Детали атаки киберкомандования США, полученные в ходе специального расследования Федерального агентства новостей, показали, что сотрудники подразделения военного ведомства США действуют непрофессионально и непродуктивно. При этом персонал US Cyber Command широко использует в своей работе глобальные инструменты слежки и доступа Агентства национальной безопасности (АНБ) США и технические возможности американских компаний, в том числе Apple и Amazon.
Как и зачем киберкомандование ВС США атаковало сервер российского СМИ — в специальном материале Федерального агентства новостей.
Во вторник, 26 февраля, The Washington Post сообщила, что киберкомандование вооруженных сил США (US Cyber Command) заявило об отключении от сети Интернет некого «Агентства интернет-исследований» — IRA в классификации Пентагона, или «Фабрики троллей» в классификации западной прессы, создание которой некоторые СМИ приписывают бизнесмену Евгению Пригожину.
Утверждалось, что отключение произошло накануне выборов в США в ноябре 2018 года, при этом никаких доказательств атаки, как и официальных подтверждений от киберкомандования ВС США, предоставлено не было.
Заметим, что в западной прессе постоянно увязывается IRA (т.н. «Фабрика троллей») и Федеральное агентство новостей (ФАН), чему нет ни официальных подтверждений, ни каких-либо иных оснований.
Федеральное агентство новостей (ФАН) является легальным публичным информационным коммерческим предприятием, действующим в полном соответствии с законами Российской Федерации. ФАН не занимается вмешательством в выборы или иной незаконной деятельностью.
Однако обвинения в отношении ФАН и дочерних проектов агентства становятся поводом и основанием для незаконных атак на нас – как информационных, дискредитирующих издание в публичной сфере, так и кибератак на наши сайты и сервера.
Федеральное агентство новостей еще осенью 2018 года сообщало, что его сотрудники подвергаются информационным атакам со стороны киберкомандования ВС США, однако тогда все это выглядело непрофессиональным троллингом. Журналистам ФАН рассылались угрожающие СМС-сообщения на ломаном русском языке с африканских мобильных номеров и электронные письма на ломаном русском языке, призывающие журналистов «задуматься о своей деятельности».
С момента создания в 2014 году ФАН регулярно подвергается атакам, в том числе ДДОС атакам со стороны украинских спецслужб, поэтому атака в ноябре 2018 года не вызвала у IT-департамента редакции удивления. Однако сам метод и способ проникновения в офисную локальную сеть отличался от предыдущих атак.
Редакцией ФАН было проведено полноценное внутреннее расследование, в ходе которого были выявлены пути проникновения и способы атаки. И если осенью прошлого года кто-то из наших коллег в СМИ еще мог сомневаться в том, что за этим стояло именно киберкомандование ВС США, после опубликованной 26 февраля информации в американских СМИ можно утверждать однозначно: атака на российское СМИ была произведена американскими военными.
Цели атаки
По информации из открытых источников, в 2018 году подразделение киберкомандования запрашивало у американского правительства увеличение своего финансирования на 16% для проведения операций против «врагов США». Об этом заявлял адмирал Майкл Роджерс, одновременно возглавляющий и киберкомандование, и Агентство национальной безопасности (АНБ).
Годовой бюджет АНБ является государственной тайной США, однако в 2014-м году, по словам директора Национальной разведки Джеймса Клэппера, составлял примерно 45 миллиардов долларов. Сейчас эта сумма, учитывая инфляцию и другие объективные макроэкономические процессы, значительно больше.
Однако вместо того, чтобы тратить эти деньги американских налогоплательщиков по целевому назначению, в том числе на борьбу с международным терроризмом, США проводят кибератаки на сервера легальных законопослушных российских СМИ.
Примечательно, что основной целью кибератак США был дочерний проект ФАН USA Really. Зачем американским военным потребовалось проводить атаку на легальное средство массовой информации, которое рассказывает правду о том, что происходит в Соединенных Штатах, остается неясным.
Редакция ФАН предполагает, что поводом является содержание публикаций нашего проекта, ведущегося на английском языке. ФАН направлял своих сотрудников в США для наблюдения за выборами и выводы о том, насколько честно, демократично и без нарушений проводятся выборы в США, не нравятся правящим там элитам.
ФАН публиковал подробные отчеты о том, какие именно нарушения и манипуляции были выявлены в результате работы проекта USAReally в США в ноябре 2018 года.
Что было атаковано
Редакция ФАН приняла решение о раскрытии данных о проведенной кибератаке со стороны властей США. Начнем с того, к чему американцы получили доступ и что именно они сделали, используя этот доступ.
