АНБ знало о бекдоре в софте Juniper Networks

В середине декабря 2015 года в исходном коде операционной системы ScreenOS компании Juniper Network был выявленпосторонний код. Тогда разработчики обнаружили в своей ОС два опасных бекдора, но кто поместил их в код, было совершенно неясно.

Теперь издание The Intercept опубликовало новый секретный документ из файлов Сноудена, который гласит, что о бекдорах точно знали сотрудники АНБ.

Ранее уже сообщалось, что власти США отрицают всякую причастность американских спецслужб к появлению в ScreenOS постороннего кода. Однако даже если сотрудники АНБ не помещали бекдоры в код операционной системы лично, это не снимает с них вины. По данным The Intercept, АНБ знало о существовании «закладок» в коде с 2011 года, но предпочитало об этом молчать.

Опубликованный изданием 6-страничный документ датирован февралем 2011 года. Согласно этой бумаге, Управление правительственной связи Великобритании (Government Communications Headquarter, GCHQ), совместно с АНБ выявили ряд уязвимостей в 13 различных файерволах компании Juniper Networks (NS5gt, N25, NS50, NS500, NS204, NS208, NS5200, NS5000, SSG5, SSG20, SSG140, ISG 1000 и ISG 2000). Уже тогда спецслужбы научились эксплуатировать уязвимости в продуктах серии NetScreen, которые работают под управлением ScreenOS.

Издание отмечает, что нет никаких прямых улик, свидетельствующих о том, что именно АНБ поместило бекдоры в код ScreenOS. Тем не менее, документ подтверждает, что Агентство еще в 2011 году знало об их существовании и разобралось, как ими пользоваться.

Если АНБ действительно непричастно к случившемуся, и бекдор в ПО компании Juniper Network дело рук китайских или российских правительственных хакеров, спецслужбы США все равно выглядят скверно в данной ситуации. Умалчивая о столь важных уязвимостях на протяжении почти четырех лет, АНБ поставило под угрозу огромное количество компаний, использующих решения Juniper Network, а также их пользователей, пишет xakep.ru.

С другой стороны, можно сказать, что АНБ просто исполняло свою работу, ведь радиотехническая разведка входит в список обязанностей Агентства. Вокруг опубликованного документа возникло немало споров, так как многие не видят в поведении спецслужб ничего предосудительного. Да, АНБ компрометирует софт или использует найденные уязвимости, а сотрудники ЦРУ лгут людям. Небо голубое, трава зеленая.

Напомню, что в ScreenOS обнаружили две проблемы. Первый бекдор позволяет использовать Telnet или SSH для получения привилегированного доступа к системе (CVE-2015-7755). Компании Rapid 7 и Fox-IT нашли универсальный пароль, подходящий к этому бекдору, который может быть использован в сочетании с любым логином.

Второй бекдор позволяет потенциальному атакующему слушать и расшифровывать VPN-трафик пользователей (CVE-2015-7756). Об этой проблеме известно куда меньше, чем о первой, но эксперты считают, что она связана с генератором псевдослучайных чисел. Один из инженеров Google – Адам Ленгли (Adam Langley) предполагает, что проблема, скорее всего, касается криптографически стойкого генератора псевдослучайных чисел (Dual Elliptic Curve Deterministic Random Bit Generator, Dual EC DRBG). С мнением Ленгли согласны и другие эксперты: о проблеме уже высказались Профессор университета Джона Хопкинса Мэтью Грин (Matthew Green) и известный специалист по безопасности Ральф-Филипп Вейнман (Ralf-Philipp Weinmann). Они тоже полагают, что дело в генераторе псевдослучайных чисел.

Единодушие специалистов легко объяснить. Дело в том, что похожая ситуация с бекдорами уже возникала в 2013 году. Тогда АНБ сумело создать бекдор для Dual EC DRBG и заплатило компании RSA 10 млн долларов, за внедрение шпионского кода в ее инструментарии.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Лжесотрудники банков раздают вредоносные апдейты в аэропортах

Мошенники, использующие зловредов для кражи учеток ДБО, начали от имени подсанкционных банков предлагать их для скачивания в крупных аэропортах и вокзалах ж/д. Вредоноса при этом выдают за обновление мобильного приложения.

В качестве предлога пассажиру предлагают поучаствовать в акции и стать обладателем бесплатной кредитки с выгодным лимитом. Если тот согласен, выясняется, что в его версии мобильного банка этой акции нет, и приложение нужно обновить.

В магазинах Google и Apple софт недоступен: его удалили из-за западных санкций, однако лжесотрудник банка может решить проблему, прислав сообщение со ссылкой для загрузки. Как вариант, потенциальной жертве предлагается подключиться к ноутбуку обманщика «через проводочек» и скачать с него прогу.

Вредоносный апдейт, по свидетельству SafeTech, неотличим от легитимного банковского клиента. После входа логин и пароль попадают в руки мошенников; чтобы ими воспользоваться на другом устройстве, потребуется одноразовый код, высылаемый банком (СМС) для подтверждения смены привязки. Добыть его помогает все тот же зловред, установленный на телефоне жертвы.

Получив нужные ключи, злоумышленники не мешкают. Пока жертва на борту самолета (или в поезде дальнего следования) и не может получить алерт банка из-за плохой связи, с ее счета выводятся деньги.

Подобный сценарий вполне может выстрелить. Из-за санкций приложения многих российских банков удалены из App Store и Google Play, и кредитно-финансовым организациям приходится искать альтернативы для обновления клиентского софта. Апдейты могут публиковать под другими названиями и от имени других разработчиков. Их также предлагают в отделениях банков, где помощь окажут сотрудники.

Выбор аэропортов и вокзалов тоже в данном случае оправдан: банки давно уже используют залы ожидания для оформления карт и проведения других маркетинговых кампаний. Такие места всегда под охраной, и обман кажется маловероятным.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru