Работы за рубежом по созданию систем дистанционного внедрения вредоносного программного обеспечения (2020)
Подполковник Е. Гришковец
За рубежом на современном этапе одно из приоритетных направлений повышения возможностей сил киберопераций - создание специальных аппаратно-программных средств и информационных технологий разведывательного и наступательного действия. В связи с этим активно разрабатывается так называемое информационное оружие, представляющее собой совокупность средств поражающего воздействия на информационный ресурс противника. Такому влиянию могут быть подвержены прежде всего компьютерные и телекоммуникационные системы противника, а именно: программное обеспечение (ПО), структуры данных, средства вычислительной техники и обработки информации, а также каналы связи.
Особое значение придается формированию специальных наступательных средств и технологий скрытного воздействия на информационно-коммуникационную инфраструктуру систем управления для нарушения устойчивого функционирования их ключевых компонентов, перехвата контроля и управления над ними.
В свою очередь, разведывательные киберсредства предназначены для сбора данных о противнике, а также структуре, порядке функционирования и уязвимостях его информационно-управляющих систем и сетей. В этих целях в автоматизированные рабочие места на базе ЭВМ осуществляется внедрение вредоносного ПО. которое позволяет объединять их в распределенную разведывательную дистанционно управляемую сеть. В нее может входить до нескольких тысяч вычислительных машин, установленных в помещениях государственных и военных объектов в различных странах мира.
Вредоносным ПО является внешний или внутренний программный код. обладающий определенными деструктивными функциями по отношению к этой системе.
К таким функциям относятся:
- уничтожение или внесение изменений в функционирование ПО информационно-вычислительной системы, удаление или искажение обрабатываемых в ней данных после выполнения некоторого условия ("логические бомбы");
- превышение полномочий пользователя с целью несанкционированного копирования конфиденциальной информации или создания условий для этого ("троянские" программы);
- подмена отдельных функций подсистемы защиты или создание условий для ее обхода в целях реализации угроз безопасности информации:
- перехват пользовательских паролей с помощью имитации приглашения к его вводу или съем (перехват) самого ввода с клавиатуры;
- перехват потока информации, передаваемой между объектами распределенной системы (мониторы, снифферы);
- сокрытие признаков своего присутствия в программной среде;
- реализация самодублирования, ассоциирования себя с другими программами и/или переноса своих фрагментов в иные (не занимаемые изначально указанной программой) области оперативной или внешней памяти;
- разрушение (искажение произвольным образом) программного кода в оперативной памяти;
- искажение произвольным образом, блокировка и/или подмена выводимых во внешнюю память либо в канат связи массивов информации, образовавшихся в результате работы прикладных программ или уже находящихся во внешней памяти, либо изменение их параметров и др.
В целом выделяются три основные группы деструктивных функций, которые могут выполняться вредоносным ПО:
- сохранение (сбор) фрагментов информации, возникающей при работе пользователя, прикладных программ, вводе/ выводе данных, во внешней памяти (локальной либо удаленной) в сети на выделенном компьютере, в том числе различных паролей, ключей и кодов доступа, собственно конфиденциальных документов в электронном виде, либо безадресная компрометация фрагментов чувствительной информации;
- изменение алгоритмов функционирования прикладных программ (то есть целенаправленное воздействие на внешнюю или оперативную память), приводящее к изменению собственно исходных их алгоритмов работы;
- навязывание некоторого режима работы (например, при уничтожении информации блокирование записи на запоминающее устройство, при этом она не уничтожается) либо замена записываемой информации данными, навязанными вредоносным ПО.
В цепом вредоносное программное обеспечение подразумевает наличие внутреннего механизма распространения по локальным и глобальным компьютерным сетям (в том числе Интернет) с некоторыми заданными заранее целями. Такими целями могут быть:
- проникновение на удаленные компьютеры с частичным или полным перехватом управления ими;
- запуск своей копии на компьютере;
- возможное дальнейшее распространение по всем доступным сетям.
В основном такое ПО распространяется в виде файлов, прикрепляемых в качестве вложений к электронным письмам и сообщениям, а также через специально размещаемые гиперссылки. Такой вид атак отличается масштабностью и высокой скоростью заражения компьютеров пользователей. Отмечается значительное увеличение (ежегодно более чем в 2 раза) количества интернет-сайтов, осуществляющих распространение вредоносного ПО. Данные ресурсы для привлечения внимания пользователей используют актуальное информационное наполнение: новостные сообщения и аналитические статьи, обзоры информационных технологий, а также сведения рекламного и развлекательного характера. При этом более 20% сайтов преднамеренно проектируются для распространения вредоносных программ.
Другими способами применения таких средств являются: распределенные атаки типа "отказ в обслуживании" (DDoS-атаки, проводятся путем генерирования интенсивного трафика ложных и подставных сообщений, не дающих возможности регулярным циркулировать в компьютерной сети или обрабатываться серверами); распространение деструктивных программных продуктов через несанкционированно подключаемые устройства памяти с USB-разъемом (самые оптимальные по критерию "стоимость/эффективность"); внедрение и активация программных закладок.
Вместе с тем в ряде зарубежных стран в составе вооруженных сил официально создаются отдельные структуры для проведения кибернетических операций, а также научно-техническая база для разработки специальных информационных технологий активного наступательного действия (включая саморазмножающееся и самомодифицирующееся вредоносное ПО и программные закладки) и отработки вопросов их практического применения.
Кроме того. существует и так называемое бесфайловое (пакетное) вредоносное программное обеспечение, распространяемое в виде сетевых пакетов и проникающее на ЭВМ через уязвимости в операционной системе (ОС) или предустановленных программных приложениях.
Для внедрения вирусного ПО на удаленный компьютер также используются методы социальной инженерии гаи нарушения и недочеты при организации администрирования (обслуживания) локальной сети (например, незащищенный локальный диск).
Наиболее распространенным путем внедрения вредоносных программ в компьютерные системы и аппаратные средства является Интернет. При этом ПО для наступательных киберопераций нацелено как на отдельные компьютеры, так и на сети противника. Оно решает задачу проникновения, используя известные и обнаруживаемые уязвимости, содержащиеся не только в программах и технических средствах, разработанных потенциальным противником, но и в используемом во всем мире аппаратном и программном обеспечении известных компаний, большинство из которых находится в США.
Другими способами и средствами доставки вредоносных программ являются: агентурные, удаленные аппаратно-технические, в том числе через различные периферийные устройства атакуемой компьютерной системы, комбинированные и др. При этом особое внимание разработчиков такого оружия направлено на обеспечение его возможности скрытно присутствовать в программном обеспечении противника и сохраняться в нем даже в случае модернизации оборудования, либо обновления ПО.
К основным методам скрытого внедрения (доставки на атакуемый объект) вредоносных программ относятся:
- Маскировка под "нейтральное" программное обеспечение. Данный метод предусматривает внедрение в систему зловредного кода под видом установки новой программы. Она может быть внедрена в текстовый или графический редакторы, системную утилиту, хранитель экрана и др. После внедрения ее присутствие в системе не маскируется.
- Маскировка под модуль расширения программной среды. Такой метод является частным случаем предыдущего и использует допуск на расширение многих программных сред дополнительными программными модулями. Например, для ОС семейства Microsoft Windows модулями расширения могут выступать динамически подгружаемые библиотеки (DLL) и драйверы устройств. В таких модулях расширения может содержаться вредоносное ПО с потенциальной возможностью внедрения в систему.
- Подмена вредоносным ПО одного или нескольких программных модулей атакуемой среды. Этот метод предусматривает выбор в атакуемой программной среде одного или нескольких модулей, подмена которых фрагментами "компьютерного вируса" позволяет оказывать на среду требуемое негативное воздействие. Такое ПО внешне должно полностью реализовывать все функции подменяемых программных модулей.
- Прямое ассоциирование. Метод основан на ассоциировании вредоносной программы с исполняемыми файлами одной или нескольких легальных программ системы. Он наиболее прост в реализации для однозадачных однопользовательских систем.
- Косвенное ассоциирование. Метод заключается в ассоциировании вредоносного ПО с кодом программного модуля, загруженным в оперативную память. В данном случае исполняемый файл остается неизменным, что затрудняет обнаружение зловредного кода. При этом необходимо, чтобы инсталлирующая часть "вируса" уже присутствовала в системе, то есть внедряемое вредоносное ПО является составным.
Наиболее потенциально возможными зарубежными средствами доставки вредоносных программ (не через глобальные сети) до объекта атаки для получения скрытого доступа к компьютерным сетям противника являются:
IRATEMONK - позволяет обеспечить присутствие вредоносного ПО для осуществления слежки на настольных и портативных компьютерах с помощью закладки в прошивку жесткого диска, которая дает получить возможность исполнения своего кода путем замещения главной загрузочной записи (MBR). Метод работает на различных дисках - Western Digital, Seagate, Maxtor и Samsung. При этом поддерживаются файловые системы FAT NTFS, ЕХТ3 и UFS, а системы с RAID не поддерживаются. После своего внедрения IRATEMONK запускает свою функциональную часть при каждом включении целевого компьютера.
SWAP - обеспечивает присутствие вредоносного ПО для ведения шпионажа за счет использования BIOS материнской платы и НРА-области жесткого диска путем исполнения кода до запуска ОС. Данная программа позволяет получить удаленный доступ к разным операционным системам (Windows, FreeBSD, Linux, Solaris) с различными файловыми системами (FAT32, NTFS, ЕХТ2, ЕХТЗ, UFS 1.0). Для установки используются две
утилиты: ARKSTREAM (перепрошивает BIOS) и TWISTEDKILT (записывает в НРА-область диска протокол SWAP (используется главным образом в беспроводных телефонных аппаратах) и функциональную часть "вируса").
