WWW предыдущий пост Мы рассмотрели, как террористические группы используют социальные сети для поддержки своей деятельности, и на этот раз мы рассмотрим, как разведка и военные службы могут использовать Интернет для осуществления антитеррористической деятельности. Как я указывал ранее, терроризм преследуется и борется со всей мощью государственного аппарата, включая военные операции в нормальных условиях, зарезервированных для ситуаций вооруженного конфликта. Поэтому неудивительно, что, поскольку кибероперации проводятся против враждебных государств, они будут применяться и к террористическим организациям. Более того, во многих ситуациях это будет более подходящий инструмент. Из-за возможности очень точного определения цели операции и отсутствия прямых кинетических эффектов шансы сопутствующего ущерба значительно ниже, чем в случае обычных мер. С другой стороны, конечно, не все цели будут возможны таким образом. Если мы говорим об уничтожении тренировочного лагеря, склада оружия или просто об уничтожении лидеров группировок, то альтернативы беспилотникам, высокоточным боеприпасам и солдатам нет. Давайте посмотрим, какие антитеррористические операции проводились до сих пор (и мы могли бы прочитать о них публично), какие у них были цели и как они проводились.
Как и во всех других кибероперациях, проводимых государственными структурами, мы будем заниматься деятельностью CNA и CNE. И насколько может показаться, что деструктивные атаки будут гораздо более распространенными, учитывая цель акции, разведывательные операции будут преобладать, как и в строго военной деятельности - иногда с некоторым элементом атаки, о котором в какой-то момент.
Один из самых громких случаев раскрытия кибердеятельности, направленной на террористическую организацию – в данном случае ИГИЛ и Аль-Каиду – Отчет Касперского о группе Slingshot. Которая сначала казалась очень продвинутой, но все же одной из многих операций APT, за которой следовали исследователи безопасности, Это была американская операция против ИГИЛ. Таким образом, публикация анализа этой операции была весьма неудачной и мешала антитеррористическим действиям, но она дала представление о том, как службы проводят операции такого рода. И на самом деле то, что увидели аналитики Касперского, не сильно отличается от менее благородных операций групп APT:
Источник: https://securitylist.com/apt-slingshot/84312/Таким образом, мы рассматриваем маршрутизаторы как способ распространения инфекции, заменяя файл DLL тем, который был заменен злоумышленниками, и позволяя им загружать дополнительные инструменты. Используя уязвимость, злоумышленники загружали свои собственные подписанные драйверы, позволяя им запускать процессы с привилегиями SYSTEM и в конечном итоге загружать два пакета инструментов. Работает на базовом уровне системы «Cahnadr» и «GollumApp». В сочетании они включали широкий спектр действий по сбору данных - съемку скриншотов, захват ключей, получение содержимого буфера обмена или сбор информации о подключенных USB-устройствах. Таким образом, мы видим довольно полезный пакет, если нашей целью является сбор информации о поведении пользователей. Аналитики «Лаборатории Касперского» также определили географический охват акции — в их число вошли страны Ближнего Востока и Африки, особенно большое количество заражений в Кении и Йемене. Исследователи также заявили, что, скорее всего, за операцию отвечали носители английского языка — как мы видим, они довольно точно охарактеризовали источник и цель краж со взломом. Операция точно не была разовой, поскольку следы указывали на начало деятельности уже в 2012 году и продолжение деятельности на момент публикации доклада, то есть в 2018 году.
Однако технический анализ вышел на второй этап в контексте информации, полученной CyberScoop, согласно которой APT Slingshot фактически была операцией, проводимой американским JSOC (Joint Special Operations Command), и ее целью было заражение компьютеров, используемых боевиками ИГИЛ и Аль-Каиды. Очень часто это были компьютеры в онлайн-кафе развивающихся стран, которые террористы регулярно использовали для получения и отправки сообщений.
Вся эта ситуация предоставила много информации о том, как выглядит кибертерроризм. Во-первых, это был первый раскрытый случай операции по киберразведке, проводимой SOCOM (Special Operations Command, частью которой является JSOC). Солдаты SOCOM и спецназа, конечно, очень часто участвовали в кинетических операциях, в том числе самых известных, когда был убит Усама бен Ладен, но о киберкомпонентах было мало что известно. Слингшот подтвердил, что очень продвинутая прямая CNE сопровождает классические операции и поддерживает разведку. Во-вторых, этот пример показал уязвимость киберопераций для выявления необходимости поставки инструментов на оборудование, контролируемое целью операции. Те же обстоятельства, которые позволяют западным командам, занимающимся разведкой угроз, обнаруживать здесь операции китайской или российской разведки, позволили сжечь антитеррористическую деятельность. Возвращение не случайно, так как журналисты CyberScoop согласились, что стандартная процедура обнаружения заключается в отказе от существующей инфраструктуры и создании нового отношения. Касперский знал, что он публикует? Учитывая опыт команды GREAT и наличие артефактов, связанных с более ранней активностью американских групп — таких как инструмент «Голлум» или тактика атаки маршрутизаторов Microtik, можно предположить, что даже в набросках аналитиков они знали, с какой деятельностью имели дело. В этой связи возникает вопрос о том, является ли публикация доклада разумной. Тот факт, что операция раскрыта, показывает разницу между кинетической и кибердеятельностью — давайте попробуем представить, как было бы абсурдно, если бы частный охранник подробно описал, как спецназ готовился атаковать тренировочный лагерь. Возвращаясь к нашему примеру и ссылаясь еще раз на публикацию CyberScoop, приговоры между представителями правительства разделились. Некоторые утверждают, что «Лаборатория Касперского» анализирует и предотвращает деятельность, направленную на их клиентов. Другие, однако, указали на серьезные последствия раскрытия информации об операции, включая опасные для жизни последствия прекращения доступа к информации.
В случае с Slingshot мы столкнулись с типичным CNE, направленным на сбор информации. Теперь рассмотрим операцию, которая была призвана не только получить доступ к компьютерам террористов, но и активно сорвать деятельность. Мы говорим о Операция «Сияющая симфония», начатая в 2016 году объединенными силами АНБ и киберкомандования, организованными в Объединенной целевой группе..
Фрагмент документа, разрешающего запуск операции «Сияющая симфония».Задача Ареса состояла в том, чтобы изучить боевые привычки ИГИЛ в использовании компьютеров и Интернета и осуществить действия по подрыву организации. Фактическим антитеррористическим наступательным действиям предшествовала длительная разведка, в ходе которой операторы анализировали, в том числе, как ИГИЛ распространяло свои пропагандистские материалы. Этот анализ привел к выводу, что террористы используют только 10 серверов и учетную запись, которая является основой распределительной инфраструктуры организации, поэтому удар по ним будет серьезным ударом по интернет-подразделению ИГИЛ. По словам генерала Эдварда Кардона, который служил первым командиром Ареса, группа использовала классический метод доступа и отправляла фишинговые письма боевикам. Дальнейшее внимание было уделено настойчивости сети путем создания дополнительных учетных записей администраторов и сбрасывания имплантатов в машины комбатантов, и были начаты действия, которые, наконец, позволили достичь целей операции. Таким образом, он начал извлекать пароли для последующих учетных записей, загружать зашифрованные папки и нарушать их пароли, поэтому в широком смысле проводить разведку уже внутри сети. Здесь также возникла первая юридическая и политическая проблема — не все серверы, к которым обращались операторы, были физическими устройствами, расположенными в Сирии и Ираке. Как и весь остальной мир, боевики также пользовались преимуществами облачных сервисов и там же, на серверах, которые де-факто делились с большим количеством довольно легальной деятельности, проводили часть операции. Поэтому Аресу пришлось убедить лиц, принимающих решения, что они способны совершать нападения таким образом, чтобы ограничить результаты только ресурсами, контролируемыми террористами. Поэтому в качестве демонстрации емкости операторы выполняли небольшие операции на серверах, которые также включали конфиденциальную медицинскую документацию.
С этой подготовкой Glowing Symphony уже начала полномасштабную деятельность по сбору файлов с боевых машин и отрезанию их доступа к аккаунтам. Однако операция предполагала два этапа. После первого удара, ограничившего возможность использования Интернета для проведения операций, Арес начал меня с обычного антитеррора. Операторы начали моделировать общие ИТ и сетевые проблемы с целью вызвать разочарование террористов и свести к нулю эффективность повседневной работы. Так она начала снижать скорость передачи данных, запускать случайные отказы в доступе к аккаунтам и ресурсам, или делать готовые пропагандистские материалы, попадающие не на те серверы. Этот метод действий имел одно фундаментальное преимущество — имитируя проблемы, источником которых является неамериканская армия, и этот безнадежный интернет и компьютеры, на которых вы обычно не можете работать, гнев террористов был направлен внутри организации. Например, упомянутое изменение целевого местоположения пропагандистского видео вызвало конфликт между начальником и остальной частью команды, поскольку командир был убежден, что подчиненные не выполняли его приказы.
