Пентагон начал рассекречивать чужие зловреды

Кибернетическое командование США (U.S. Cyber Command) объявило о необычной инициативе. Оно обещает регулярно заливать в базу VirusTotal образцы «рассекреченных зловредов».

Несложно догадаться, что речь идёт о кибероружии, которые используют иностранные спецслужбы в текущих операциях (подразделения по киберразведке действуют во всех странах с развитыми разведывательными службами, в том числе в России). Другими словами, американская разведка собирается выставить инструменты противника на всеобщее обозрение. После появления в общедоступных базах VirusTotal эти инструменты попадут во все антивирусные базы и по сути станут неэффективными.

«Это похоже на пример новой стратегии США, направленной на активное преследование иностранных государственных акторов. Публикуя вредоносное ПО, США вынуждают их постоянно находить и использовать новые уязвимости», — комментирует ситуацию известный специалист по безопасности и криптограф Брюс Шнайер.

Кибернетическое командование США собирается действовать максимально публично, широко информируя публику о зловредах противников. Открыт новый твиттер-аккаунт USCYBERCOM Malware Alert специально для сообщений о новых образцах зловредов, которые отправлены в базу VirusTotal.

This Twitter account was created solely to provide alerts to the cybersecurity community that #CNMF has posted new malware to @virustotal. A log of our uploads can be found here: https://t.co/fSgk1xpG8t

— USCYBERCOM Malware Alert (@CNMF_VirusAlert) November 5, 2018

К настоящему моменту туда отправлены два образца.

Разумеется, спецслужбы рассекречивают инструменты противника только после того, когда уже больше не заинтересованы в сохранении их секретности, то есть после проведения соответствующих контрразведывательных мероприятий и сбора информации об иностранных акторах, их целях, методах работы и т.д. После этого иностранный инструментарий рассекречивается и сливается в базу VirusTotal.

Первые образы таких программ опубликовало подраздение Cyber National Mission Force (CNMF), которое находится в подчинении Кибернетического командования США. Интересно, что открытие твиттер-аккаунта и публикация образцов не сопровождалась обычным для государственных учреждений анонсом новой инициативы, отмечает издание ThreatPost, которое специализируется на информационной безопасности. Это было сделано без предупреждения.

«Признавая ценность сотрудничества с государственным сектором, CNMF инициировала усилия по обмену рассекреченными образцами вредоносных программ, которые, по нашему мнению, окажут наибольшее влияние на улучшение глобальной кибербезопасности», — сказано в кратком заявлении CNMF.

Два первых рассекреченных образца — файлы rpcnetp.dll и rpcnetp.exe. Эти дропперы используются в том числе для бэкдора Computrace хакерской группы APT28/Fancy Bear, которую связывают с выполнением заказов для Российской Федерации.

«Конкретная пара образцов, Computrace/LoJack/Lojax, на самом деле представляет собой троянизированную версию легального программного обеспечения LoJack от компании, которая раньше назыв��лась Computrace (в настоящее время называется Absolute). Троянская версия законного программного обеспечения LoJack называется LoJax или DoubleAgent», — объяснил представитель американских спецслужб.

Выпуск таких образцов — смелый шаг для Министерства обороны, которое долгое время держало в секрете свою кибердеятельность и полученные знания, комментирует независимый эксперт, директор по кибербезопасности в Carbon Black: «Это огромный шаг вперёд для сообщества кибербезопасности. Он даёт возможность сообществу кибербезопасности мобилизоваться и реагировать на угрозы в режиме реального времени, тем самым помогая правительству в защите и обеспечении безопасности американского киберпространства».

Джон Хултквист, директор анализа разведки в FireEye, отметил, что раскрытие вредоносных программ осуществляется «в вакууме», без упоминания конкретных разведывательных операций противника и проведённых контрразведывательных операций: «Несомненно, за этими разоблачениями по-прежнему будет стоять стратегия, поскольку раскрытие всегда имеет последствия для разведывательных операций, но их простота может позволить более простые и быстрые действия, с чем правительство исторически боролось», — сказал Хултквист. Хотя в реальности отсутствие контекста может уменьшить эффективность защитных мер, потому что для построения надёжной обороны необходимо чётко понимать, каким образом и для чего противник использовал данные инструменты.