COTTONMOUTH - аппаратная закладка на USB. предоставляющая беспроводной мост к целевой сети, а также загрузки "эксплойтов" на ресурсы целевой системы. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками. При помощи встроенного радиопередатчика может взаимодействовать с другими COTTONMOUTH. В основе лежит элементная база TRINITY в качестве радиопередатчика используется HOWLERMONKEY Имеется версия под названием MOCCASIN, представляющая собой закладку в коммутационной матрице USB-клавиатуры.
FIREWALK - аппаратная сетевая закладка, способная пассивно собирать трафик сети Gigabit Ethernet, а также осуществлять активные внедрения вредоносного кода в Ethernet-пакеты целевой сети. Позволяет создавать VPN-тоннель между целевой сетью и центром. Возможно установление беспроводной коммуникации с другими HOWLERMONKEY-совместимыми устройствами. Исполнение данной закладки аналогично COTTONMOUTH. В ее основе лежит элементная база TRINITY, а в качестве радиопередатчика используется HOWLERMONKEY.
NIGHTS TAND - мобильный комплекс для проведения активных атак на Wi-Fi-сети, целью которых являются машины под управлением ОС Windows и когда непосредственный доступ к ним невозможен. Комплекс реализован на базе портативной ЭВМ типа "ноутбук" под управлением Linux и радиооборудования. Вместе с внешними усилителями и антеннами дальность действия может достигать 13 км.
DEITYBOUNCE - предоставляет программный доступ к серверам Dell PowerEdge при помощи BIOS материнской платы и использования SMM-pe-жима для получения возможности запуска перед загрузкой системы. Установка может быть произведена при помощи ARKSTREAM либо USB-накопителя. После установки будет выполняться каждый раз при включении системы.
FEEDTROUGH - представляет собой технику установки двух типов вредоносного программного обеспечения: BANANAGLEE и ZESTYLEAK, используемых для преодоления межсетевого экрана. Метод отрабатывается при старте межсетевого экрана. Установка вредоносного ПО осуществляется в случае наличия ОС в базе данных. В противном случае устройство загружается в обычном режиме. FEEDTROUGH сохраняется при обновлении операционной системы межсетевого экрана.
СТХ4000 - это портативный излучатель непрерывного действия. Обеспечивает выделение целевых систем для получения данных от установленных там зактадок.
NIGTHWATCH - система на базе портативного компьютера, предназначенная для обработки сигналов от монитора цели. Сигнал может поступать как от систем сбора информации (при выделении закладки в видеокабеле), так и от приемника общего назначения.
HOWLERMONKEY - представляет собой радиопередатчик малого и среднего радиуса. Является специальным радиомодулем для других аппаратных закладок. Используется для получения данных от закладок и предоставления удаленного доступа к ним.
Кроме того, существуют и другие способы внедрения вредоносных программ - через трансиверы, встраиваемые в USB-кабелн или USB-устройства, через Wi-Fi. Bluetooth. GSM-устройства и соединения, подключаемые к атакуемому компьютеру.
 |
|
Принцип проведения киберопераций с использованием БПЛА WASP |
Одним из перспективных средств дистанционного внедрения вредоносного ПО является беспилотный летательный аппарат (БПЛА). Так специалистами ВВС США на базе воздушной мишени FMQ-117В разработан БПЛА WASP (Wireless Aenal Surveillance Platform). Его основным назначением является проведение разведывательных киберопераций. Благодаря своему бортовому оборудованию такой аппарат может взламывать обнаруженные беспроводные Wi-Fi-сети, перехватывать разговоры, ведущиеся по сетям сотовой связи, и проводить DDoS-атаки на выбранные компьютеры и системы управления.
В состав оборудования WASP входит камера с HD-разрешением, 11 антенн для различных стандартов радиосвязи, GPS-приемник и бортовой компьютер на базе ОС Linux. В его памяти хранится комплект вредоносных программ для взлома беспроводных сетей и словарь, содержащий 340 млн слов для проведения взлома методом "брутфорса". Полученные данные и перехваченные разговоры записываются в памяти бортовой ЭВМ (накопитель на жестком магнитном диске емкостью 500 Гбайт), а также могут передаваться по интернет-каналам на специальный сервер с использованием сетей мобильной связи 3G и 4G или взломанных точек доступа Wi-Fi.
Благодаря установленному на БПЛА GPS-оборудованию. он может действовать автономно, перемещаясь по заранее заданному маршруту, а для взлета/посадки требуется участие оператора. Расходы на изготовление такой системы без учета стоимости базового аппарата составляют около 6 тыс. долларов.
Аналогичные работы осуществляются киберкомандованием американских сухопутных войск для нарушения функционирования средств автоматизации пунктов управления оперативно-тактического и тактического звена. В частности, созданная аппаратура для удаленного ввода вредоносного ПО в сети беспроводной связи стандартов Wi-Fi и LTE проходит испытания на тактическом разведывательном беспилотном летательном аппарате "Скэн Игл".
В целом за рубежам создаются и отрабатываются разнообразные способы и средства дистанционного внедрения вредоносных программ. При этом используются различные физические принципы обработки и передачи информации, а также среды их распространения. Противодействие такому виду кибер-оружия является сложной и комплексной задачей, требующей значительных научно-технических ресурсов и финансовых затрат.