5 ноября 2018 года около 22 часов по московскому времени был уничтожен RAID контроллер на внутриофисном сервере ФАН и выведено из строя 2 жестких диска из четырех. Были также отформатированы винчестеры на арендованных в Швеции и Эстонии серверах, использовавшихся для хранения данных портала USA Really.
При этом атака киберкомандования США полностью провалилась: работа офиса ФАН не была «парализована», как сообщалось в американских СМИ, а проект USAReally продолжил свою работу в штатном режиме.
Как US Cyber Command получили доступ
За несколько дней до атаки на личную почту одного из сотрудников Федерального агентства новостей пришло письмо вложением. Название вложения указывало на некую важную информацию о выборах в США, назначенных на 6 ноября 2018 года.
Исходя из прилагаемого к вложению текста, следовало, что нам отправлены документы, касающиеся возможных нарушений на американских выборах. Сотрудник редакции открыл письмо и вложения, прикрепленные к нему.
После распаковки архива в нем не обнаружилось ничего, кроме базовой информации о том, где и какие выборы будут проходить в США. Как выяснилось позднее, один из файлов был «трояном», который без ведома пользователя использовал скрытые возможности операционной системы Windows и получил полный удаленный контроль над компьютером в редакции ФАН.
Именно с этого компьютера была осуществлена первая попытка получить доступ к серверу. Однако вследствие грамотно настроенных внутрисетевых политик безопасности, попытка взлома не удалась и за пределы конкретного зараженного компьютера злоумышленники не вышли.
После обнаружения атаки IT-департамент ФАН провел аудит Wi-Fi сетей офиса. Были выявлены неидентифицированные подключения, однако и эти подключения не позволили киберкомандованию ВС США получить доступ к локальной сети офиса, поскольку локальная и Wi-Fi сети офиса физически разделены. Спецагенты US Cyber Command довольствовались возможностью выходить в Интернет с IP-адреса офисной Wi-Fi сети ФАН. Для чего это делалось, неясно – возможно, для последующей дискредитации ФАН в ходе публикаций запрещенного контента.
Подвел Apple iPhone
Основным источником атаки явился редко используемый способ, который потребовал значительное время на выявление источника заражения и итогового проникновения в локальную сеть офиса. Источником заражения явился мобильный телефона сотрудника, который был подключен кабелем к USB разъему компьютера, не имевшего выхода в Интернет, но имевшего доступ в локальную сеть с довольно широкими правами доступа.
После подключения мобильного устройства Apple iPhone 7 Plus к персональному компьютеру был произведен не только автоматический запуск iTunes и синхронизация данных пользователя, но и получен доступ в интернет со стороны ОС Windows и загружены некоторые файлы обновления системы, которые установились автоматически.
После этого компьютер стал по факту управляем удаленно и с него были проведены все необходимые процедуры для полноценного вторжения в локальную сеть ФАН. Стоит отметить, что вторжение в локальную сеть было проведено с IP-адресов, подконтрольных американским компаниям, в том числе, с серверов компании Amazon, которые обычно используются хакерами для заметания своих следов и скрытия настоящего источника атаки.
Таким образом, киберкомандование ВС США воспользовалось своими административными возможностями и использовало коммерческую компанию в своих интересах. Данный факт лишний раз подтверждает, что американские компании всегда следят за своими пользователями и передают всю информацию американским спецслужбам. ФАН ранее писало о том, как Google передает полный доступ к личной информации граждан РФ в правоохранительные органы США. Также все данные с устройств Apple передаются на сервера компании на территории США вне зависимости от настроек телефона.
После данного инцидента политикой безопасности компании было запрещено использовать телефоны компании Apple для подключения к персональным компьютерам.
Никакая не кибероперация
Доступ к серверам в Европе был получен самым примитивным способом – это была по сути даже не кибероперация, а исполнение требование персонала US Cyber Command о предоставлении полного доступа к управлению определенными серверами в дата-центрах. В Швеции и Эстонии находились сервера для обслуживания зеркал сайта USAReally, которые были специально созданы на случай блокировки основного сервера российского СМИ.
ФБР подключается к атаке
После неудачной попытки заблокировать работу сайта USAReally, который писал о нарушениях на американских выборах, в аэропорту США 8 ноября был задержан гражданин России и главный редактор портала Александр Малькевич. Позднее он был освобожден в связи с отсутствием в его работе каких-либо нарушений американских законов. Однако персонал US Cyber Command участвовал и в задержании – более 10 спецагентов, снабженных самым современным оборудованием, пытались получить секретную информацию с телефона и компьютера Малькевича, однако и тут кибервойска США ждал провал – никакой интересной для себя информации они не получили.
Напомним, что позднее предпринимались попытки приостановить работу сайта путем отзыва https-сертификата безопасности, выданного на домен usareally.com.
