Cyber ​​Berkut окончил DDoS-трюки и стал поставщиком инструментов для кибератак

  1. Сводка анализа Recorded Future собирает информацию об угрозах в Cyber ​​Berkut уже более года, поскольку...
  2. Нажмите на изображение для увеличения
  3. Российская связь
  4. Покрытые треки на целях и распределении инструмента
  5. Нажмите на изображение для увеличения
  6. Заключение

Сводка анализа
  • Recorded Future собирает информацию об угрозах в Cyber ​​Berkut уже более года, поскольку группа перешла от внедрения сырой DDoS к распространению проприетарных инструментов кибератак и высокоуровневых утечек.
  • Временной анализ показывает, что группа хорошо скоординированных хактивистов, которые были активными в цифровом отношении с первых нескольких дней боевых действий в Украине.
  • В группу просочились документы из нескольких украинских правительственных учреждений, включая предполагаемые планы западного вмешательства в конфликт.
  • Анализ зарегистрированного будущего позволил определить темный веб-сайт, связанный с Cyber ​​Berkut, доступный по состоянию на конец мая 2015 года.
  • Cyber ​​Berkut остается активным в нескольких доменах и эффективен в своих усилиях по пропаганде в Интернете, причем вероятность кибератак на западные и украинские цели, вероятно, продолжится.

Cyber ​​Berkut остается активным в нескольких доменах и эффективен в своих усилиях по пропаганде в Интернете, причем вероятность кибератак на западные и украинские цели, вероятно, продолжится

Записано будущее собрал разведка угроз о хакерской деятельности Cyber ​​Berkut в течение более года, совпавшей с первым месяцем наземных боевых действий в Украине, когда группа начала координировать кибератаки. В данной статье представлен временной и технический анализ этих мероприятий, основанный на интеллект с открытым исходным кодом (OSINT) из Интернета , Присвоив название и логотип украинским спецназу, группа объявила себя пророссийской, антиукраинской и совсем недавно атаковала попытки Запада вмешаться в украинский конфликт. В то время как группа взяла украинские идентичности, технические связи и контекстный анализ связывают группу с Россией.

Группа начала с успешных распределенных атак типа «отказ в обслуживании» (DDoS) на нескольких Веб-сайты НАТО как только сепаратисты в физическом мире начали штурмовать военные постройки , После их первоначальных атак группа продолжала срывать веб-сайты, а в последнее время просочились конфиденциальные документы между миллиардером США Джорджем Соросом и украинским премьер-министром и президентом, в которых содержались планы по вмешательству Запада.

Нажмите на изображение для увеличения

Приведенное выше изображение временной шкалы показывает полный год активности Cyber ​​Berkut, от их первоначальных DDoS-атак до распространения средств атаки и последующих громких утечек. Группа также якобы активно занималась взломом физического домена, о чем свидетельствуют многочисленные видео, демонстрирующие взломанные рекламные щиты в украинской столице Киеве, демонстрирующие антиукраинские пропагандистские изображения «военных преступлений».

«Записанное будущее» изначально предупредил о последних утечках в течение нескольких часов, указав Cyber ​​Berkut в качестве главного субъекта угрозы. Следующий вид панели инструментов - это снимок Recorded Future Cyber, сделанный во время атаки Cyber ​​Berkut. Каждая точка данных собирается и организуется с помощью технологии Recorded Future и представляет страну или организацию-спонсора, о которой сообщалось в Интернете как о злоумышленнике или субъекте угрозы.

Каждая точка данных собирается и организуется с помощью технологии Recorded Future и представляет страну или организацию-спонсора, о которой сообщалось в Интернете как о злоумышленнике или субъекте угрозы

Разобравшись с недавней активностью, начальная болтовня вокруг атаки была сосредоточена на социальных сетях, где различные пользователи начали делиться утечкой документов. Ссылки указывали прямо на веб-сайт Cyber ​​Berkut, где размещались документы.

Ссылки указывали прямо на веб-сайт Cyber ​​Berkut, где размещались документы

Нажмите на изображение для увеличения

Документы, размещенные на сайте Cyber ​​Berkut, представляются оригинальными документами, включая «конфиденциальные» водяные знаки на стратегических планах военной помощи. Ни правительство США, ни Фонд Сороса не прокомментировали действительность документов. Группа утверждала, что документы показали, что настоящие «владельцы украинского режима» следуют своей стандартной процедуре пропаганды документов в соответствии с антизападным, пророссийским нарративом.

Российская связь

Обращаясь к собственному сайту группы для анализа, хорошей отправной точкой является их регистрационная информация. Поиск в WHOIS показывает, что группа первоначально создала домен в первые несколько дней борьбы в марте 2014 года. Сайт зарегистрирован с использованием частного фронта, что затрудняет атрибуцию, но временная информация показывает, что группа быстро установила присутствие в Интернете. поскольку скоординированное насилие только начинало происходить в автономном режиме.

