Regin, считающийся самым передовым семейством вредоносных программ, когда-либо разработанных национальным государством, был разработан АНБ и передан некоторым из его партнеров Five Eyes (в первую очередь GCHQ). Его существование было публично раскрыто в 2014 году, но самые ранние образцы датируются 2011 годом, есть подозрения, что вредоносное ПО было создано еще в 2003 году.
Известные случаи применения Regin в дикой природе включают в себя: Бельгийская телекоммуникационная компания Belgacom, против немецкого правительстваи, самый последний случай, Российский поисковый гигант Яндекс..
На техническом уровне исследователи безопасности рассматривают Regin как наиболее совершенную на сегодняшний день платформу вредоносного ПО, модули с десятками функций, большинство из которых предназначены для операций по наблюдению и остаются незамеченными на зараженных компьютерах. хозяева.
Когда оно было обнаружено в 2012 году, исследователи безопасности не использовали термин «вредоносное ПО» для описания Flame. В то время Flame был настолько продвинут, что использовали термин «
инструментарий атаки", чтобы описать его структуру, которая чем-то напоминает своего старшего брата Регина.Как и вышеупомянутое, Flame представляет собой набор модулей, которые работают поверх платформы Flame и развертываются в зависимости от того, какие функции нужны операторам.
Он был обнаружен в 2012 году Центром MAHER Иранского национального CERT при атаках на правительственные учреждения страны. Это открытие произошло через два года после атак вредоносного ПО Stuxnet и было быстро связано с Equation Group, кодовым названием АНБ США. Позже это было обнаружено и в нападениях на другие правительства Ближнего Востока. В настоящее время, Страница Флейма в Википедии содержит лучшее резюме всех открытий, связанных с Flame.
Стакснет — единственное вредоносное ПО в этом списке с его собственный документальный фильм.
Вредоносное ПО было разработано в 2000-х годах совместными усилиями АНБ США и израильского подразделения 8200, киберподразделения израильских вооруженных сил. Он был развернут в 2010 году в Иране в рамках совместных усилий двух стран по саботажу иранской ядерной программы.
Stuxnet, который, как сообщается, на момент своего запуска использовал четыре разных типа нулевого дня, был специально запрограммирован для использования в промышленных системах управления. Его роль заключалась в изменении настроек центрифуг, используемых для операций по ядерному обогащению, путем повышения и понижения скорости ротора с целью вызвать вибрацию и разрушить машины.
Вредоносная программа оказалась успешной и, как сообщается, заразила более 200 000 компьютеров и в конечном итоге уничтожила почти 1000 центрифуг на иранском ядерном объекте в Натанзе.
Первым вредоносным ПО в этом списке, разработанным не в США, является Shamoon, штамм вредоносного ПО, разработанный государственными хакерами Ирана. Это было впервые развернут в 2012 году в сети Saudi Aramco, крупнейшего производителя нефти Саудовской Аравии. Вредоносная программа, очищающая данные, уничтожила более 30 000 компьютеров в ходе атаки 2012 года.
Он был развернут в второе нападение в 2016 году, против той же цели. Совсем недавно он был развернут против итальянского нефтегазового подрядчика Saipem, предположительно уничтожив 10% парка ПК компании.
Более недавнее дополнение к этому списку — Тритон (также известный как Трисис). Предполагается, что это вредоносное ПО было разработан российской исследовательской лабораторией.
Он был развернут в 2017 году. Это было специально спроектированный для взаимодействия с контроллерами системы безопасности Triconex (SIS) Schneider Electric. По техническим отчетам от Огненный Глаз, Драгош, и СимантекTriton был спроектирован так, чтобы либо остановить производственный процесс, либо позволить оборудованию, контролируемому TriconSIS, работать в небезопасном состоянии. Код вредоносного ПО просочился и в конечном итоге был опубликовано на GitHub.