Тем не менее, несмотря на тотальную информационную цензуру со стороны властей США, (о которой ФАН готовит отдельный материал), американцам не удалось приостановить работу сайта usareally ни на один день. В связи с этим проект и его главный редактор были внесены в санкционный список США в декабре 2018 года, который призван ограничить возможности развития проекта на территории Америки.
Выводы
Несмотря на то, что западные СМИ подают кибероперацию США как успешную кампанию по отключению «Фабрики троллей» от интернета, по факту это была не увенчавшаяся успехом попытка хакерской атаки на техническую инфраструктуру Федерального агентства новостей. В редакции ФАН полагают, что отсутствие официальной информации и деталей операции от US Cyber Command свидетельствуют о том, что там понимают – операция была провалена и желаемый американцами результат достигнут не был.
Руководитель проекта ФАН о результатах кибератаки США на ФАН
«Власти США и персонал US Cyber Command показали свою некомпетентность – используя все возможности Агентства национальной безопасности США, о которых рассказывал еще Сноуден, они атакуют законопослушные легальные российские СМИ, ФАН и USAReally. То есть пытаются уничтожить свободу слова. Американцы считают, что «есть их мнение, а есть неправильное». Как мне объяснили сотрудники IT-департамента ФАН, атака США не привлекла внимания на первом этапе, так как их действия US Cyber Command были больше похожи на работу хакеров-самоучек, а не профессионалов. Ущерб ФАНу практически не был нанесен – выведенные из строя части сервера были оперативно заменены, для USAReally созданы новые зеркала и работа продолжилась в штатном режиме. Сотрудники ФАН и USAReally благодаря слаженной работе IT-департамента ни на минуту не прекращали свою работу. Видимо, командованию US Cyber Command стоит готовиться к отставкам за бездарно проведенную атаку», — заявил генеральный директор ФАН Евгений Зубарев.
Редакции ФАН и USAReally продолжат свою работу, несмотря на любые атаки. Так, на портале USAReally в ближайшее время готовится к публикации очередная серия материалов о цензуре в американских СМИ и социальных сетях.
Комментарии
ТС спасибо.
Очень интересно , и интересно какой модели был контроллер который они удалённо сожгли. Было бы любопытно выяснить это встроенная фича или они особенностью контроллера воспользовались.
у всех "умных" рейд контороллеров есть эта "фича", его легко "запороть" инициировав апдейт встроенного БИОС контроллера и заменив его на говно.
Эти фичи с перепрошивкой уже давно есть и в роутерах, даже в циске, Китай уже давно в этом направлении работает, поэтому Хуавей сейчас в США прижимают.
Нам-то пофиг, у нас зависимость меньше, а вот США достанется, если рыпнутся.
Вот это драма.
Похоже, начинают активно прокачивать тему чебурнета.
Вот тоже не верится, что туповатые пиндосы, за которых индусы все ПО пишут, смогли бы на чужой сервер залезть.
Скорее всего, в России тоже начали порядок в Интернете наводить, как в Европе и тех же США, где за свои слова приходится отвечать довольно быстро.
Закладка на уровне чипа/микрокода однако: "был уничтожен RAID контроллер"
МФЦ Санкт-Петербурга постоянно сливали и сливают данные в США и это не случайный выбор а системная работа 5 колонных на уровне руководства РФ против граждан РФ:
Туземному царьку подарили амулет с закладкой:
Андроиды и айфоны сервера на территории США имеют и, кроме того, могут быть внешне вплоть с орбиты быть "зомбированы" Чем проще телефон тем лучше именно поэтому хороших уже не купите, приходится 10лет и более давности разычскивать в хорошем состоянии. Цена полностью восстановленой с гарантией 1-2 года, некитайской, 8800 в СПб от 25тыс руб. - у неё более-менее приемлемое качество звука было, а также восстановленного некитайского "кирпича" 3310 от 5-8 тыс руб. Если не лень можете залезть в простой телефон и поставить отключение микрофона и динамика - по ним обоим можно прослушивать. Как-то 1100 паял, всем устраивал, кроме одного - там качество звука отвратное. У нокии бизнес модели шли с запрограммированным старением на 5-6 лет. Поэтому мало поставить новую батарейку. Кроме того немецких часть Нокия 1100 имели дефект ставшей фичей - он мог без сложных танцев представляться любым телефоном выдавая любой IMEI. Ценник в ЕС был от 20тыс евро у нас в раз 5-10 ниже, т.к. полно других способов. Кроме IMEI смотрят ID процессоров, а они штатовских фирм и ряда прочего.
