Aftershock

Вход на сайт

Облако тегов

АШ-YouTube

Кибератака США на ФАН: подробности неудачной операции US Cyber Command

Аватар пользователя oracle

Детали атаки киберкомандования США, полученные в ходе специального расследования Федерального агентства новостей, показали, что сотрудники подразделения военного ведомства США действуют непрофессионально и непродуктивно. При этом персонал US Cyber Command широко использует в своей работе глобальные инструменты слежки и доступа Агентства национальной безопасности (АНБ) США и технические возможности американских компаний, в том числе Apple и Amazon.

Как и зачем киберкомандование ВС США атаковало сервер российского СМИ — в специальном материале Федерального агентства новостей.

Во вторник, 26 февраля, The Washington Post сообщила, что киберкомандование вооруженных сил США (US Cyber Command) заявило об отключении от сети Интернет некого «Агентства интернет-исследований» — IRA в классификации Пентагона, или «Фабрики троллей» в классификации западной прессы, создание которой некоторые СМИ приписывают бизнесмену Евгению Пригожину.

Утверждалось, что отключение произошло накануне выборов в США в ноябре 2018 года, при этом никаких доказательств атаки, как и официальных подтверждений от киберкомандования ВС США, предоставлено не было. 

Заметим, что в западной прессе постоянно увязывается IRA (т.н. «Фабрика троллей») и Федеральное агентство новостей (ФАН), чему нет ни официальных подтверждений, ни каких-либо иных оснований.

Федеральное агентство новостей (ФАН) является легальным публичным информационным коммерческим предприятием, действующим в полном соответствии с законами Российской Федерации. ФАН не занимается вмешательством в выборы или иной незаконной деятельностью.

Однако обвинения в отношении ФАН и дочерних проектов агентства становятся поводом и основанием для незаконных атак на нас – как информационных, дискредитирующих издание в публичной сфере, так и кибератак на наши сайты и сервера. 

Федеральное агентство новостей еще осенью 2018 года сообщало, что его сотрудники подвергаются информационным атакам со стороны киберкомандования ВС США, однако тогда все это выглядело непрофессиональным троллингом. Журналистам ФАН рассылались угрожающие СМС-сообщения на ломаном русском языке с африканских мобильных номеров и электронные письма на ломаном русском языке, призывающие журналистов «задуматься о своей деятельности».

С момента создания в 2014 году ФАН регулярно подвергается атакам, в том числе ДДОС атакам со стороны украинских спецслужб, поэтому атака в ноябре 2018 года не вызвала у IT-департамента редакции удивления. Однако сам метод и способ проникновения в офисную локальную сеть отличался от предыдущих атак.

Редакцией ФАН было проведено полноценное внутреннее расследование, в ходе которого были выявлены пути проникновения и способы атаки. И если осенью прошлого года кто-то из наших коллег в СМИ еще мог сомневаться в том, что за этим стояло именно киберкомандование ВС США, после опубликованной 26 февраля информации в американских СМИ можно утверждать однозначно: атака на российское СМИ была произведена американскими военными. 

Цели атаки

По информации из открытых источников, в 2018 году подразделение киберкомандования запрашивало у американского правительства увеличение своего финансирования на 16% для проведения операций против «врагов США». Об этом заявлял адмирал Майкл Роджерс, одновременно возглавляющий и киберкомандование, и Агентство национальной безопасности (АНБ).

Годовой бюджет АНБ является государственной тайной США, однако в 2014-м году, по словам директора Национальной разведки Джеймса Клэппера, составлял примерно 45 миллиардов долларов. Сейчас эта сумма, учитывая инфляцию и другие объективные макроэкономические процессы, значительно больше. 

Однако вместо того, чтобы тратить эти деньги американских налогоплательщиков по целевому назначению, в том числе на борьбу с международным терроризмом, США проводят кибератаки на сервера легальных законопослушных российских СМИ.

Примечательно, что основной целью кибератак США был дочерний проект ФАН USA Really. Зачем американским военным потребовалось проводить атаку на легальное средство массовой информации, которое рассказывает правду о том, что происходит в Соединенных Штатах, остается неясным. 

Редакция ФАН предполагает, что поводом является содержание публикаций нашего проекта, ведущегося на английском языке. ФАН направлял своих сотрудников в США для наблюдения за выборами и выводы о том, насколько честно, демократично и без нарушений проводятся выборы в США, не нравятся правящим там элитам.

ФАН публиковал подробные отчеты о том, какие именно нарушения и манипуляции были выявлены в результате работы проекта USAReally в США в ноябре 2018 года.

