04 март 2019

Русские в Даркнете. Часть 1

     В американских СМИ, никак не утихнет шумиха вокруг вмешательства России, в выборы в США в 2016 году. Учитывая растущую обеспокоенность, по поводу достоверности избирательного процесса в США, а также, по причине того, что не за горами новые выборы, аналитики DarkOwl решили, что анализ российского присутствия в Даркнете, может дать представление о том, как проводятся операции такого масштаба.

 

Русские в числах

 

     Российские анонимные веб-сайты составляют более 36% DARKINT (база сайтов Даркнета), собранных DarkOwl. DarkOwl успешно проиндексировал более 300 миллионов страниц, как в Даркнете, так и в Клирнете, на восточнославянском русском языке. Российские форумы по хакерству и кардингу, доступные в Клирнете, составляют 92% собранного веб-контента DarkOwl.
В Tor значительно больше русских скрытых сервисов, чем сайтов на i2p или Zeronet, что говорит о том, что российские пользователи Даркнета, предпочитают Tor вместо i2p. На русскоязычные веб-сайты приходится только 10% контента i2p. Активность русских в анонимной сети Zeronet ничтожна.

 

Откуда мы знаем, что русские были вовлечены?

 

     Введите «русские хакеры» в любую наземную поисковую систему, и вы, несомненно, получите миллионы результатов, о злонамеренных кибер-операциях из России, начиная с подрыва процесса демократических выборов и заканчивая атаками на энергосистему США. В самых последних обвинительных актах, выдвигались обвинения против семи российских разведчиков, которые взламывали антидопинговые агентства, используя современное оборудование для атаки на беспроводную (wi-fi) сеть организаций.

Цель

Техника

2014-2016 Взлом американских коммунальных служб

Скомпрометированные сетевые учетные данные, с помощью фишинга по электронной почте

2016 Выборы в Демократический национальный комитет

Уязвимость поставщика программного обеспечения

Государственная регистрация избирателей в США

SQL инъекция

Всемирное антидопинговое агентство

Сниффинг беспроводной сети

Институт Хадсона

Фишинг домена

     Когда вы копаетесь в тени форумов и чатов, доступных только через Даркнет, вы понимаете, что только исследователи безопасности и правоохранительные органы, активно обсуждают и публикуют сообщения об уязвимостях критических систем и инфраструктуры США. Для того, чтобы узнать, чем занимаются русские, нужны ключевые слова, связанные с технической спецификой инструментов и методов, необходимых для  проведения таких сложных операций. 

     В сообщениях, о недавних хакерских атаках антидопинговых агентств (WADA) говорится, что россияне использовали беспроводное устройство для сниффинга (сниффер – анализатор трафика), установленное в задней части автомобиля оперативников, для доступа к сетям WADA. Хакеры также использовали различные вредоносные программы, включая Gamefish, X-tunnel и код Chopstick, большинство из которых были замечены ранее и использовались в других российских кибератаках.

 

Российская мобильная атака ГРУ Wi-Fi (любезно предоставлено Министерством обороны Нидерландов)
Российская мобильная атака ГРУ Wi-Fi (любезно предоставлено Министерством обороны Нидерландов)

 

Обсуждение на российском форуме о том, как использовать такое устройство для перехвата паролей Wi-Fi сетейОбсуждение на российском форуме о том, как использовать такое устройство для перехвата паролей Wi-Fi сетей

     Как видно из недавних атак против американских аналитических центров, Института Хадсона и Международного республиканского института, русские хорошо известны тем, что они используют spear-fishing атаки, основанные на тщательной разведке и хорошо организованной операции по сбору разведданных, перед началом подрывной деятельности. Spear-phishing - это тип взлома, основанный на социальной инженерии, похожий на фишинг электронной почты, но направленный на конкретного человека или группу, внутри сети или организации.
     Просочившийся документ АНБ показал, как кибер-офицеры из России, в 2016 году, отправляли сотрудникам избирательных комиссий электронные письма, с вложением MS Word, зараженным трояном на скрипте Visual Basic, который запускает программу открытия связи, обратно на IP-адрес хакеров.

