Русская Википедия:Moonlight Maze
Moonlight Maze — серия кибератак, направленных на правительственные, военные и образовательные организации США в конце 1990-х годов.
История
Атаки на государственные и частные сети начались в 1996 году. Однако только весной 1998 года подозрительная активность была замечена, после чего ФБР и Министерство обороны США начали совместное расследование. Широкая публика узнала о нём в феврале 1999 года в Конгрессе. Тогда стало понятно, что среди пострадавших ведомств были Пентагон, NASA и Министерство энергетики США, некоторые военные ведомства (в том числе Шаблон:Iw), Шаблон:Iw, Army Research Laboratory, Шаблон:Iw), частные подрядчики американских военных, а также университеты и исследовательские институты. Детали расследования были засекречены[1][2][3].
Атакующие не только применяли прокси-сервера, чтобы скрыть своё реальное местонахождение, но также устанавливали бэкдоры во взломанных сетях, чтобы возвращаться к ним в будущем. Сложность и характер атаки позволили классифицировать её как APT-атаку[2].
К концу 1999 года для расследования атаки была создана оперативная группа из 40 специалистов из правоохранительных органов, военных и правительства. В атаках обвинили российское правительство. Майкл Ватис, директор Центра защиты национальной инфраструктуры ФБР, заявил, что вторжение, по-видимому, исходило из России, хотя доказательства считались в лучшем случае косвенными. Позже небольшая группа по киберпреступлениям из Управления криминальных расследований ВВС США смогла расшифровать кодовые команды Moonlight Maze и обнаружила, что коды были набраны кириллицей, что помогло подтвердить, что за ударами стояла Россия[2].
Последствия
Расследователи, иллюстрируя масштаб утечки, говорили, что если всю похищенную информацию распечатать и сложить в стопку, то она была бы в три раза выше монумента Вашингтону[2].
На слушаниях в марте 2000 года Джейс Адамс, глава Infrastructure Defense Inc., заявил, что стоимость украденной информации идёт на десятки миллионов долларов, возможно, сотни. Оценить точно нет никакой возможности. Среды выкраденной информации были секретные военно-морские коды, данные о системах наведения ракет и другая ценная военная информация. Были похищены десятки тысяч файлов, включающих технические исследования, военные карты, конфигурации американских войск, конструкции военной техники, методы шифрования и данные, относящиеся к военному планированию Пентагона[4][2].
В результате обнаружения и расследования атаки Пентагон заказал новое криптографическое оборудование на сумму 200 миллионов долларов, а также модернизировал свои системы обнаружения вторжений и файрволы[2].
Turla
В 2017 году группировку, стоявшую за Moonlight Maze, связали с группой Turla (также известна под именами Snake, Uroburos, Venomous Bear и Krypton), которая, как предполагали, начала свою деятельность только в 2007 году[1][5].
Связать Moonlight Maze и Turla удалось во многом случайно. В 2016 году Томас Рид (Thomas Rid) из Королевского колледжа Лондона, работая над книгой Rise of the Machines, изучал события конца 1990-х. Он связался с бывшим системным администратором Дэвидом Хеджесом (David Hedges), который работал в одной лондонской компании, чьи серверы были взломаны и превращены в прокси-сервер Moonlight Maze[1][5].
В сентябре 1998 года на Хэджеса вышли сотрудники Министерства обороны США и ФБР и попросили тайно логировать всю активность заражённого сервера, через который шли атаки более чем на 1000 систем. Каждые два-три дня он копировал накопленные данные на магнитооптические диски, сдавал их британской полиции, а оттуда они уходили дипломатической почтой в США. Накопление данных шло 5 месяцев, пока хакеры не узнали благодаря утечкам в прессу о слушаниях в Конгрессе и не прекратили активность[5][1][5].
Хеджес почти 20 лет хранил у себя заражённый сервер HP 9000 и копии всех файлов, имевших отношение к атакам 1998 года. В 2016 году он передал все накопленные данные исследователям из Королевского колледжа и специалистам «Лаборатории Касперского»[1].
Исследование заражённого сервера выявило, что в атаках Moonlight Maze использовали бэкдор на базе опубликованной в 1996 году в журнале Phrack программы LOKI2. Во времена Moonlight Maze этот софт был достаточно популярным. Но со временем он практически вышел из употребления. Тем не менее исследователи посчитала код знакомым и повторно изучили образцы вредоносного софта Turla под Linux, которые были найдены в 2014 году при атаке на одно германское предприятие. Обнаружилось, что разработки Turla также базировались на LOKI2 и включали код, созданный в период между 1999 и 2004 годами[1].
Примечания