ЛК проанализировала, связь создателей кампаний кибершпионажа между собой

ЛК проанализировала, связь создателей кампаний кибершпионажа между собой

Лаборатория Касперского проанализировала связь программы Turla, которая также известна как Snake или Uroburos, с другими известными кибершпионами. После выпуска отчетов по этой угрозе рядом компаний, работающих в сфере IT-безопасности, многие эксперты в данной области выступили с заключением о связи Turla и другого нашумевшего в свое время вредоносного ПО – так называемого Agent.BTZ. Специалисты глобального исследовательского центра «Лаборатории Касперского» выступают с анализом таких заключений.

В 2008 году червь Agent.BTZ заразил локальные сети Центрального командования вооруженных сил США на Ближнем Востоке и был назван самым худшим событием в компьютерной истории ВС США. Согласно некоторым источникам, Пентагон потратил почти 14 месяцев на ликвидацию последствий заражения сетей ВС, и в результате этот случай послужил толчком для создания Кибернетического командования США, внутреннего подразделения ВС США. Вредоносная программа, предположительно созданная в 2007 году, содержала функционал для поиска и отправки ценной информации с зараженных компьютеров в удаленный центр управления.

«Лаборатория Касперского» впервые столкнулась с вышеупомянутым зловредом Turla в марте 2013 года во время расследования  другого инцидента, связанного с применением крайне сложного руткита. Тогда же в ходе расследования специалисты «Лаборатории Касперского» обнаружили интересные факты, указывающие на то, что, по всей видимости, червь Agent.BTZ служил образцом для создателей наиболее технически продвинутого кибероружия – Red October, Turla, а также Flame и Gauss.

Тщательный анализ показал, что создатели Red October, очевидно, знали о функционале червя Agent.BTZ. Написанный ими в 2010-2011 модуль USB Stealer среди прочего ищет и копирует с USB-носителей архивы с накопленной червем информацией, а также его журнальные файлы. Turla в свою очередь использует те же, что и Agent.BTZ, имена файлов для ведения журнала собственных действий и точно такой же ключ для их шифрования. Наконец, программа Flame придерживается похожих с червем расширений файлов и также хранит украденную информацию на  USB-устройствах.

Приняв это во внимание, можно утверждать, что создатели вышеупомянутых кампаний кибершпионажа досконально изучили работу червя Agent.BTZ и переняли опыт для разработки собственных вредоносных программ со схожими целями. Однако это не дает возможности говорить о прямой связи между группами злоумышленников.

«Основываясь на тех данных, которыми мы владеем, нельзя сделать подобного заявления. Вся информация, использованная разработчиками этих вредоносных программ, была открыта широкой публике как минимум на момент создания Red October и Flame. Не были также секретом и названия файлов, в которых червь накапливал информацию с зараженных систем. Наконец, ключ шифрования, который идентичен в случаях Turla и Agent.BTZ, был обнародован еще в 2008-м. Неизвестно, с каких пор он был применен в Turla. С одной стороны, мы нашли его в образцах, созданных в этом и прошлом годах, с другой стороны, есть информация о том, что создание Turla началось в 2006, прежде чем был обнаружен образец Agent.BTZ. Вследствие этого вопрос о связи разработчиков кибероружия пока остается открытым», - заключил Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

МСофт и Сайберпик объединяют усилия для защиты чувствительной информации

Компания МСофт, разработчик MFlash, решения для защищённого файлового обмена, и компания Сайберпик, создатель платформы для защиты неструктурированных данных «Спектр», объявили о заключении технологического партнёрства.

Совместными усилиями был разработан и протестирован модуль интеграции, придающий дополнительную ценность каждой из платформ.

Испытания проводились в лаборатории ITD Group, компании, являющейся дистрибьютором обоих решений и обладающей соответствующей экспертизой.

Благодаря интеграции с системой управления правами доступа DAG/DCAP «Спектр», корпоративные файлы, размещённые на MFlash, получат дополнительный уровень защиты. Организации смогут отслеживать, какие файлы хранятся на платформе, определять местоположение важной коммерческой информации и персональных данных, контролировать доступ пользователей к конкретным документам, выявлять избыточные копии и устаревшие данные для оптимизации файловых ресурсов. Модуль поведенческой аналитики поможет выстроить профили типичного поведения сотрудников на MFlash и оперативно реагировать на аномалии, предупреждая потенциальные угрозы.

МСофт специализируется на создании решений для обмена данными уже 12 лет и является признанным игроком на рынке. Платформа MFlash успешно внедрена в крупнейших российских компаниях различных отраслей: финансах, промышленности, телекоммуникациях, нефтегазовом секторе, логистике и других. Благодаря своей гибкости и удобству, она позволяет эффективно управлять корпоративным файловым обменом как внутри компании, так и с внешними партнёрами. Безопасность обеспечивается применением корпоративных политик информационной безопасности, распространяемых как на сотрудников, так и на контрагентов. Это особенно актуально при работе с поставщиками в рамках единого цифрового пространства, где критически важна надёжная защита данных.

Встроенный набор инструментов MFlash обеспечивает контроль над процессом обмена файлами и высокий уровень безопасности. Однако для формирования полноценной экосистемы, способной противостоять современным киберугрозам, необходимы дополнительные меры. Именно поэтому сотрудничество с Сайберпик стало важным шагом на пути к созданию комплексного решения для безопасной работы с информацией.

«Спектр» — это система контроля и управления правами доступа к данным, которая позволяет осуществлять полный контроль действий сотрудников с документами, расположенными на хранилищах неструктурированных данных, классифицировать информацию и выстраивать жизненный цикл данных, удаляя и перемещая не оптимально расположенные файлы.

«Мы очень рады, что портфель наших технологических партнерств пополнился платформой «Спектр». Интеграция отлично ложится к концепцию построения безопасной экосистемы для файлового обмена и дает дополнительный уровень контроля и прозрачности при работе с корпоративной информацией на MFlash», - комментирует директор по развитию МСофт Владимир Емышев.

«Технологическое партнерство между «Сайберпик» и МСофт - пример успешного сотрудничества, результаты которого позволят усилить защиту данных и повысить уровень информационной безопасности для пользователей обоих решений. Интеграция платформы «Спектр» с системой файлового обмена MFlash предоставляет весь функционал «Спектра», включая передовые технологии поведенческого анализа и классификации, по отношению к данным, расположенным на MFlash.

Наличие таких интеграций «из коробки» не только упрощает процесс внедрения, но и обеспечивает ощутимые преимущества в рамках комплексного подхода при планировании и реализации архитектуры хранения данных и связанных с ними процессов.

Выражаю благодарность коллегам из ITD Group и МСофт за открытость и продуктивное сотрудничество», - Антон Шкарин, технический директор компании «Сайберпик».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru