Русские в числах
Российские анонимные веб-сайты составляют более 36% DARKINT (база сайтов Даркнета), собранных DarkOwl. DarkOwl успешно проиндексировал более 300 миллионов страниц, как в Даркнете, так и в Клирнете, на восточнославянском русском языке. Российские форумы по хакерству и кардингу, доступные в Клирнете, составляют 92% собранного веб-контента DarkOwl.
В Tor значительно больше русских скрытых сервисов, чем сайтов на i2p или Zeronet, что говорит о том, что российские пользователи Даркнета, предпочитают Tor вместо i2p. На русскоязычные веб-сайты приходится только 10% контента i2p. Активность русских в анонимной сети Zeronet ничтожна.
Откуда мы знаем, что русские были вовлечены?
Введите «русские хакеры» в любую наземную поисковую систему, и вы, несомненно, получите миллионы результатов, о злонамеренных кибер-операциях из России, начиная с подрыва процесса демократических выборов и заканчивая атаками на энергосистему США. В самых последних обвинительных актах, выдвигались обвинения против семи российских разведчиков, которые взламывали антидопинговые агентства, используя современное оборудование для атаки на беспроводную (wi-fi) сеть организаций.
|
Цель |
Техника |
|
2014-2016 Взлом американских коммунальных служб |
Скомпрометированные сетевые учетные данные, с помощью фишинга по электронной почте |
|
2016 Выборы в Демократический национальный комитет |
Уязвимость поставщика программного обеспечения |
|
Государственная регистрация избирателей в США |
SQL инъекция |
|
Всемирное антидопинговое агентство |
Сниффинг беспроводной сети |
|
Институт Хадсона |
Фишинг домена |
Когда вы копаетесь в тени форумов и чатов, доступных только через Даркнет, вы понимаете, что только исследователи безопасности и правоохранительные органы, активно обсуждают и публикуют сообщения об уязвимостях критических систем и инфраструктуры США. Для того, чтобы узнать, чем занимаются русские, нужны ключевые слова, связанные с технической спецификой инструментов и методов, необходимых для проведения таких сложных операций.
В сообщениях, о недавних хакерских атаках антидопинговых агентств (WADA) говорится, что россияне использовали беспроводное устройство для сниффинга (сниффер – анализатор трафика), установленное в задней части автомобиля оперативников, для доступа к сетям WADA. Хакеры также использовали различные вредоносные программы, включая Gamefish, X-tunnel и код Chopstick, большинство из которых были замечены ранее и использовались в других российских кибератаках.
.png "Российская мобильная атака ГРУ Wi-Fi (любезно предоставлено Министерством обороны Нидерландов)")
Российская мобильная атака ГРУ Wi-Fi (любезно предоставлено Министерством обороны Нидерландов)
Обсуждение на российском форуме о том, как использовать такое устройство для перехвата паролей Wi-Fi сетей
Как видно из недавних атак против американских аналитических центров, Института Хадсона и Международного республиканского института, русские хорошо известны тем, что они используют spear-fishing атаки, основанные на тщательной разведке и хорошо организованной операции по сбору разведданных, перед началом подрывной деятельности. Spear-phishing - это тип взлома, основанный на социальной инженерии, похожий на фишинг электронной почты, но направленный на конкретного человека или группу, внутри сети или организации.
Просочившийся документ АНБ показал, как кибер-офицеры из России, в 2016 году, отправляли сотрудникам избирательных комиссий электронные письма, с вложением MS Word, зараженным трояном на скрипте Visual Basic, который запускает программу открытия связи, обратно на IP-адрес хакеров.
.png "Подробные тактические приемы, методы и процедуры, используемые русскими для атаки на официальных лиц США, на выборах в 2016 году (любезно предоставлено The Intercept)")
Подробные тактические приемы, методы и процедуры, используемые русскими для атаки на официальных лиц США, на выборах в 2016 году (любезно предоставлено The Intercept)
Огромный объем скомпрометированных учетных данных электронной почты, размещенных для продажи на российских рынках и хакерских форумах, вызывает тревогу. 103 домена .gov, содержат фразу «выборы» в их доменном имени (*@election*.gov) и могут быть сервером, для организации выборов.
Объявление о продаже базы данных с 458 миллионами электронных писем и паролей
В ходе взлома системы регистрации избирателей в 2016 году, участники атаки, использовали простые, «белые» инструменты поиска уязвимостей, такие как Acunetix, наборы для обнаружения и эксплуатации сетей, такие как DirBuster, SQLMap и SQLSentinel. Русскоговорящий хакер, Распутин, печально известен тем, что использовал запатентованный эксплойт SQL-инъекции, для успешного взлома и сбора учетных данных с серверов комиссии по оказанию помощи в выборах США (EAC), включая учетные записи с административными привилегиями.
Веб-сканер уязвимостей Acunetix в действии
Обсуждение того, как использовать SQLMap против целевой сети на русском форуме
За последние несколько лет, миллионы регистрационных данных избирателей США с полными именами, адресами и данными голосования, появились в продаже на хакерских форумах и рынках Даркнета. DarkOwl собрал данные о более чем 30 штатах, стоимостью от 250 до 5000 долларов США за штат, включая: Колорадо, Огайо, Коннектикут, Флорида, Мичиган, Северная Каролина, Нью-Йорк, Пенсильвания, Род-Айленд, Вашингтон, Канзас, Вайоминг, Оклахома, Мэриленд, Арканзас , Невада, Монтана, Луизиана, Делавэр, Айова, Юта, Орегон, Южная Каролина, Висконсин, Джорджия, Нью-Мексико, Миннесота, Кентукки, Айдахо, Теннесси, Южная Дакота, Миссисипи, Западная Вирджиния, Алабама, Аляска и Техас.
Сообщение на форуме Даркнета, с содержимым базы данных регистрации избирателей Арканзаса
Многие из опубликованных государственных баз данных устарели, т.е. информация о регистрации избирателей в Алабаме и Аляске, от 2015 года; тем не менее, многие из этих баз данных, предлагались на печально известном рынке Alphabay в 2016 году.
Недавнее предложение о продаже списков избирателей в нескольких штатах США
В последние недели, в комментариях от поставщика появилась информация о том, что хакер с записями голосования, настроил постоянный доступ к базам данных штатов, сообщив: «Кроме того, данные обновляются каждый понедельник каждой недели, как только вы запросите данные у меня, вы получите максимально свежую информацию.» Тот факт, что эти данные находятся в Даркнете, неудивителен, так как это общедоступная информация с открытым исходным кодом. Что удивительно, что есть желающие заплатить, за доступ к информации, которую они могли бы легко получить сами. Ссылки на некоторые базы данных штата, появлялись на форумах темной сети, и размещались там бесплатно. Хакер на форуме, идентифицирует себя как белый инженер-программист из Соединенного Королевства и “апатичное человеческое существо” информацию о котором, можно легко получить в Клирнете. Нет никаких признаков того, что он связан с российскими хакерами, спонсируемыми правительством.
Хакеры, связанные с Россией, независимо от того, являются ли они одиночками или оперативниками крупной кибер-организации, под руководством правительства, имеют более чем достаточные инструменты и ресурсы в сети и Даркнете, чтобы успешно использовать уязвимости сетей и / или серверов и получать с этого выгоду. Используя имеющиеся в продаже ресурсы для тестирования на проникновение и эксплойты, распространяемые и продаваемые в Даркнете, хакеры регулярно проникают в сети, полностью избегая обнаружения администраторами системы. В следующий раз мы рассмотрим некоторые специфичные для России торговые площадки и форумы, на которых эти методы атак планируются и координируются.