Что было атаковано

Редакция ФАН приняла решение о раскрытии данных о проведенной кибератаке со стороны властей США. Начнем с того, к чему американцы получили доступ и что именно они сделали, используя этот доступ.

5 ноября 2018 года около 22 часов по московскому времени был уничтожен RAID контроллер на внутриофисном сервере ФАН и выведено из строя 2 жестких диска из четырех. Были также отформатированы винчестеры на арендованных в Швеции и Эстонии серверах, использовавшихся для хранения данных портала USA Really.

При этом атака киберкомандования США полностью провалилась: работа офиса ФАН не была «парализована», как сообщалось в американских СМИ, а проект USAReally продолжил свою работу в штатном режиме.

Как US Cyber Command получили доступ

За несколько дней до атаки на личную почту одного из сотрудников Федерального агентства новостей пришло письмо вложением. Название вложения указывало на некую важную информацию о выборах в США, назначенных на 6 ноября 2018 года.
Исходя из прилагаемого к вложению текста, следовало, что нам отправлены документы, касающиеся возможных нарушений на американских выборах. Сотрудник редакции открыл письмо и вложения, прикрепленные к нему. 

После распаковки архива в нем не обнаружилось ничего, кроме базовой информации о том, где и какие выборы будут проходить в США. Как выяснилось позднее, один из файлов был «трояном», который без ведома пользователя использовал скрытые возможности операционной системы Windows и получил полный удаленный контроль над компьютером в редакции ФАН. 

Именно с этого компьютера была осуществлена первая попытка получить доступ к серверу. Однако вследствие грамотно настроенных внутрисетевых политик безопасности, попытка взлома не удалась и за пределы конкретного зараженного компьютера злоумышленники не вышли.

После обнаружения атаки IT-департамент ФАН провел аудит Wi-Fi сетей офиса. Были выявлены неидентифицированные подключения, однако и эти подключения не позволили киберкомандованию ВС США получить доступ к локальной сети офиса, поскольку локальная и Wi-Fi сети офиса физически разделены. Спецагенты US Cyber Command довольствовались возможностью выходить в Интернет с IP-адреса офисной Wi-Fi сети ФАН. Для чего это делалось, неясно – возможно, для последующей дискредитации ФАН в ходе публикаций запрещенного контента.

Подвел Apple iPhone

Основным источником атаки явился редко используемый способ, который потребовал значительное время на выявление источника заражения и итогового проникновения в локальную сеть офиса. Источником заражения явился мобильный телефона сотрудника, который был подключен кабелем к USB разъему компьютера, не имевшего выхода в Интернет, но имевшего доступ в локальную сеть с довольно широкими правами доступа.

После подключения мобильного устройства Apple iPhone 7 Plus к персональному компьютеру был произведен не только автоматический запуск iTunes и синхронизация данных пользователя, но и получен доступ в интернет со стороны ОС Windows и загружены некоторые файлы обновления системы, которые установились автоматически.
После этого компьютер стал по факту управляем удаленно и с него были проведены все необходимые процедуры для полноценного вторжения в локальную сеть ФАН. Стоит отметить, что вторжение в локальную сеть было проведено с IP-адресов, подконтрольных американским компаниям, в том числе, с серверов компании Amazon, которые обычно используются хакерами для заметания своих следов и скрытия настоящего источника атаки.

Таким образом, киберкомандование ВС США воспользовалось своими административными возможностями и использовало коммерческую компанию в своих интересах. Данный факт лишний раз подтверждает, что американские компании всегда следят за своими пользователями и передают всю информацию американским спецслужбам. ФАН ранее писало о том, как Google передает полный доступ к личной информации граждан РФ в правоохранительные органы США. Также все данные с устройств Apple передаются на сервера компании на территории США вне зависимости от настроек телефона.

После данного инцидента политикой безопасности компании было запрещено использовать телефоны компании Apple для подключения к персональным компьютерам. 

Никакая не кибероперация

Доступ к серверам в Европе был получен самым примитивным способом – это была по сути даже не кибероперация, а исполнение требование персонала US Cyber Command о предоставлении полного доступа к управлению определенными серверами в дата-центрах. В Швеции и Эстонии находились сервера для обслуживания зеркал сайта USAReally, которые были специально созданы на случай блокировки основного сервера российского СМИ.

ФБР подключается к атаке

После неудачной попытки заблокировать работу сайта USAReally, который писал о нарушениях на американских выборах, в аэропорту США 8 ноября был задержан гражданин России и главный редактор портала Александр Малькевич. Позднее он был освобожден в связи с отсутствием в его работе каких-либо нарушений американских законов. Однако персонал US Cyber Command участвовал и в задержании – более 10 спецагентов, снабженных самым современным оборудованием, пытались получить секретную информацию с телефона и компьютера Малькевича, однако и тут кибервойска США ждал провал – никакой интересной для себя информации они не получили.

Напомним, что позднее предпринимались попытки приостановить работу сайта путем отзыва https-сертификата безопасности, выданного на домен usareally.com.

Тем не менее, несмотря на тотальную информационную цензуру со стороны властей США, (о которой ФАН готовит отдельный материал), американцам не удалось приостановить работу сайта usareally ни на один день. В связи с этим проект и его главный редактор были внесены в санкционный список США в декабре 2018 года, который призван ограничить возможности развития проекта на территории Америки.

Выводы 

Несмотря на то, что западные СМИ подают кибероперацию США как успешную кампанию по отключению «Фабрики троллей» от интернета, по факту это была не увенчавшаяся успехом попытка хакерской атаки на техническую инфраструктуру Федерального агентства новостей. В редакции ФАН полагают, что отсутствие официальной информации и деталей операции от US Cyber Command свидетельствуют о том, что там понимают – операция была провалена и желаемый американцами результат достигнут не был.

Руководитель проекта ФАН о результатах кибератаки США на ФАН 

«Власти США и персонал US Cyber Command показали свою некомпетентность – используя все возможности Агентства национальной безопасности США, о которых рассказывал еще Сноуден, они атакуют законопослушные легальные российские СМИ, ФАН и USAReally. То есть пытаются уничтожить свободу слова. Американцы считают, что «есть их мнение, а есть неправильное». Как мне объяснили сотрудники IT-департамента ФАН, атака США не привлекла внимания на первом этапе, так как их действия US Cyber Command были больше похожи на работу хакеров-самоучек, а не профессионалов. Ущерб ФАНу практически не был нанесен – выведенные из строя части сервера были оперативно заменены, для USAReally созданы новые зеркала и работа продолжилась в штатном режиме. Сотрудники ФАН и USAReally благодаря слаженной работе IT-департамента ни на минуту не прекращали свою работу. Видимо, командованию US Cyber Command стоит готовиться к отставкам за бездарно проведенную атаку», — заявил генеральный директор ФАН Евгений Зубарев.

Редакции ФАН и USAReally продолжат свою работу, несмотря на любые атаки. Так, на портале USAReally в ближайшее время готовится к публикации очередная серия материалов о цензуре в американских СМИ и социальных сетях.

 

Авторство: 
Копия чужих материалов
Фонд поддержки авторов AfterShock

Комментарии

Аватар пользователя Бабай-сан
Бабай-сан(2 года 10 месяцев)(22:15:07 / 27-02-2019)

ТС спасибо.

Очень интересно ,  и интересно какой модели был контроллер который они удалённо сожгли. Было бы любопытно выяснить это встроенная фича или они особенностью контроллера воспользовались.

Аватар пользователя v.p.
v.p.(8 лет 2 недели)(22:46:06 / 27-02-2019)

у всех "умных" рейд контороллеров есть эта "фича", его легко "запороть" инициировав апдейт встроенного БИОС контроллера и заменив его на говно. 

Аватар пользователя Kamonin
Kamonin(3 года 6 месяцев)(02:25:34 / 28-02-2019)

Эти фичи с перепрошивкой уже давно есть и в роутерах, даже в циске, Китай уже давно в этом направлении работает, поэтому Хуавей сейчас в США прижимают.

Нам-то пофиг, у нас зависимость меньше, а вот США достанется, если рыпнутся.

Комментарий администрации:  
*** Сейчас пол Украины без коммуняк живут отлично (с) ***
Аватар пользователя Нехороший
Нехороший(4 года 4 месяца)(23:13:11 / 27-02-2019)

Вот это драма.

Похоже, начинают активно прокачивать тему чебурнета.

Комментарий администрации:  
*** Отключен (розжиг, провокатор, горы инфомусора) ***
Аватар пользователя Kamonin
Kamonin(3 года 6 месяцев)(02:09:16 / 28-02-2019)

Вот тоже не верится, что туповатые пиндосы, за которых индусы все ПО пишут,  смогли бы на чужой сервер залезть.

Скорее всего, в России тоже начали порядок в Интернете наводить, как в Европе и тех же США, где за свои слова приходится отвечать довольно быстро.

