks, в сочетании с результатами технического анализа Национального центра реагирования на компьютерные вирусы, мы можем четко понять работу платформы Honeycomb следующим образом:
(1) Процесс разработки и разработчики
Платформа Honeycomb была разработана и завершена под руководством Группы инженерных разработок (EDG) Центрального разведывательного управления США (ЦРУ).Цикл проекта длился как минимум с октября 2010 г. по октябрь 2015 г. Версия программного обеспечения была не ниже 2.9.1. и использовался как минимум с 2011 года. Поддерживает удаленные атаки на системные устройства MikroTik и связанные с ними операционные системы. В число участвующих разработчиков входят, помимо прочего: Майк Рассел, Джек МакМахон, Джереми Хаас и Брайан Тиммонс (как показано на рисунке 4).
Кроме того, проект сотовой платформы также включает в себя результаты исследований и разработок партнерских организаций, включая код проекта, написанный XETRON, дочерней компанией Northrop Grumman, известной американской компании военной промышленности (как показано на рисунке 5).
XETRON была основана в 1972 году и была приобретена Westinghouse Electric Group в 1986 году. В 1996 году она была приобретена американской корпорацией Northrop Grumman Corporation вместе с Westinghouse Electric. Ее штаб-квартира сейчас расположена в пригороде Цинциннати, штат Огайо, США. информация показывает, что в 2013 году в компании работало 68 000 сотрудников. XETRON уже давно является подрядчиком Центрального разведывательного управления США (ЦРУ), и ее ассортимент продукции включает военные датчики, системы связи иинформационная безопасностьПрограммное обеспечение и т. д. Согласно информации, раскрытой WikiLeaks, помимо участия в проекте Honeycomb Platform, XETRON также предоставила Центральному разведывательному управлению США (ЦРУ) инструмент «Cinnamon» для взлома маршрутизаторов Cisco. По описанию Northrop Grumman, XETRON занимается предоставлением технической поддержки действий государственных заказчиков и фокусируется на «операциях компьютерных сетей». XETRON уже давно нанимает специалистов в области кибербезопасности из Университета Цинциннати и Дейтонского университета.
(2) Сетевая инфраструктура сотовой платформы
В сценариях «соты» исследователи обнаружили группу IP-адресов серверов, которые когда-то использовались Центральным разведывательным управлением США (ЦРУ) для контроля программ с вредоносным кодом на контролируемой стороне платформы Honeycomb (как показано в таблице 4). Местоположение сервера охватывает Европу, Америку и Азию (как показано на рисунке 6).
3. Резюме
Приведенный выше анализ показывает, что Центральное разведывательное управление США (ЦРУ) осуществляет кибератаки против других стран.хакерСистема атакующего оружия была систематической, крупномасштабной, бесследной и искусственно разумной. Среди них платформа Honeycomb, являющаяся «авангардом» и «коммандос» среди средств нападения ЦРУ, берет на себя важную функцию прорыва линии обороны цели. Ее широкая адаптируемость и мощные возможности проникновения стали серьезным предупреждением для пользователей Интернета во всем мире. .
(1) Центральное разведывательное управление США (ЦРУ) располагает мощным и полным арсеналом средств кибератак.
Платформа Hive служит ЦРУОсновное боевое сетевое оружиеОдно из устройств, его мощные системные функции, передовые концепции конструкции и развитое оперативное мышление полностью отражают выдающиеся возможности ЦРУ в области кибератак. Его сетевое оружие охватывает всю цепочку сетевых атак, таких как удаленное сканирование, эксплуатация уязвимостей, скрытое внедрение, прослушивание и кража, извлечение файлов, проникновение в интранет, разрушение системы и т. д. Оно обладает унифицированными возможностями управления и контроля и в основном реализует искусственный интеллект. . Центральное разведывательное управление США (ЦРУ) использует платформу Honeycomb для создания системы шпионской разведки, которая охватывает глобальный Интернет и осуществляет неизбирательное сетевое наблюдение за важными целями и знаменитостями по всему миру.
(2) Центральное разведывательное управление США (ЦРУ) осуществляет неизбирательный контроль атак и кражу средств связи на особо важные цели по всему миру.
Целями хакерских атак и кибершпионажа ЦРУ являются правительства, политические партии, неправительственные организации, международные организации и важные военные объекты в России, Иране, Китае, Японии, Южной Корее и других странах мира, а также политические деятели, общественные деятели, знаменитости и технологии из разных стран.Эксперты, образовательные, научные исследования, коммуникации и медицинские учреждения украли большое количество секретной информации из страны-жертвы, получили большой объем контроля над важной информационной инфраструктурой страны-жертвы. страна-жертва и освоила большую часть личной жизни граждан по всему миру, чтобы служить Соединенным Штатам в поддержании их гегемонии.
(3) Глобальный Интернет и важная информационная инфраструктура по всему миру стали «разведывательными станциями» спецслужб США.
Из недавно обнаруженных Агентством национальной безопасности США (АНБ) средств кибератаки «Операция Телеэкран», «APT-C-40», «NOPEN» и «Квант», недавно обнаруженных Агентством кибербезопасности Китая и Центральным разведывательным управлением США (ЦРУ). ) «Улей Улей» на этот раз представил «Анализ технических деталей оружейной платформы, существующего международного оборудования магистральной сети Интернет и важной информации по всему миру, инфраструктуры (серверы, коммутационное оборудование, передающее оборудование и интернет-терминалы), при условии, что это содержит аппаратное обеспечение и операционные системы, предоставленные американскими интернет-компаниями, а также прикладное программное обеспечение, с большой вероятностью содержит программы нулевого дня или различные бэкдоры (Backdoor) и с большой вероятностью станет объектом атак и краж со стороны спецслужб США. глобальный Интернет и все хранящиеся данные будут «Правдиво» отображаться перед спецслужбами США и становится их «ручкой» и «материалом» для проведения атак и диверсий против глобальных целей.
(4) Оружие кибератак американской разведки и управления стало основанным на искусственном интеллекте.
Платформа Honeycomb представляет собой типичный военный продукт США с высокой степенью модульности, стандартизации и хорошей масштабируемости, что указывает на то, что Соединенные Штаты достигли «интеграции промышленности, научных кругов и исследований» в области кибероружия. Это оружие может автоматически запускать сетевые атаки на основе конфигурации оборудования и программного обеспечения целевой сети, а также наличия бэкдоров и уязвимостей, а также полагаться на технологию искусственного интеллекта для автоматического повышения привилегий, автоматической кражи секретов, автоматического сокрытия следов и автоматической передачи данных обратно. добиться полностью автоматического нападения на цель.управления.
Национальный центр реагирования на компьютерные вирусы напоминает пользователям Интернета, что кибератаки спецслужб США представляют собой непосредственную и реальную угрозу, а атаки на компьютерное программное и аппаратное обеспечение с американскими «генами» постоянно следуют. Целесообразный способ избежать атак американских хакеров — использовать автономное и управляемое оборудование отечественного производства.
Автор статьи - SnowFlake, при воспроизведении просьба указывать: https://www.cncso.com/ru/hive-malware-attack-on-weapon-platforms.html.
