Пентагон начал рассекречивать чужие зловреды
Кибернетическое командование США (U.S. Cyber Command) объявило о необычной инициативе. Оно обещает регулярно заливать в базу VirusTotal образцы «рассекреченных зловредов».
Несложно догадаться, что речь идёт о кибероружии, которые используют иностранные спецслужбы в текущих операциях (подразделения по киберразведке действуют во всех странах с развитыми разведывательными службами, в том числе в России). Другими словами, американская разведка собирается выставить инструменты противника на всеобщее обозрение. После появления в общедоступных базах VirusTotal эти инструменты попадут во все антивирусные базы и по сути станут неэффективными.
«Это похоже на пример новой стратегии США, направленной на активное преследование иностранных государственных акторов. Публикуя вредоносное ПО, США вынуждают их постоянно находить и использовать новые уязвимости», — комментирует ситуацию известный специалист по безопасности и криптограф Брюс Шнайер.
Кибернетическое командование США собирается действовать максимально публично, широко информируя публику о зловредах противников. Открыт новый твиттер-аккаунт USCYBERCOM Malware Alert специально для сообщений о новых образцах зловредов, которые отправлены в базу VirusTotal.
К настоящему моменту туда отправлены два образца.
Разумеется, спецслужбы рассекречивают инструменты противника только после того, когда уже больше не заинтересованы в сохранении их секретности, то есть после проведения соответствующих контрразведывательных мероприятий и сбора информации об иностранных акторах, их целях, методах работы и т.д. После этого иностранный инструментарий рассекречивается и сливается в базу VirusTotal.
Первые образы таких программ опубликовало подраздение Cyber National Mission Force (CNMF), которое находится в подчинении Кибернетического командования США. Интересно, что открытие твиттер-аккаунта и публикация образцов не сопровождалась обычным для государственных учреждений анонсом новой инициативы, отмечает издание ThreatPost, которое специализируется на информационной безопасности. Это было сделано без предупреждения.
«Признавая ценность сотрудничества с государственным сектором, CNMF инициировала усилия по обмену рассекреченными образцами вредоносных программ, которые, по нашему мнению, окажут наибольшее влияние на улучшение глобальной кибербезопасности», — сказано в кратком заявлении CNMF.
Два первых рассекреченных образца — файлы rpcnetp.dll и rpcnetp.exe. Эти дропперы используются в том числе для бэкдора Computrace хакерской группы APT28/Fancy Bear, которую связывают с выполнением заказов для Российской Федерации.
«Конкретная пара образцов, Computrace/LoJack/Lojax, на самом деле представляет собой троянизированную версию легального программного обеспечения LoJack от компании, которая раньше называлась Computrace (в настоящее время называется Absolute). Троянская версия законного программного обеспечения LoJack называется LoJax или DoubleAgent», — объяснил представитель американских спецслужб.
Выпуск таких образцов — смелый шаг для Министерства обороны, которое долгое время держало в секрете свою кибердеятельность и полученные знания, комментирует независимый эксперт, директор по кибербезопасности в Carbon Black: «Это огромный шаг вперёд для сообщества кибербезопасности. Он даёт возможность сообществу кибербезопасности мобилизоваться и реагировать на угрозы в режиме реального времени, тем самым помогая правительству в защите и обеспечении безопасности американского киберпространства».
Джон Хултквист, директор анализа разведки в FireEye, отметил, что раскрытие вредоносных программ осуществляется «в вакууме», без упоминания конкретных разведывательных операций противника и проведённых контрразведывательных операций: «Несомненно, за этими разоблачениями по-прежнему будет стоять стратегия, поскольку раскрытие всегда имеет последствия для разведывательных операций, но их простота может позволить более простые и быстрые действия, с чем правительство исторически боролось», — сказал Хултквист. Хотя в реальности отсутствие контекста может уменьшить эффективность защитных мер, потому что для построения надёжной обороны необходимо чётко понимать, каким образом и для чего противник использовал данные инструменты.