АНБ шпионило за посетителями WikiLeaks

АНБ шпионило за посетителями WikiLeaks

Спецслужбы США и Великобритании шпионили как за сотрудниками сайта разоблачений Wikileaks, так и за рядовыми читателями скандального ресурса. Об этом свидетельствуют новые документы экс-сотрудника американских спецслужб Эдварда Сноудена, представленные интернет-журналом The Intercept.

Согласно этим данным, Агентство национальной безопасности США (АНБ) в 2010 году включило Ассанжа в список лиц, которые подлежат отслеживанию и преследованию (в список также входят подозреваемые в членстве в международной террористической сети "Аль-Каида") за серию публикаций о войне в Афганистане. Указывается также, что АНБ добивалось признания Wikileaks вредоносным сайтом, чтобы получить расширенные полномочия в отношении его сотрудников, сообщает cybersecurity.ru.

"Третий документ, датированный 2012 годом, продемонстрировал, что британский партнер АНБ - Штаб правительственной связи (ШПС) также шпионил за Wikileaks и его читателями", - сообщил портал.

Ассанж, скрывающийся в лондонском посольстве Эквадора, который предоставил ему политическое убежище, отреагировал на эти данные призывом назначить специального прокурора для расследования действий спецслужб.

"Wikileaks жестко осуждает безрассудное и незаконное поведение АНБ, - подчеркнул Ассанж. - Мы призываем администрацию Обамы назначить спецпрокурора для расследования масштабов криминальной активности АНБ в отношении СМИ, включая Wikileaks, ее сотрудников и партнеров".

WikiLeaks, специализировавшийся на публикации секретных документов правительств и спецслужб, был особенно популярен в 2010 году, когда на нем публиковались данные о преступлениях, совершенных армией США в Ираке и Афганистане. Сегодня же основатель портала Wikileaks Джулиан Ассанж в прямом эфире телеканала CNN рассказал, что его настораживает в заявлении президента США о реформе Агентства национальной безопасности и ограничении международной слежки. Также он сообщил, что в начале следующей недели с ответом на заявление Барака Обамы выступит Эдвард Сноуден.

Ассанж подчеркнул, что речь о реформе АНБ вообще не зашла бы, если бы программист Эдвард Сноуден не раскрыл информацию о секретных методах междунарожной слежки: «Без Эдварда Сноудена и других разоблачителей сегодняшнее заявление Обамы было бы невозможно».
В выступлении Обамы Ассанжа смущает то, что никаких обещаний о прекращении слежки так и не последовало: «Главе государства не делает чести 40-минутное выступление, в течение которого он почти ничего не сказал». «В речи Обамы было много лжи; например, он говорил, что АНБ никогда не допускала в своей деятельности злоупотреблений», - сказал австралиец.

По его словам, обещания Обамы не дают сколько-нибудь надёжных гарантий, что слежка АНБ действительно будет ограничена. «Меня беспокоит, что ничего не было сказано Обамой про ограничения для спецслужб на законодательном уровне, - подчеркнул Ассанж. - Мы не услышали от президента ничего о сколько-нибудь значительной защите технологического бизнеса в США».
«Когда в мире действует такая сильная спецслужба, как АНБ, конституционное управление в США и других странах находится под угрозой», - напомнил Ассанж.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WDAC в составе Microsoft Defender можно использовать для обхода EDR

ИБ-исследователи убедились, что защитную функцию Windows Defender Application Control (WDAC) можно использовать как инструмент атаки. Разработанный ими метод позволяет с успехом отключить EDR, притом даже в масштабах сети Active Directory.

Злоумышленнику нужно лишь прописать блокировку EDR в политиках WDAC, однако для этого потребуются права администратора. В случае успеха он сможет беспрепятственно развить атаку.

 

В ходе тестирования PoC возникло одно препятствие: некоторые EDR-системы используют драйверы, заверенные подписью WHQL. Политики WDAC по умолчанию разрешают их загрузку и запуск даже при отключенной службе EDR.

Как оказалось, решить проблему простым запретом WHQL-драйверов нельзя: велик риск, что конечное устройство перестанет стартовать и исчезнет возможность дальнейшего продвижения по сети. Опытным путем решение было найдено — блокировка атрибутов файла.

Чтобы оптимизировать процесс, экспериментаторы создали NET-инструмент Krueger, который вносит вредоносную WDAC-политику в папку CodeIntegrity и инициирует перезагрузку. При наличии админ-доступа к домену Active Directory защиту можно отключить на всех конечных точках, используя объекты групповой политики (GPO).

 

Выявить подобную атаку, по словам исследователей, нелегко, так как она проста и проводится быстро. Организациям рекомендуется использовать GPO при установке WDAC-политик и ограничить доступ к папкам вроде CodeIntegrity, SMB-ресурсам, а также групповым политикам с целью их изменения.

Разработчики Microsoft периодически патчат WDAC и закрывают возможности для злоупотреблений этим инструментом защиты. Остается надеяться, что публикация нового PoC тоже не останется незамеченной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru