ЦАТУ

 
 
Вы здесь: Home Аналитика Внедрение вредоносного ПО как одно из направлений киберопераций
 
 

Внедрение вредоносного ПО как одно из направлений киберопераций

E-mail Печать
Рейтинг:   / 0
ПлохоОтлично 

За рубежом на современном этапе одно из приоритетных направлений повышения возможностей сил киберопераций - создание специальных аппаратно-программных средств и информационных технологий разведывательного и наступательного действия. В связи с этим активно разрабатывается так называемое информационное оружие, представляющее собой совокупность средств поражающего воздействия на информационный ресурс противника. Такому влиянию могут быть подвержены прежде всего компьютерные и телекоммуникационные системы противника, а именно: программное обеспечение (ПО), структуры данных, средства вычислительной техники и обработки информации, а также каналы связи.

Особое значение придается формированию специальных наступательных средств и технологий скрытного воздействия на информационно-коммуникационную инфраструктуру систем управления для нарушения устойчивого функционирования их ключевых компонентов, перехвата контроля и управления над ними.

В свою очередь, разведывательные киберсредства предназначены для сбора данных о противнике, а также структуре, порядке функционирования и уязвимостях его информационно-управляющих систем и сетей. В этих целях в автоматизированные рабочие места на базе ЭВМ осуществляется внедрение вредоносного ПО. которое позволяет объединять их в распределенную разведывательную дистанционно управляемую сеть. В нее может входить до нескольких тысяч вычислительных машин, установленных в помещениях государственных и военных объектов в различных странах мира.

Вредоносным ПО является внешний или внутренний программный код. обладающий определенными деструктивными функциями по отношению к этой системе.

К таким функциям относятся:

  • уничтожение или внесение изменений в функционирование ПО информационно-вычислительной системы, удаление или искажение обрабатываемых в ней данных после выполнения некоторого условия ("логические бомбы");
  • превышение полномочий пользователя с целью несанкционированного копирования конфиденциальной информации или создания условий для этого ("троянские" программы);
  • подмена отдельных функций подсистемы защиты или создание условий для ее обхода в целях реализации угроз безопасности информации;
  • перехват пользовательских паролей с помощью имитации приглашения к его вводу или съем (перехват) самого ввода с клавиатуры;
  • перехват потока информации, передаваемой между объектами распределенной системы (мониторы, снифферы);
  • сокрытие признаков своего присутствия в программной среде;
  • реализация самодублирования, ассоциирования себя с другими программами и/или переноса своих фрагментов в иные (не занимаемые изначально указанной программой) области оперативной или внешней памяти;
  • разрушение (искажение произвольным образом) программного кода в оперативной памяти;
  • искажение произвольным образом, блокировка и/или подмена выводимых во внешнюю память либо в канат связи массивов информации, образовавшихся в результате работы прикладных программ или уже находящихся во внешней памяти, либо изменение их параметров и др.

В целом выделяются три основные группы деструктивных функций, которые могут выполняться вредоносным ПО:

  • сохранение (сбор) фрагментов информации, возникающей при работе пользователя, прикладных программ, вводе/ выводе данных, во внешней памяти (локальной либо удаленной) в сети на выделенном компьютере, в том числе различных паролей, ключей и кодов доступа, собственно конфиденциальных документов в электронном виде, либо безадресная компрометация фрагментов чувствительной информации;
  • изменение алгоритмов функционирования прикладных программ (то есть целенаправленное воздействие на внешнюю или оперативную память), приводящее к изменению собственно исходных их алгоритмов работы;
  • навязывание некоторого режима работы (например, при уничтожении информации блокирование записи на запоминающее устройство, при этом она не уничтожается) либо замена записываемой информации данными, навязанными вредоносным ПО.

В цепом вредоносное программное обеспечение подразумевает наличие внутреннего механизма распространения по локальным и глобальным компьютерным сетям (в том числе Интернет) с некоторыми заданными заранее целями. Такими целями могут быть:

  • проникновение на удаленные компьютеры с частичным или полным перехватом управления ими;
  • запуск своей копии на компьютере;
  • возможное дальнейшее распространение по всем доступным сетям.

В основном такое ПО распространяется в виде файлов, прикрепляемых в качестве вложений к электронным письмам и сообщениям, а также через специально размещаемые гиперссылки. Такой вид атак отличается масштабностью и высокой скоростью заражения компьютеров пользователей. Отмечается значительное увеличение (ежегодно более чем в 2 раза) количества интернет-сайтов, осуществляющих распространение вредоносного ПО. Данные ресурсы для привлечения внимания пользователей используют актуальное информационное наполнение: новостные сообщения и аналитические статьи, обзоры информационных технологий, а также сведения рекламного и развлекательного характера. При этом более 20% сайтов преднамеренно проектируются для распространения вредоносных программ.

Другими способами применения таких средств являются: распределенные атаки типа "отказ в обслуживании" (DDoS-атаки, проводятся путем генерирования интенсивного трафика ложных и подставных сообщений, не дающих возможности регулярным циркулировать в компьютерной сети или обрабатываться серверами); распространение деструктивных программных продуктов через несанкционированно подключаемые устройства памяти с USB-разъемом (самые оптимальные по критерию "стоимость/эффективность"); внедрение и активация программных закладок.