Вредоносная программа Industroyer, также известный как Crashoverride, представляет собой вредоносное ПО, разработанное российскими государственными хакерами и использованное в декабре 2016 года для кибератак на энергосистему Украины.
Атака прошла успешно и на час отключила электроэнергию в части Киева, столицы Украины. Вредоносное ПО считается развитием предыдущих штаммов, таких как Havex и BlackEnergy, которые также использовались в атаках на энергосистему Украины. Однако в отличие от Хавекс и ЧерныйЭнергия, которые больше напоминали обычные вредоносные программы для Windows, развернутые против систем, управляющих промышленными системами, Промышленник содержал компоненты, специально разработанные для взаимодействия с электросетевым оборудованием Siemens.
Считается, что это создание печально известного военного киберподразделения Израиля «Отряд 8200». Дуку был обнаружен венгерскими исследователями безопасности в 2011 году. Вторая версия была обнаружена в 2015 году и имела кодовое название Дуку 2.0.
Первая версия была использована для помощи в атаках Stuxnet, а вторая использовалась для взлома сети российской антивирусной компании «Лаборатория Касперского». Duqu 2.0 также был найден на компьютеры в отелях Австрии и Швейцарии где проходили международные переговоры между США/ЕС и Ираном по поводу его ядерной программы и экономических санкций.
PlugX — это троян удаленного доступа (RAT), который впервые был замечен в 2012 году в ходе атак, приписываемых хакерам из китайского государства. С момента его обнаружения китайские хакеры, похоже, поделились этим вредоносным ПО друг с другом, и теперь оно широко используется большинством китайских групп национальных государств, что делает невероятной принадлежность к одной группе. трудный. А хороший технический отчет о PlugX доступен здесь.
Uroburos — это руткит, разработанный печально известной группой Turla, одной из самых продвинутых в мире хакерских группировок национальных государств, связанной с российским правительством.
В соответствии с отчет G DATA, «руткит способен взять под контроль зараженную машину, выполнять произвольные команды и скрывать системные действия».
Uroburos (также известный как руткит Turla или Snake) был широко распространен и был очень эффективен для ограниченная цель, для которой он использовался — обеспечить постоянство загрузки и загрузку других штаммов вредоносного ПО.
Это был центральный элемент APT-атак Turla, и его видели на зараженных компьютерах. в Европе, США и на Ближнем Востоке, еще в 2008 году. Целями обычно были государственные учреждения. Его видели в 45 странах. Вариант Linux также был обнаружен в 2014 году.
Еще одна китайская вредоносная программа, которая когда-то использовалась одной группой, но позже была распространена и повторно использована другими.
ICEFOG, впервые замеченный в 2013 году, вернулся в последние два года с новыми вариантами и даже версией для Mac. Подробнее об этом в нашем недавнем репортаже.
WARRIOR PRIDE — единственное мобильное вредоносное ПО в этом списке. Это инструмент, разработанный совместно АНБ США и GCHQ Великобритании. Он работает как на Android, так и на iPhone, а новость о его существовании появилась в 2014 году. во время утечки информации о Сноудене.
Что касается возможностей, вариант iPhone был гораздо более продвинутым, чем вариант Android. Он мог получать любой контент с зараженных хостов, прослушивать разговоры поблизости, включив микрофон беззвучно, и мог работать, даже когда телефон находился в спящем режиме.
Вредоносное ПО «Олимпийский разрушитель» был использован в атаке, которая нарушила подключение к Интернету во время церемонии открытия зимних Олимпийских игр 2018 года в Пхёнчхане. Больше всего от нападения пострадали телеканалы и журналисты.
Вредоносное ПО предположительно было создано российскими хакерами и использовано в качестве расплаты за Международный олимпийский комитет. отстранение российских спортсменов от участия в зимних Олимпийских играх по обвинению в допинге или запрет некоторым спортсменам выступать под флаг.