Подтверждая российскую связь, группа размещает клоны своего сайта в доменах .ru и .net. Поиск WHOIS для обоих сайтов показывает, что .net был создан через два месяца после оригинального сайта, а русский сайт - через четыре месяца после.

Хотя группа имеет четкие технические связи с Россией, контекстуальные доказательства их манифестов и пропагандистских постов дают дополнительную информацию. Со своих первых постов группа публиковала сообщения на русском языке, а не на украинском, и они продолжали копировать общие русские пропагандистские взгляды в своих характеристиках врага. Например, в последнее время в мейнстриме освещаются российские «тролли», проводящие информационные операции онлайн для правительства, враги обычно ассоциируются с фашизмом и нацизмом , Cyber ​​Berkut распространяет эти взгляды по многим своим постам, причем некоторые явно пытаются связать фашистскую симпатию с просочившимися документами и заявлениями.

Например, в последнее время в мейнстриме освещаются российские «тролли», проводящие информационные операции онлайн для правительства, враги   обычно ассоциируются с фашизмом и нацизмом   ,  Cyber ​​Berkut распространяет эти взгляды по многим своим постам, причем некоторые явно пытаются связать фашистскую симпатию с просочившимися документами и заявлениями

Вверху: заявления Кибер-Беркута, повторяющие заявления российской пропаганды о фашизме.

Покрытые треки на целях и распределении инструмента

В последние месяцы группа Cyber ​​Berkut также удалила два компонента своего сайта. Одной из них была страница «Армия», используемая для привлечения краудсорсинга благодаря обещанию специального «кибер-оружия», разработанного для сайтов, нацеленных на DDoS. Инструмент был выпущен для Windows и Linux, и, несмотря на удаление страниц, ссылки для загрузки обоих инструментов остаются в живых. Ссылка Windows на сайте требовала «новой» версии, указывая на то, что группа доработала инструмент.

Вверху: ныне несуществующая страница «CyberArmy» с переведенным призывом к действию и загрузкой инструментов.

При проверке с помощью VirusTotal данные с метками времени указывали, что файлы Linux и Windows были первоначально проверены в мае 2014 года и не проверялись в течение почти года. В настоящее время ни одна антивирусная компания не помечает файлы как вредоносные. Учитывая, что многие инструменты DDoS для хактивистов часто помечаются, это указывает на то, что группа, возможно, действительно разработала инструмент или с такой же вероятностью предприняла шаг, чтобы перепаковать его, чтобы пройти антивирусную защиту.

Учитывая, что многие инструменты DDoS для хактивистов часто помечаются, это указывает на то, что группа, возможно, действительно разработала инструмент или с такой же вероятностью предприняла шаг, чтобы перепаковать его, чтобы пройти антивирусную защиту

Выше: результаты VirusTotal для инструментов атаки Linux и Windows.

Инструменты включают в себя копию Python, Tor и проприетарный инструмент с инструкциями по использованию. Группа использует Tor, чтобы скрыть соединения с «центром управления», и они подчеркивают, что это не является вредоносным для пользователей, поскольку они могут просматривать источник в любое время. Папка также содержит примечание «имя хоста» со ссылкой на сайт Onion в даркнете: epwokus5rkeekoyh.onion. Пока сайт был недоступен на момент публикации, исторический поиск в «Записанном будущем» показывает, что сайт был доступен по состоянию на конец мая 2015 года.

Пока сайт был недоступен на момент публикации, исторический поиск в «Записанном будущем» показывает, что сайт был доступен по состоянию на конец мая 2015 года

Нажмите на изображение для увеличения

Вверху: Зарегистрированные будущие результаты, показывающие, что темный веб-сайт Cyber ​​Berkut активен по состоянию на 28 мая 2015 г.

Вверху: скриншоты инструмента загрузки и прилагаемые инструкции по использованию.

Глядя на исходный код инструмента, группа использует различные версии Mozilla Firefox и Opera в качестве пользовательских агентов, когда цели DDoS. Самая последняя версия этого инструмента была скомпилирована примерно за неделю до начала прямой загрузки для всех веб-сайтов Cyber ​​Berkut.

Вверху: снимок экрана исходного кода инструмента атаки с конкретными пользовательскими агентами.

Вверху: анализ инструмента PeStudio, показывающий дату создания и подписи.

Другой страницей, размещенной на веб-сайтах Cyber ​​Berkut, была так называемая страница «Предатели», в которой перечислены документы и личные профили целевых украинцев. Документы были направлены на то, чтобы показать военную и корпоративную коррупцию в Украине, в то время как личные профили были целевыми атаками на видных людей, включая главу служб безопасности и крупных политиков.

Документы были направлены на то, чтобы показать военную и корпоративную коррупцию в Украине, в то время как личные профили были целевыми атаками на видных людей, включая главу служб безопасности и крупных политиков

Вверху: Снимок экрана ныне несуществующей страницы «Предатели» с просочившимися документами и личными целями.

Личные профили включают фотографии, образование, историю работы и полный спектр обвинений от педерастии до политической коррупции, указанных в качестве «фактов». В большинстве профилей информация размещается в виде пропагандистских видео против отдельных лиц.

Заключение

Cyber ​​Berkut - это последняя известная группа хактивистов, появившаяся, поскольку правительства и негосударственные субъекты продолжают участвовать в конфликтах в Интернете. Хотя хактивизм в основном состоял из грубых порч и низкоуровневых DDoS-атак, эта группа демонстрирует эволюцию в прямом распространении проприетарных инструментов и быстрой координации для установления цифрового присутствия с первых дней наземных боев.

Как взломы рекламных щитов, так и громкий характер утечек документов также показывают способность недорогих быстрых атак наносить ущерб там, где обычные методы не могут этого сделать. В то время как боевые действия были далеко от Киева, и правительственные системы не могли быть физически повреждены, Cyber ​​Berkut смог украсть критическую информацию и информацию о проектах вдали от линии фронта.

Хотя атрибуция кибер-акторов затруднена, технический анализ доменов группы и контекст их пропаганды показывают четкие связи с Россией. В то время как российское правительство может участвовать или не участвовать, риторика и политическая перспектива, очевидная в кибер-беркутских взломах, тесно связаны с мнениями, высказанными в российских СМИ. Cyber ​​Berkut по-прежнему эффективен в Интернете, и мы можем ожидать от них новых атак в ближайшие дни украинского конфликта.

Новости автомира
Не заводится Ниссан Альмера Классик, N16 и G15 на холодную, стартер крутит
1225 Просмотров Если ваш автомобиль Альмера N16 2016 года выпуска не заводится на холодную и на горячую, то причина может скрываться как в электрической цепи, так и в топливной системе. И причин может

Почему не заводится ваз 2106
Опубликовано: 02.11.2017 НЕ ЗАВОДИТСЯ МАШИНА ЧТО ДЕЛАТЬ сами с ключами Вообщем машинка постояла 2 дня. Прихожу - пробую завести, а не заводится. Посмотрел подумал. Посомтрел топливный фильтр - сухой.

Приора не заводится: причины и пути их устранения
Проблемы с запуском мотора автомобиля Лада Приора возникают в случае неисправности одного либо нескольких элементов системы зажигания машины. Повод для их появления – искра, необходимая для воспламенения

Плохо заводится на горячую карбюратор ВАЗ 2109
Плохой ГОРЯЧИЙ ЗАПУСК летом!!! А дело все в Бензине! ПЛАВАЮТ холостые обороты, ДОЛГО заводится --- ПОДКАПЫВАЕТ во вторую камеру! Скажи НЕТ парам бензина и ПЛОХОМУ ЗАПУСКУ в жару! Доработка крыши кастрюли!

Kia Spectra не заводится и стартер не крутит (Rio и Ceed): причины и решение проблемы
Стартер – один из важнейших узлов автомобиля. Благодаря ему осуществляется запуск двигателя . Поэтому для успешного запуска нужно следить за его исправностью. Если Киа Спектра не заводится, стартер

Киа Рио не заводится, причины и их устранение
Многим владельцам автомобилей известна эта ситуация, когда необходимо срочно выехать, а двигатель никак не хочет запускаться. Причем это может случиться не только в холодную пору года. От подобной проблемы

Ответы@Mail.Ru: ВАЗ-2109 Есть искра, и заливает свечи, но машина не заводится. В чем проблема??
Остальные ответы Алексадр Хохленко Ученик (233) плохо что карбюратор, свечи заливает большей обьём подачи бензина. смотри дросельную заслонку и винт холостого

ВАЗ-2107. Инжектор не заводится: возможные причины и способы решения
Несмотря на развитие автоиндустрии, классические модели ВАЗ до сих пор пользуются огромным спросом в странах СНГ. Последние модели «Классики», а именно ВАЗ-2107, оснащались инжекторной системой впуска.

Не заводиться!
Всем доброго дня!!! Может кто сталкивался с такой проблемой!? Honda HR-V 2000г. Была сырая погода, подъехал к дому заглушил, через

Не заводится машина: что делать, основные причины и пути их решения
Если с самого утра возникают какие-либо проблемы с машиной - весь день может быть испорчен. Особенно если она не заводится. К тому же из-за этого можно опоздать на важную встречу, работу, в аэропорт

Все новости
Новости партнеров