Вместе с тем в ряде зарубежных стран в составе вооруженных сил официально создаются отдельные структуры для проведения кибернетических операций, а также научно-техническая база для разработки специальных информационных технологий активного наступательного действия (включая саморазмножающееся и самомодифицирующееся вредоносное ПО и программные закладки) и отработки вопросов их практического применения.

Кроме того. существует и так называемое бесфайловое (пакетное) вредоносное программное обеспечение, распространяемое в виде сетевых пакетов и проникающее на ЭВМ через уязвимости в операционной системе (ОС) или предустановленных программных приложениях.

Для внедрения вирусного ПО на удаленный компьютер также используются методы социальной инженерии гаи нарушения и недочеты при организации администрирования (обслуживания) локальной сети (например, незащищенный локальный диск).

Наиболее распространенным путем внедрения вредоносных программ в компьютерные системы и аппаратные средства является Интернет. При этом ПО для наступательных киберопераций нацелено как на отдельные компьютеры, так и на сети противника. Оно решает задачу проникновения, используя известные и обнаруживаемые уязвимости, содержащиеся не только в программах и технических средствах, разработанных потенциальным противником, но и в используемом во всем мире аппаратном и программном обеспечении известных компаний, большинство из которых находится в США.

Другими способами и средствами доставки вредоносных программ являются: агентурные, удаленные аппаратно-технические, в том числе через различные периферийные устройства атакуемой компьютерной системы, комбинированные и др. При этом особое внимание разработчиков такого оружия направлено на обеспечение его возможности скрытно присутствовать в программном обеспечении противника и сохраняться в нем даже в случае модернизации оборудования, либо обновления ПО.

К основным методам скрытого внедрения (доставки на атакуемый объект) вредоносных программ относятся:

Маскировка под "нейтральное" программное обеспечение. Данный метод предусматривает внедрение в систему зловредного кода под видом установки новой программы. Она может быть внедрена в текстовый или графический редакторы, системную утилиту, хранитель экрана и др. После внедрения ее присутствие в системе не маскируется.

Маскировка под модуль расширения программной среды. Такой метод является частным случаем предыдущего и использует допуск на расширение многих программных сред дополнительными программными модулями. Например, для ОС семейства Microsoft Windows модулями расширения могут выступать динамически подгружаемые библиотеки (DLL) и драйверы устройств. В таких модулях расширения может содержаться вредоносное ПО с потенциальной возможностью внедрения в систему.

Подмена вредоносным ПО одного или нескольких программных модулей атакуемой среды. Этот метод предусматривает выбор в атакуемой программной среде одного или нескольких модулей, подмена которых фрагментами "компьютерного вируса" позволяет оказывать на среду требуемое негативное воздействие. Такое ПО внешне должно полностью реализовывать все функции подменяемых программных модулей.

Прямое ассоциирование. Метод основан на ассоциировании вредоносной программы с исполняемыми файлами одной или нескольких легальных программ системы. Он наиболее прост в реализации для однозадачных однопользовательских систем.

Косвенное ассоциирование. Метод заключается в ассоциировании вредоносного ПО с кодом программного модуля, загруженным в оперативную память. В данном случае исполняемый файл остается неизменным, что затрудняет обнаружение зловредного кода. При этом необходимо, чтобы инсталлирующая часть "вируса" уже присутствовала в системе, то есть внедряемое вредоносное ПО является составным.

Наиболее потенциально возможными зарубежными средствами доставки вредоносных программ (не через глобальные сети) до объекта атаки для получения скрытого доступа к компьютерным сетям противника являются:

IRATEMONK - позволяет обеспечить присутствие вредоносного ПО для осуществления слежки на настольных и портативных компьютерах с помощью закладки в прошивку жесткого диска, которая дает получить возможность исполнения своего кода путем замещения главной загрузочной записи (MBR). Метод работает на различных дисках - Western Digital, Seagate, Maxtor и Samsung. При этом поддерживаются файловые системы FAT NTFS, ЕХТ3 и UFS, а системы с RAID не поддерживаются. После своего внедрения IRATEMONK запускает свою функциональную часть при каждом включении целевого компьютера.

SWAP - обеспечивает присутствие вредоносного ПО для ведения шпионажа за счет использования BIOS материнской платы и НРА-области жесткого диска путем исполнения кода до запуска ОС. Данная программа позволяет получить удаленный доступ к разным операционным системам (Windows, FreeBSD, Linux, Solaris) с различными файловыми системами (FAT32, NTFS, ЕХТ2, ЕХТЗ, UFS 1.0). Для установки используются две утилиты: ARKSTREAM (перепрошивает BIOS) и TWISTEDKILT (записывает в НРА-область диска протокол SWAP (используется главным образом в беспроводных телефонных аппаратах) и функциональную часть "вируса").