Комментарий администрации:  
*** Сейчас пол Украины без коммуняк живут отлично (с) ***
Аватар пользователя ВладиславЛ
ВладиславЛ(1 год 11 месяцев)(23:53:36 / 27-02-2019)

Закладка на уровне чипа/микрокода однако: "был уничтожен RAID контроллер"

МФЦ Санкт-Петербурга постоянно сливали и сливают данные в США и это не случайный выбор а системная работа 5 колонных на уровне руководства РФ против граждан РФ:


Туземному царьку подарили амулет с закладкой:




Андроиды и айфоны сервера на территории США имеют и, кроме того, могут быть внешне вплоть с орбиты быть "зомбированы" Чем проще телефон тем лучше именно поэтому хороших уже не купите, приходится 10лет и более давности разычскивать в хорошем состоянии. Цена полностью восстановленой с гарантией 1-2 года, некитайской, 8800 в СПб от 25тыс руб. - у неё более-менее приемлемое качество звука было, а также восстановленного некитайского "кирпича" 3310 от 5-8 тыс руб. Если не лень можете залезть в простой телефон и поставить отключение микрофона и динамика - по ним обоим можно прослушивать. Как-то 1100 паял, всем устраивал, кроме одного - там качество звука отвратное. У нокии бизнес модели шли с запрограммированным старением на 5-6 лет. Поэтому мало поставить новую батарейку. Кроме того немецких часть Нокия 1100 имели дефект ставшей фичей - он мог без сложных танцев представляться любым телефоном выдавая любой IMEI. Ценник в ЕС был от 20тыс евро у нас в раз 5-10 ниже, т.к. полно других способов. Кроме IMEI смотрят  ID процессоров, а они штатовских фирм и ряда прочего.

Аватар пользователя ВладиславЛ

Я лично поклонник вот такого исполнения техники повсеместного, причём физически без стандартных USB  и прочего только родной разработки порты. Чиновник всегда или айфон подключит заряжаться или флешку пихнёт или намеренно по мерзости души пятиколонной или по её простоте, коя хуже воровства.

И на несвинчиваемых без спецоборудования анкерах к желзобетонной стене. Вместо 5В посдавать на пропиетарный аналог USB скажем 36В без возможности конвертации. Дальние концы только на волокне активном - на нём рефлектометром отлично сечётся малейшее стороннее подключение. Рефлектометры постоянной работы встраивать в маршрутизаторы. Никакой информации чиновникам, максимум офицерам ФАПСИ. постоянный онлайн мониторинг событий по подключениям, в случае несанкционированного доступа, нестандартной конфигурации - исключение ПК из сети.

Можно и выше поднять до полно й гарантии несчитывания без очень серьёзного, лабораторного класса, оборудования,  но это оправдано если с техдоками работаешь кои украсть могут или гостайной выше ДСП. Подделать выдаваемую на входе работы карточку, выглядела бы как палочка, с карандаша половину, физически невозможно там нет магнитных полосок и чипов как класса - есть зато оптроника нетривиальная - сам придумал, комм вариант банкам года 3-4 назад предлагал, те отказались. Моя тонкость в том что используется защита от применения вне заданного промежутка времени и места. Скажем если карточка для банкомата А, то для банкомата Б в 30м она работать уже не будет, можно и по классам задать. Есть задачи когда это необходимо обеспечить. Считать данные для верификации полностью также физически нельзя.

Аватар пользователя Kamonin
Kamonin(3 года 6 месяцев)(02:14:52 / 28-02-2019)

К сожалению, мнению специалистов в ФАПСИ и ФСБ у нас в России доверяют больше, чем анонимным интернет-советчикам, поэтому ваши предпочтения никого не заинтересуют.

Комментарий администрации:  
*** Сейчас пол Украины без коммуняк живут отлично (с) ***
Аватар пользователя Земляк 67
Земляк 67(2 года 6 месяцев)(01:21:49 / 28-02-2019)

МФЦ Санкт-Петербурга постоянно сливали и сливают данные в США

И какие последствия для сливающих наступили? Или те, кому положено, мышей не ловят? 

Аватар пользователя ВладиславЛ

Думаю никакие. 
Не имею данных кто отвечает за это деяние, но любитель №1 айфонов приведён в моём комментарии первом к данной статье и хорошо известен, по слухам на 3-4 день у него игрушку, предположу на прошивку, коя не все функции уберёт, отобрали. Причём был в курсе. Безнаказанность 100%.

