Moonlight Maze

Из Википедии, бесплатной энциклопедии

Moonlight Maze — серия кибератак, направленных на правительственные, военные и образовательные организации США в конце 1990-х годов.

История[править | править код]

Атаки на государственные и частные сети начались в 1996 году. Однако только весной 1998 года подозрительная активность была замечена, после чего ФБР и Министерство обороны США начали совместное расследование. Широкая публика узнала о нём в феврале 1999 года в Конгрессе. Тогда стало понятно, что среди пострадавших ведомств были Пентагон, NASA и Министерство энергетики США, некоторые военные ведомства (в том числе авиабаза Райт-Паттерсон[англ.]), авиабаза Келли[англ.], Army Research Laboratory, Управление кораблестроения ВМС[англ.]), частные подрядчики американских военных, а также университеты и исследовательские институты. Детали расследования были засекречены[1][2][3].

Атакующие не только применяли прокси-сервера, чтобы скрыть своё реальное местонахождение, но также устанавливали бэкдоры во взломанных сетях, чтобы возвращаться к ним в будущем. Сложность и характер атаки позволили классифицировать её как APT-атаку[2].

К концу 1999 года для расследования атаки была создана оперативная группа из 40 специалистов из правоохранительных органов, военных и правительства. В атаках обвинили российское правительство. Майкл Ватис, директор Центра защиты национальной инфраструктуры ФБР, заявил, что вторжение, по-видимому, исходило из России, хотя доказательства считались в лучшем случае косвенными. Позже небольшая группа по киберпреступлениям из Управления криминальных расследований ВВС США смогла расшифровать кодовые команды Moonlight Maze и обнаружила, что коды были набраны кириллицей, что помогло подтвердить, что за ударами стояла Россия[2].

Последствия[править | править код]

Расследователи, иллюстрируя масштаб утечки, говорили, что если всю похищенную информацию распечатать и сложить в стопку, то она была бы в три раза выше монумента Вашингтону[2].

На слушаниях в марте 2000 года Джейс Адамс, глава Infrastructure Defense Inc., заявил, что стоимость украденной информации идёт на десятки миллионов долларов, возможно, сотни. Оценить точно нет никакой возможности. Среды выкраденной информации были секретные военно-морские коды, данные о системах наведения ракет и другая ценная военная информация. Были похищены десятки тысяч файлов, включающих технические исследования, военные карты, конфигурации американских войск, конструкции военной техники, методы шифрования и данные, относящиеся к военному планированию Пентагона[4][2].

В результате обнаружения и расследования атаки Пентагон заказал новое криптографическое оборудование на сумму 200 миллионов долларов, а также модернизировал свои системы обнаружения вторжений и файрволы[2].

Turla[править | править код]

В 2017 году группировку, стоявшую за Moonlight Maze, связали с группой Turla (также известна под именами Snake, Uroburos, Venomous Bear и Krypton), которая, как предполагали, начала свою деятельность только в 2007 году[1][5].

Связать Moonlight Maze и Turla удалось во многом случайно. В 2016 году Томас Рид (Thomas Rid) из Королевского колледжа Лондона, работая над книгой Rise of the Machines, изучал события конца 1990-х. Он связался с бывшим системным администратором Дэвидом Хеджесом (David Hedges), который работал в одной лондонской компании, чьи серверы были взломаны и превращены в прокси-сервер Moonlight Maze[1][5].

В сентябре 1998 года на Хэджеса вышли сотрудники Министерства обороны США и ФБР и попросили тайно логировать всю активность заражённого сервера, через который шли атаки более чем на 1000 систем. Каждые два-три дня он копировал накопленные данные на магнитооптические диски, сдавал их британской полиции, а оттуда они уходили дипломатической почтой в США. Накопление данных шло 5 месяцев, пока хакеры не узнали благодаря утечкам в прессу о слушаниях в Конгрессе и не прекратили активность[5][1][5].

Хеджес почти 20 лет хранил у себя заражённый сервер HP 9000 и копии всех файлов, имевших отношение к атакам 1998 года. В 2016 году он передал все накопленные данные исследователям из Королевского колледжа и специалистам «Лаборатории Касперского»[1].

Исследование заражённого сервера выявило, что в атаках Moonlight Maze использовали бэкдор на базе опубликованной в 1996 году в журнале Phrack программы LOKI2. Во времена Moonlight Maze этот софт был достаточно популярным. Но со временем он практически вышел из употребления. Тем не менее исследователи посчитала код знакомым и повторно изучили образцы вредоносного софта Turla под Linux, которые были найдены в 2014 году при атаке на одно германское предприятие. Обнаружилось, что разработки Turla также базировались на LOKI2 и включали код, созданный в период между 1999 и 2004 годами[1].

Примечания[править | править код]

  1. 1 2 3 4 5 6 Атаки Moonlight Maze двадцатилетней давности удалось связать с хак-группой Turla. Xakep.ru (4 апреля 2017). Дата обращения: 5 декабря 2022. Архивировано 5 декабря 2022 года.
  2. 1 2 3 4 5 6 Throwback attack: Russia launches its first cyberattack on the U.S. with Moonlight Maze (англ.). Industrial Cybersecurity Pulse (10 марта 2022). Дата обращения: 9 декабря 2022. Архивировано 9 декабря 2022 года.
  3. Juan Andres Guerrero-Saade, Costin Raiu (GReAT), Daniel Moore, Thomas Rid (King’s College London). Penquin's Moonlit Maze (англ.). Kaspersky Lab (2018). Дата обращения: 9 декабря 2022. Архивировано 30 января 2023 года.
  4. Testimony of James Adams Chief Executive Officer Infrastructure Defense, INC. (англ.). Федерация американских учёных (2 марта 2000). Дата обращения: 9 декабря 2022. Архивировано 25 сентября 2018 года.
  5. 1 2 3 4 New Evidence Links a 20-Year-Old Hack on the US Government to a Modern Attack Group (англ.). Федерация американских учёных (4 апреля 2000). Дата обращения: 9 декабря 2022. Архивировано 9 декабря 2022 года.
Источник — https://ru.wikipedia.org/w/index.php?title=Moonlight_Maze&oldid=130986501