Законодательство США предоставляет широкий доступ к документам и материалам, автором которых является любая организация, работающая в рамках государственного управления в соответствии с Законом. Закон о свободе информации. Хотя документы, полученные таким образом, часто подвергаются значительной цензуре:
Источник: https://nsarchive.gwu.edu/document/19817-national-security-archive-1-uscybercom-operationИменно в случае с «Сияющей симфонией» мы можем узнать достаточно много о результатах операции и ее оценке по команде. Хотя графика на приведенном слайде подверглась полной цензуре, из сопроводительных материалов можно узнать, что зеленый свет, означающий успех, был дан всем поставленным целям, кроме той, которая получила оценку «солнца». Поэтому эта цель была достигнута с ограничениями.
Источник: https://nsarchive.gwu.edu/sites/default/files/documents/6655593/National-Security-Archive-2-USCYBERCOM-Operation.pdfК сожалению, когда дело доходит до деталей того, что было сделано, а что нет, они подвергаются цензуре. Однако мы видим, что эта операция фактически ограничила возможности ИГИЛ распространять пропагандистские материалы и использовать Интернет для распространения своей идеологии:
Несмотря на это, выводы о том, как антитеррористические операции ударили по способности работать в интернете, могут косвенно быть сделаны на основе исследований. Одри Александер работает над программой исследований экстремизма Университета Джорджа Вашингтона. Наблюдая за ИГИЛ в Twitter, мы видим заметное снижение активности.
Анализ деятельности ИГИЛ в Twitter, операция «Сияющая симфония» была одобрена в ноябре 2016 года.Согласно информации, полученной журналистами NPR, «Сияющая симфония» имела большой успех, когда дело дошло до антитеррористических эффектов — через шесть месяцев СМИ ИГИЛ были задушены, и организация испытывала значительные трудности с восстановлением способности. У ИГИЛ было много денег, но не так много способов эффективно тратить их через электронные переводы, которые необходимы для заказа оборудования из-за рубежа или просто регистрации доменов, выкупа облачных ресурсов и так далее.
Однако раскрытые документы описывают не только внешние последствия операции, но и проблемы и рекомендации на будущее в контексте организации работы операторов и формальных аспектов действия. В докладе обращалось внимание на необходимость гармонизации процедур получения согласия на деятельность организаций. Нынешние механизмы межведомственного сотрудничества не адаптированы к темпам, масштабам и масштабам кибердеятельности. К сожалению, мы не узнаем, что я не буду делать, не изменив свою политику.
Источник: https://nsarchive.gwu.edu/sites/default/files/documents/6655597/National-Security-Archive-6-USCYBERCOM.pdfТакже обратите внимание на следующий отрывок:
Опять же, наиболее важные отрывки подверглись цензуре, но ключом к толкованию является Трехсторонний меморандум о соглашении. Здесь речь идет о «Трехстороннем меморандуме о соглашении (МОА) между Министерством обороны и Министерством юстиции и разведывательным сообществом в отношении деятельности по атаке компьютерных сетей и эксплуатации компьютерных сетей», документе, который обеспечивает основу для взаимодействия военных, разведывательных и киберопераций. Таким образом, предложение о создании «управления» в рамках этого документа и записывание определенных фраз в регламенте операций может продемонстрировать, что формальные требования адаптированы к комбинированным военным и разведывательным операциям в таком масштабе. Давайте вспомним, что Сияющая симфония во многом была новаторской – напомним о масштабах и трансграничном характере, требующих военных наступательных операций на ресурсах, используемых в вполне законных целях.
Если мы дадим небольшую перспективу, то то, как выглядит кибертерроризм, не будет чем-то новым для тех, кто занимается кибер- или военными операциями. Мы имеем дело только с типичными операциями APT, такими как получение доступа к окружающей среде и извлечение данных или изменение среды, одетой в нормативную базу, похожую на кинетическую деятельность. И наконец, давайте помнить о том, что, учитывая статус терроризма как уголовного преступления, а также явление борьбы, которое требует военных действий, не всегда будет ясно определить статус действий. "Сияющая симфония" - очень хороший пример здесь - с одной стороны, у нас были операции, проводимые здесь в условиях, когда альтернативой могла быть "полицейская" акция - получение ордера на обыск и обеспечение безопасности сервера, который также использовался террористами, но с другой стороны, военная операция позволила генерировать более долгосрочные эффекты, охватывающие всю организацию.
