Расследования APT-атак, по мнению многих, сводятся к тому, чтобы понять, как злоумышленники добились своего, и предотвратить другие такие эксцессы. Но истинным экспертам по кибербезопасности надо знать больше. В частности, какая цель была у нападавших. Достигли ли они ее. К каким средствами прибегали. Где еще были замечены похожие методы и программы.
Ответы на эти вопросы позволяют предвидеть развитие трендов в мире компьютерных угроз, а главное — в будущем оперативно парировать атаки, за которыми стоят те же организаторы или в которых используется тот же код. Поэтому важно не только представлять себе образ действия современных киберпреступников, но и разбираться в подноготной более ранних атак. Как компания, занимающаяся информационной безопасностью уже 20 лет, мы убедились в этом на собственном опыте.
Именно в попытке извлечь уроки из APT-атак прошлого наши эксперты совместно с исследователями из Королевского колледжа Лондона решили тщательно изучить Moonlight Maze — одну из первых широко известных кибершпионских кампаний, которая длилась предположительно с 1996 года. И вот какое любопытное обстоятельство: многие независимые эксперты склоняются к тому, что существует связь между ней и группировкой, заявившей о себе гораздо позднее и активной до сих пор, — авторами APT-атаки Turla.
Как нам удалось разузнать нечто новое о Moonlight Maze? Это маленькое приключение. Изначально, в конце 90-х, все материалы следствия были засекречены правоохранительными органами США. Однако в попытке замести следы взломщики использовали обширную сеть прокси-серверов, физически расположенных в университетах и библиотеках США, а также как минимум один сервер в Англии. Именно на нем системный администратор локальной сети, работавший с лондонской полицией и ФБР, включил запись всей активности. И эти логи дошли до наших дней. Таким образом в руки экспертов «Лаборатории Касперского» попала уникальная «капсула времени» с подробным отчетом обо всем совершенном злоумышленниками.
Самая интересная из находок касается бэкдора, который применялся в Moonlight Maze. Дело в том, что он был построен на базе UNIX-программы LOKI2, позволявшей передавать данные по секретным каналам. Та увидела свет в 1996 году. А ведь в APT-атаке Turla, обнаруженной «Лабораторией Касперского» в 2014 году, тоже использовались Linux-бэкдоры — и тоже на основе LOKI2. Иначе говоря, код инструментов, созданных более 20 лет назад, служит орудием современных кибергруппировок, хоть его и немного обновили.
Подробно об исследовании написано на сайте SecureList. Там же вы найдете краткий экскурс в историю этой APT, который местами читается как неплохой детектив.
Мораль выводить ни к чему, она давно сформулирована: чтобы понимать настоящее, нужно знать прошлое. И в расследовании киберинцидентов наши эксперты активно пользуются накопленными за 20 лет знаниями.
К тому же эта история — своеобразный привет тем, кто все еще считает, будто Linux-платформы безопасны по определению. Практика показывает: нет. А заблуждению уже, как видно, по меньшей мере 21 год.