Joprojām aktuāls 20 gadus vecs kiberuzbrukums

^{Materiāls tapis sadarbībā ar Kaspersky Lab}

Mūsdienu pārskati par Moonlight Maze parāda, kā kopš 1996. gada ASV bruņoto spēku un valdības tīkli, kā arī universitātes, pētniecības iestādes un pat Enerģētikas departaments sāka konstatēt ielaušanos savās sistēmās. 1998. gadā FIB un Aizsardzības departaments uzsāka vērienīgu izmeklēšanu. Plašāka sabiedrība par to uzzināja 1999. gadā, taču daudzi pierādījumi bija slepeni, sīkāku informāciju par Moonlight Maze tinot mītu un noslēpumainības plīvurā.

Laika gaitā neatkarīgi izmeklētāji trijās valstīs ir noteikuši, ka Moonlighfolt Maze ir pārtapis par Turla, kas ir krievvalodīgs draudu izpildītājs, kurš pazīstams arī ar nosaukumiem Snake, Uroburos, Venomous Bear un Krypton. Tradicionāli tiek uzskatīts, ka Turla darbojas kopš 2007. gada.

Paraugi no kumodes

2016. gadā Tomass Rids no King’s College London, veicot pētījumu grāmatai Rise of the Machines, atrada bijušo sistēmas administratoru, kura organizācijas serveri bija sagrābuši Moonlight Maze uzbrucēji un izmantoja par savu starpniekserveri. Šis serveris HRTest tika izmantots, lai uzsāktu uzbrukumus ASV. Šis tagad pensionētais speciālists bija saglabājis oriģinālo serveri un kopijas no visa, kas ir saistīts ar uzbrukumiem, un nodeva to King’s College un Kaspersky Lab tālākai analīzei.

Pētnieki Huans Andress Gerrero-Saade un Kostins Raju kopā ar Tomasu Ridu un Deniju Mūru no King’s College pavadīja deviņus mēnešus, veicot šo paraugu sīku tehnisko analīzi. Viņi rekonstruēja uzbrucēju darbības, rīkus un paņēmienus, kā arī veica paralēlu izmeklēšanu, lai noskaidrotu, vai viņi var pierādīt minēto saikni ar Turla.

Moonlight Maze bija Unix balstīts atvērtā koda uzbrukums, kas vērsts pret Solaris sistēmām, un atklājumi liecina, ka tas izmantoja sāndurvis, kuru pamatā ir LOKI2 (1996. gadā izlaista programma, kas ļauj lietotājiem iegūt datus pa slepeniem kanāliem). Tas lika pētniekiem vēlreiz pievērsties dažiem retiem Turla izmantotiem Linux paraugiem, ko Kaspersky Lab ir konstatējis 2014. gadā. Šo par Penquin Turla nosaukto paraugu pamatā arī ir LOKI2. Turklāt atkārtotā analīze parādīja, ka tie visi izmanto kodu, kas ir izveidots no 1999. līdz 2004. gadam.

Interesanti, ka šis kods joprojām tiek lietots uzbrukumos. Tas tika pamanīts plašumos 2011. gadā, kad tas tika konstatēts Turla piedēvētā uzbrukumā aizsardzības darbuzņēmējam Ruag Šveicē. Pēc tam 2017. gada martā pētnieki atklāja jaunu Penquin Turla sāndurvju paraugu, kas tika iesniegts no sistēmas Vācijā. Iespējams, ka Turla izmanto veco kodu uzbrukumiem sevišķi drošiem objektiem, kuros varētu būt grūtāk ielauzties, izmantojot tipiskāku Windows rīku komplektu.

«90. gadu beigās neviens neprognozēja koordinētas kiberspiegošanas kampaņas izplatību un noturību. Mums ir jāuzdod sev jautājums,

kāpēc uzbrucēji joprojām var sekmīgi izmantot senu kodu modernos uzbrukumos.

Moonlight Maze paraugu analīze nav tikai aizraujošs arheoloģisks pētījums, tas ir arī atgādinājums, ka labi apgādāti pretinieki nekur nav pazuduši, no mums ir atkarīga sistēmu aizsardzība ar līdzvērtīgām prasmēm,» sacīja Kaspersky Lab Starptautiskās pētniecības un analīzes grupas vecākais drošības pētnieks Huans Andress Gerrero-Saade.

Nesen uzietās Moonlight Maze datnes atklāj daudz aizraujošas informācijas par to, kā tika veikti uzbrukumi, izmantojot sarežģītu starpniekserveru tīklu, kā arī par uzbrucēju izmantotajām augsta līmeņa prasmēm un rīkiem. Vairāk informācijas: tīmekļa vietnē Securelist.com.