 

Подробные тактические приемы, методы и процедуры, используемые русскими для атаки на официальных лиц США, на выборах в 2016 году (любезно предоставлено The Intercept)Подробные тактические приемы, методы и процедуры, используемые русскими для атаки на официальных лиц США, на выборах в 2016 году (любезно предоставлено The Intercept)

    Огромный объем скомпрометированных учетных данных электронной почты, размещенных для продажи на российских рынках и хакерских форумах, вызывает тревогу. 103 домена .gov, содержат фразу «выборы» в их доменном имени (*@election*.gov) и могут быть сервером, для организации выборов.

 

Объявление о продаже базы данных с 458 миллионами электронных писем и паролей Объявление о продаже базы данных с 458 миллионами электронных писем и паролей

     В ходе взлома системы регистрации избирателей в 2016 году, участники атаки, использовали простые, «белые» инструменты поиска уязвимостей, такие как Acunetix, наборы для обнаружения и эксплуатации сетей, такие как DirBuster, SQLMap и SQLSentinel. Русскоговорящий хакер, Распутин, печально известен тем, что использовал запатентованный эксплойт SQL-инъекции, для успешного взлома и сбора учетных данных с серверов комиссии по оказанию помощи в выборах США (EAC), включая учетные записи с административными привилегиями.

 

Веб-сканер уязвимостей Acunetix в действииВеб-сканер уязвимостей Acunetix в действии

 

Обсуждение того, как использовать SQLMap против целевой сети на русском форумеОбсуждение того, как использовать SQLMap против целевой сети на русском форуме

     За последние несколько лет, миллионы регистрационных данных избирателей США с полными именами, адресами и данными голосования, появились в продаже на хакерских форумах и рынках Даркнета. DarkOwl собрал данные о более чем 30 штатах, стоимостью от 250 до 5000 долларов США за штат, включая: Колорадо, Огайо, Коннектикут, Флорида, Мичиган, Северная Каролина, Нью-Йорк, Пенсильвания, Род-Айленд, Вашингтон, Канзас, Вайоминг, Оклахома, Мэриленд, Арканзас , Невада, Монтана, Луизиана, Делавэр, Айова, Юта, Орегон, Южная Каролина, Висконсин, Джорджия, Нью-Мексико, Миннесота, Кентукки, Айдахо, Теннесси, Южная Дакота, Миссисипи, Западная Вирджиния, Алабама, Аляска и Техас.

 

Сообщение на форуме Даркнета, с содержимым базы данных регистрации избирателей Арканзаса Сообщение на форуме Даркнета, с содержимым базы данных регистрации избирателей Арканзаса

     Многие из опубликованных государственных баз данных устарели, т.е. информация о регистрации избирателей в Алабаме и Аляске, от 2015 года; тем не менее, многие из этих баз данных, предлагались на печально известном рынке Alphabay в 2016 году.

 

Недавнее предложение о продаже списков избирателей в нескольких штатах СШАНедавнее предложение о продаже списков избирателей в нескольких штатах США

     В последние недели, в комментариях от поставщика появилась информация о том, что хакер с записями голосования, настроил постоянный доступ к базам данных штатов, сообщив: «Кроме того, данные обновляются каждый понедельник каждой недели, как только вы запросите данные у меня, вы получите максимально свежую информацию.» Тот факт, что эти данные находятся в Даркнете, неудивителен, так как это общедоступная информация с открытым исходным кодом. Что удивительно, что есть желающие заплатить, за доступ к информации, которую они могли бы легко получить сами. Ссылки на некоторые базы данных штата, появлялись на форумах темной сети, и размещались там бесплатно. Хакер на форуме, идентифицирует себя как белый инженер-программист из Соединенного Королевства и “апатичное человеческое существо” информацию о котором, можно легко получить в Клирнете. Нет никаких признаков того, что он связан с российскими хакерами, спонсируемыми правительством.

     Хакеры, связанные с Россией, независимо от того, являются ли они одиночками или оперативниками крупной кибер-организации, под руководством правительства, имеют более чем достаточные инструменты и ресурсы в сети и Даркнете, чтобы успешно использовать уязвимости сетей и / или серверов и получать с этого выгоду. Используя имеющиеся в продаже ресурсы для тестирования на проникновение и эксплойты, распространяемые и продаваемые в Даркнете, хакеры регулярно проникают в сети, полностью избегая обнаружения администраторами системы. В следующий раз мы рассмотрим некоторые специфичные для России торговые площадки и форумы, на которых эти методы атак планируются и координируются.

Автор 
Опубликовано в Новости
Onion

Главред Darkmore.ru

Добавить комментарий


Защитный код
Обновить