Я лично поклонник вот такого исполнения техники повсеместного, причём физически без стандартных USB и прочего только родной разработки порты. Чиновник всегда или айфон подключит заряжаться или флешку пихнёт или намеренно по мерзости души пятиколонной или по её простоте, коя хуже воровства.
И на несвинчиваемых без спецоборудования анкерах к желзобетонной стене. Вместо 5В посдавать на пропиетарный аналог USB скажем 36В без возможности конвертации. Дальние концы только на волокне активном - на нём рефлектометром отлично сечётся малейшее стороннее подключение. Рефлектометры постоянной работы встраивать в маршрутизаторы. Никакой информации чиновникам, максимум офицерам ФАПСИ. постоянный онлайн мониторинг событий по подключениям, в случае несанкционированного доступа, нестандартной конфигурации - исключение ПК из сети.
Можно и выше поднять до полно й гарантии несчитывания без очень серьёзного, лабораторного класса, оборудования, но это оправдано если с техдоками работаешь кои украсть могут или гостайной выше ДСП. Подделать выдаваемую на входе работы карточку, выглядела бы как палочка, с карандаша половину, физически невозможно там нет магнитных полосок и чипов как класса - есть зато оптроника нетривиальная - сам придумал, комм вариант банкам года 3-4 назад предлагал, те отказались. Моя тонкость в том что используется защита от применения вне заданного промежутка времени и места. Скажем если карточка для банкомата А, то для банкомата Б в 30м она работать уже не будет, можно и по классам задать. Есть задачи когда это необходимо обеспечить. Считать данные для верификации полностью также физически нельзя.
К сожалению, мнению специалистов в ФАПСИ и ФСБ у нас в России доверяют больше, чем анонимным интернет-советчикам, поэтому ваши предпочтения никого не заинтересуют.
И какие последствия для сливающих наступили? Или те, кому положено, мышей не ловят?
Думаю никакие.
Не имею данных кто отвечает за это деяние, но любитель №1 айфонов приведён в моём комментарии первом к данной статье и хорошо известен, по слухам на 3-4 день у него игрушку, предположу на прошивку, коя не все функции уберёт, отобрали. Причём был в курсе. Безнаказанность 100%.
Для ДСП достаточно М-633С, цена для криптофона вполне адекватна рабочему инструменту, но недоступна для многих простых смертных, а вот для более высоких степеней полноценная шифровалка и физическая защита данных, микрофона с громкоговорителем. Есть и другие моменты - например снятие данных с кнопок при наборе, с экрана и проч.
Нужны с уникальными электронными блокнотами с "одноразовыми страницами" для парной связи.
"Шо?! Опять!?" У Вас нет ни одного поста, где бы Вы не обличали и не срывали покровов с руководства РФ. Но, как показывает жизнь, громче всех кричит "Держи вора!" именно вор...
А я вот тоже не понимаю, почему граждане РФ доверяют руководству РФ, а не анонимному интернет-специалисту по всем вопросам.
Вот на Украине, например, интернет-специалистам доверяют. А у нас - нет.
Хотя методички вроде одни и те же. Вот почему?
Из Норвегии любить РФ видимо лучше?
Или 4th Military Information Support Operations Group?
или 15-я бригада психологических операций Великобритании имеет теперь ретранслятор/отделение в Норвегии?
Познавательное видео. Практикующий юрист Антон Долгих приехал в МФЦ. Тен нажали тревожную кнопку, а потом извинились, но было поздно. 6 минут.
Если сами сознались, то не потребовать ли ФАНу через самый демократичный суд в мире возмещения убытков, а так добавить до кучи воспрепятствование легальной работе СМИ и ещё чего-нибудь. В общем, пусть платят, раз добровольное признание в совершении преступления есть )))
Что за RAIDы то были? Нулевые для скорости или 1е, зеркальные?
А если подумать?
С каким RAID можно быстро (минуты) восстановить работоспособность системы и данные?
Само собой, толковый сисадмин зеркалку поставит, минимум 5ку. Если нагрузка большая, то лучше 10ка.
Но встречаются и бестолковые админы. Правда, держат таких недолго...
А если ошибка или вирус, и в течение рабочего дня ошибочные данные сохранились на всех дублирующих дисках?
Вы уволены!
Вах-вах, зачем так гаваришь, да?... Я же бэкапы делать буду, да? Хоть раз в час, хоть раз в минуту, да?
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Еслиб мы атаковали CNN то был бы казус белли , не?
а почему операция названа неудачной? доступ во внутреннюю сеть получен, оборудование повреждено, какая-то оперативная информация наверняка потеряна, какая-то чувствительная информация наверняка атакующими получена.
Почему им можно?
Почему нам нельзя?