Для ДСП достаточно  М-633С, цена для криптофона вполне адекватна рабочему инструменту, но недоступна для многих  простых смертных,  а вот для более высоких степеней полноценная шифровалка и физическая защита данных, микрофона с громкоговорителем. Есть и другие моменты - например снятие данных с кнопок при наборе,  с экрана и проч.

Нужны с уникальными электронными блокнотами с "одноразовыми страницами" для парной связи.

Аватар пользователя Скиталец
Скиталец(4 года 10 месяцев)(02:03:50 / 28-02-2019)

системная работа 5 колонных на уровне руководства РФ против граждан РФ

"Шо?! Опять!?" У Вас нет ни одного поста, где бы Вы не обличали и не срывали покровов с руководства РФ. Но, как показывает жизнь, громче всех кричит "Держи вора!" именно вор... 

Аватар пользователя Kamonin
Kamonin(3 года 6 месяцев)(02:19:13 / 28-02-2019)

А я вот тоже не понимаю, почему граждане РФ доверяют руководству РФ, а не анонимному интернет-специалисту по всем вопросам.

Вот на Украине, например, интернет-специалистам доверяют. А у нас - нет.

Хотя методички вроде одни и те же. Вот почему?

Комментарий администрации:  
*** Сейчас пол Украины без коммуняк живут отлично (с) ***
Аватар пользователя ВладиславЛ

Из Норвегии любить РФ видимо лучше?

Или 4th Military Information Support Operations Group?  

или 15-я бригада психологических операций Великобритании  имеет теперь ретранслятор/отделение в Норвегии?

Аватар пользователя Котоконь
Котоконь(4 года 2 месяца)(21:51:09 / 28-02-2019)

Познавательное видео. Практикующий юрист Антон Долгих приехал в МФЦ. Тен нажали тревожную кнопку, а потом извинились, но было поздно. 6 минут.

 

 

Комментарий администрации:  
*** Уличен в дебилизме - https://aftershock.news/?q=comment/8088313#comment-8088313 ***
Аватар пользователя Борода Берни

Если сами сознались, то не потребовать ли ФАНу через самый демократичный суд в мире возмещения убытков, а так добавить до кучи воспрепятствование легальной работе СМИ и ещё чего-нибудь. В общем, пусть платят, раз добровольное признание в совершении преступления есть )))

Аватар пользователя Status Quo
Status Quo(1 год 10 месяцев)(23:52:55 / 27-02-2019)

Что за RAIDы то были? Нулевые для скорости или 1е, зеркальные?

Аватар пользователя Kamonin
Kamonin(3 года 6 месяцев)(02:50:30 / 28-02-2019)

А если подумать?

С каким RAID можно быстро (минуты) восстановить работоспособность системы и данные?

Комментарий администрации:  
*** Сейчас пол Украины без коммуняк живут отлично (с) ***
Аватар пользователя Status Quo
Status Quo(1 год 10 месяцев)(08:35:44 / 28-02-2019)

Само собой, толковый сисадмин зеркалку поставит, минимум 5ку. Если нагрузка большая, то лучше 10ка.

Но встречаются и бестолковые админы. Правда, держат таких недолго... 

 

Аватар пользователя Kamonin
Kamonin(3 года 6 месяцев)(09:11:03 / 28-02-2019)

А если ошибка или вирус, и в течение рабочего дня ошибочные данные сохранились на всех дублирующих дисках?

Вы уволены! laugh

Комментарий администрации:  
*** Сейчас пол Украины без коммуняк живут отлично (с) ***
Аватар пользователя Status Quo
Status Quo(1 год 10 месяцев)(11:54:00 / 28-02-2019)

Вах-вах, зачем так гаваришь, да?... Я же бэкапы делать буду, да? Хоть раз в час, хоть раз в минуту, да?

Скрытый комментарий Повелитель Ботов (без обсуждения)
Аватар пользователя Повелитель Ботов

Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.

Комментарий администрации:  
*** Это легальный, годный бот ***
Аватар пользователя задумавшийся

Еслиб мы атаковали CNN то был бы казус белли , не? 

Аватар пользователя Huch
Huch(7 лет 12 месяцев)(14:49:28 / 28-02-2019)

а почему операция названа неудачной? доступ во внутреннюю сеть получен, оборудование повреждено, какая-то оперативная информация наверняка потеряна, какая-то чувствительная информация наверняка атакующими получена. 

Аватар пользователя Просто Прохожий

Почему им можно?

Почему нам нельзя?

Лидеры обсуждений

за 4 часаза суткиза неделю

Лидеры просмотров

за неделюза месяцза год