COTTONMOUTH - аппаратная закладка на USB. предоставляющая беспроводной мост к целевой сети, а также загрузки "эксплойтов" на ресурсы целевой системы. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками. При помощи встроенного радиопередатчика может взаимодействовать с другими COTTONMOUTH. В основе лежит элементная база TRINITY в качестве радиопередатчика используется HOWLERMONKEY Имеется версия под названием MOCCASIN, представляющая собой закладку в коммутационной матрице USB-клавиатуры.

FIREWALK - аппаратная сетевая закладка, способная пассивно собирать трафик сети Gigabit Ethernet, а также осуществлять активные внедрения вредоносного кода в Ethernet-пакеты целевой сети. Позволяет создавать VPN-тоннель между целевой сетью и центром. Возможно установление беспроводной коммуникации с другими HOWLERMONKEY-совместимыми устройствами. Исполнение данной закладки аналогично COTTONMOUTH. В ее основе лежит элементная база TRINITY, а в качестве радиопередатчика используется HOWLERMONKEY.

NIGHTS TAND - мобильный комплекс для проведения активных атак на Wi-Fi-сети, целью которых являются машины под управлением ОС Windows и когда непосредственный доступ к ним невозможен. Комплекс реализован на базе портативной ЭВМ типа "ноутбук" под управлением Linux и радиооборудования. Вместе с внешними усилителями и антеннами дальность действия может достигать 13 км.

DEITYBOUNCE - предоставляет программный доступ к серверам Dell PowerEdge при помощи BIOS материнской платы и использования SMM-pe-жима для получения возможности запуска перед загрузкой системы. Установка может быть произведена при помощи ARKSTREAM либо USB-накопителя. После установки будет выполняться каждый раз при включении системы.

FEEDTROUGH - представляет собой технику установки двух типов вредоносного программного обеспечения: BANANAGLEE и ZESTYLEAK, используемых для преодоления межсетевого экрана. Метод отрабатывается при старте межсетевого экрана. Установка вредоносного ПО осуществляется в случае наличия ОС в базе данных. В противном случае устройство загружается в обычном режиме. FEEDTROUGH сохраняется при обновлении операционной системы межсетевого экрана.

СТХ4000 - это портативный излучатель непрерывного действия. Обеспечивает выделение целевых систем для получения данных от установленных там зактадок.

NIGTHWATCH - система на базе портативного компьютера, предназначенная для обработки сигналов от монитора цели. Сигнал может поступать как от систем сбора информации (при выделении закладки в видеокабеле), так и от приемника общего назначения.

HOWLERMONKEY - представляет собой радиопередатчик малого и среднего радиуса. Является специальным радиомодулем для других аппаратных закладок. Используется для получения данных от закладок и предоставления удаленного доступа к ним.

Кроме того, существуют и другие способы внедрения вредоносных программ - через трансиверы, встраиваемые в USB-кабелн или USB-устройства, через Wi-Fi. Bluetooth. GSM-устройства и соединения, подключаемые к атакуемому компьютеру.

Одним из перспективных средств дистанционного внедрения вредоносного ПО является беспилотный летательный аппарат (БПЛА). Так специалистами ВВС США на базе воздушной мишени FMQ-117В разработан БПЛА WASP (Wireless Aenal Surveillance Platform). Его основным назначением является проведение разведывательных киберопераций. Благодаря своему бортовому оборудованию такой аппарат может взламывать обнаруженные беспроводные Wi-Fi-сети, перехватывать разговоры, ведущиеся по сетям сотовой связи, и проводить DDoS-атаки на выбранные компьютеры и системы управления.

В состав оборудования WASP входит камера с HD-разрешением, 11 антенн для различных стандартов радиосвязи, GPS-приемник и бортовой компьютер на базе ОС Linux. В его памяти хранится комплект вредоносных программ для взлома беспроводных сетей и словарь, содержащий 340 млн слов для проведения взлома методом "брутфорса". Полученные данные и перехваченные разговоры записываются в памяти бортовой ЭВМ (накопитель на жестком магнитном диске емкостью 500 Гбайт), а также могут передаваться по интернет-каналам на специальный сервер с использованием сетей мобильной связи 3G и 4G или взломанных точек доступа Wi-Fi.

Благодаря установленному на БПЛА GPS-оборудованию. он может действовать автономно, перемещаясь по заранее заданному маршруту, а для взлета/посадки требуется участие оператора. Расходы на изготовление такой системы без учета стоимости базового аппарата составляют около 6 тыс. долларов.

Аналогичные работы осуществляются киберкомандованием американских сухопутных войск для нарушения функционирования средств автоматизации пунктов управления оперативно-тактического и тактического звена. В частности, созданная аппаратура для удаленного ввода вредоносного ПО в сети беспроводной связи стандартов Wi-Fi и LTE проходит испытания на тактическом разведывательном беспилотном летательном аппарате "Скэн Игл".

В целом за рубежам создаются и отрабатываются разнообразные способы и средства дистанционного внедрения вредоносных программ. При этом используются различные физические принципы обработки и передачи информации, а также среды их распространения. Противодействие такому виду кибер-оружия является сложной и комплексной задачей, требующей значительных научно-технических ресурсов и финансовых затрат.

Е.Гришковец, по материалам: Зарубежное военное обозрение. - 2020. - №3. - С. 28-32