Само вредоносное ПО был похитителем информации, который сбрасывал пароли приложений в зараженные системы, что впоследствии использовали хакеры для эскалации своих атак. доступ к другим системам, откуда они позже инициировали атаку с уничтожением данных, которая привела к отключению некоторых серверов и маршрутизаторы. Новые версии олимпийского разрушителя были замечены в июне 2018 года, через несколько месяцев после первых атак.
Единственное вредоносное ПО в этом списке, разработанное APT и предназначенное для заражения маршрутизаторов, — VPNФильтр. Вредоносное ПО, разработанное российскими государственными хакерами, было развернуто перед атакой 2018 года. Лига чемпионов финал, который проходил в Киеве, Украина.
Предполагаемые планы заключались в том, чтобы внедрить вредоносное ПО и повредить маршрутизаторы во время прямых трансляций финала, аналогично тому, как Вредоносное ПО Olympic Destroyer использовалось для отключения интернет-соединения во время церемонии открытия зимних Олимпийских игр в Пхенчхане-2018. Олимпийские игры.
К счастью, исследователи безопасности из Cisco Talos наблюдала за сборкой ботнета VPNFilter, и снял его с помощью ФБР. По данным ФБР, вредоносное ПО предположительно было создано Fancy Bear APT.
Все три вспышки программ-вымогателей в 2017 году были штаммами вредоносного ПО, разработанными хакерами национальных государств, хотя и по разным причинам.
Первый из них, программа-вымогатель WannaCry, был разработан северокорейскими государственными хакерами, с единственной целью - заразить жертв и собрать выкуп для режима Пхеньяна, который в то время находился под жесткими экономическими санкциями. Чтобы смягчить воздействие этих санкций, режим использовал государственных хакеров для ограблений банков, майнинга криптовалюты или проведения операций с программами-вымогателями для сбора средств.
Однако ошибки в коде WannaCry привели к тому, что программа-вымогатель распространилась не только по локальным сетям, но и Внутренний самовоспроизводящийся компонент (червь) вышел из строя и заразил все, что попадалось в поле зрения, вызвав глобальную вспышка.
Через два месяца после WannaCry мир поразила вторая вспышка вируса-вымогателя. Называется НеПетя, эта программа-вымогатель была закодировано российской группой Fancy Bear (APT28)и первоначально был развернут только на Украине.
Однако из-за общих сетей и корпоративных VPN программа-вымогатель распространилась по всему миру, подобно WannaCry, причинив ущерб в миллиарды долларов. Как и WannaCry, NotPetya использовал эксплойт EternalBlue в качестве центральной части своего компонента-червя. (дополнительную информацию о EternalBlue см. на последнем слайде)
Последняя глобальная вспышка программ-вымогателей в 2017 году также была делом рук государственных хакеров. Так же, как НотПетя, Плохой кролик был работа русских хакеров, который аналогичным образом развернул его в Украине, но вирус-вымогатель распространился по всему миру, хотя и с меньшим воздействием по сравнению с первыми двумя, WannaCry и NotPetya.
В отличие от NotPetya, он не использовал EternalBlue в качестве основного механизма распространения, а также включал множество отсылок к «Игре престолов».
EnternalBlue, возможно, не является вредоносным ПО как таковым в классическом понимании этого слова, а является скорее эксплойтом, но он все же был разработан национальным государством и должен соответствовать этому списку. Оно было создано АНБ и стал достоянием общественности в апреле 2017 года, когда группа загадочных хакеров, известная как The Shadow Brokers, опубликовала код в Интернете.
После своего выпуска его впервые использовали в кампаниях по майнингу криптовалюты, но он действительно стал широко известным и узнаваемый термин после того, как он был встроен в код трех вспышек программ-вымогателей в 2017 году, а именно WannaCry, NetPetya, и Плохой Кролик.
С того времени, EternalBlue отказался умирать и широко использовался всеми видами киберпреступных операций, все из которых используют его в качестве механизма для распространение на другие системы внутри взломанных сетей путем использования неправильно настроенных клиентов SMBv1 в Windows. компьютеры.