Инструмент АНБ позволяет детектировать другие киберпреступные группы

Инструмент АНБ позволяет детектировать другие киберпреступные группы

Инструмент АНБ позволяет детектировать другие киберпреступные группы

В опубликованных в прошлом году инструментах для взлома, принадлежащих АНБ США, была обнаружена интересная утилита, способная детектировать вредоносные программы, написанные другими кибершпионскими группами. Утилита получила имя «Territorial Dispute» («Территориальный спор»), ее задача заключалась в оповещении операторов АНБ о присутствии на взломанном компьютере программ других киберпреступных групп.

Такой инструмент позволял агентам АНБ вовремя принять решение об отступлении, так как заражение уже ранее взломанной машины могло поставить под угрозу раскрытие инструментов разведслужбы. Например, такое могло произойти, если другие киберпреступники, работающие на государство, уже установили свои инструменты в целевой системе.

Несмотря на то, что группа Shadow Brokers уже давно слила в Сеть инструменты АНБ, назначение утилиты Territorial Dispute оставалось неизвестным до недавнего времени, когда группа экспертов из Венгрии описала этот инструмент в отчете, представленном на конференции по безопасности Kaspersky SAS.

Главная причина, по которой эксперты так долго выясняли природу Territorial Dispute, связана с тем, что она была в той же партии утекших инструментов, в которой Shadow Brokers опубликовали эксплойт EternalBlue, который использовался в атаках WannaCry. Более того, в той партии были такие серьезные инструменты, как EternalRomance, EternalSynergy, FuzzBunch. Именно это стало причиной того, что исследователи не сразу обратили внимание на Territorial Dispute.

Сама Territorial Dispute не представляет серьезной угрозы, однако раскрывает некоторую информацию о методах АНБ. Из-за своего центрального положения на мировой политической арене США всегда ставили акцент на скрытность в попытках не нарушить дипломатические отношения со странами, которые были целью для взлома.

Если рассмотреть алгоритм работы Territorial Dispute, можно отметить схожие с работой антивируса черты. Сразу после заражения определенной машины оператор АНБ может использовать этот инструмент для сканирования хоста, что походит на сканирование антивирусной программой. Territorial Dispute будет искать в зараженной системе имена файлов и разделы реестров, характерные для вредоносных программ, использующихся другими правительственными хакерами.

Если утилита обнаруживает присутствие такой вредоносной программы, она отправляет оператору предупреждения, в которых содержатся рекомендации, например: «please pull back», «seek help immediately», «seek help ASAP», «friendly tool» и «dangerous malware».

Эксперты полагают, что этот инструмент используется АНБ не только для поиска инструментов оппонентов, но также и для поиска программ, принадлежащих дружественным группам.

Внутренний список файлов и ключей реестра, реализованный в Territorial Dispute, также организован в 45 различных категориях, от SIG1 до SIG45. Исследователи считают, что каждая категория - это внутреннее имя, которое NSA использует для других кибершпионских групп.

Таким образом, как выяснили специалисты, Territorial Dispute может детектировать программы таких киберпреступных групп, как Turla, Fancy Bear, Duqu, Stuxnet, Flame, Dark Hotel. Кроме этого, эксперты отметили неизвестные кодовые имена, что может говорить о том, что у АНБ есть информация о киберугрозах, о которых еще неизвестно в широких кругах.

Infrascope 26.1 получил RDP Proxy с записью сессий и поиском по OCR

Компания NGR Softlab выпустила новую версию платформы управления привилегированным доступом Infrascope 26.1. В релизе разработчики расширили возможности работы с веб-приложениями, Kubernetes, RDP-сессиями и механизмами поведенческой аналитики.

Одним из главных изменений стала доработка безопасного доступа к корпоративным веб-приложениям.

Теперь платформа позволяет предоставлять пользователям и подрядчикам доступ без передачи им учетных данных. Infrascope автоматически подставляет необходимые логины и пароли, включая динамические, а также поддерживает URL-фильтрацию, которая ограничивает переход только по разрешенным адресам.

Еще одно заметное нововведение касается Kubernetes. В HTTP-прокси появилась расширенная поддержка команд kubectl, что позволяет централизованно контролировать обращения к кластерам, применять политики доступа и вести журнал всех выполняемых запросов. Эти данные могут использоваться при последующем аудите и расследовании инцидентов.

Разработчики также представили новый RDP Proxy. Он умеет записывать и воспроизводить RDP-сессии через веб-интерфейс, а поиск по архиву работает с использованием технологии OCR, позволяя искать нужные действия по тексту, отображавшемуся на экране во время удаленной сессии.

В версии 26.1 появилась поддержка Kerberos. Благодаря этому пользователи Active Directory могут автоматически входить в Infrascope под своей учетной записью Windows без повторного ввода логина и пароля.

Изменения затронули и систему поведенческой аналитики UEBA. В новой версии обновлены профили анализа поведения пользователей, а также добавлены модели на базе технологии DivergentGPT. По словам разработчика, это позволило повысить точность выявления аномальной активности и сократить количество ложных срабатываний при мониторинге действий привилегированных пользователей.

Обновление ориентировано на компании, использующие гибридную инфраструктуру, веб-приложения и Kubernetes, где требуется централизованный контроль доступа и аудит действий пользователей.

RSS: Новости на портале Anti-Malware.ru