Русские в Даркнете. Часть 1

 В американских СМИ, никак не утихнет шумиха вокруг вмешательства России, в выборы в США в 2016 году. Учитывая растущую обеспокоенность, по поводу достоверности избирательного процесса в США, а также, по причине того, что не за горами новые выборы, аналитики DarkOwl решили, что анализ российского присутствия в Даркнете, может дать представление о том, как проводятся операции такого масштаба. 

Русские в числах

   Российские анонимные веб-сайты составляют более 36% DARKINT (база сайтов Даркнета), собранных DarkOwl. DarkOwl успешно проиндексировал более 300 миллионов страниц, как в Даркнете, так и в Клирнете, на восточнославянском русском языке. Российские форумы по хакерству и кардингу, доступные в Клирнете, составляют 92% собранного веб-контента DarkOwl.

В Tor значительно больше русских скрытых сервисов, чем сайтов на i2p или Zeronet, что говорит о том, что российские пользователи Даркнета, предпочитают Tor вместо i2p. На русскоязычные веб-сайты приходится только 10% контента i2p. Активность русских в анонимной сети Zeronet ничтожна.

Откуда мы знаем, что русские были вовлечены?

   Введите «русские хакеры» в любую наземную поисковую систему, и вы, несомненно, получите миллионы результатов, о злонамеренных кибер-операциях из России, начиная с подрыва процесса демократических выборов и заканчивая атаками на энергосистему США. В самых последних обвинительных актах, выдвигались обвинения против семи российских разведчиков, которые взламывали антидопинговые агентства, используя современное оборудование для атаки на беспроводную (wi-fi) сеть организаций.

Цель

Техника

2014-2016 Взлом американских коммунальных служб

Скомпрометированные сетевые учетные данные, с помощью фишинга по электронной почте

2016 Выборы в Демократический национальный комитет

Уязвимость поставщика программного обеспечения

Государственная регистрация избирателей в США

SQL инъекция

Всемирное антидопинговое агентство

Сниффинг беспроводной сети

Институт Хадсона

Фишинг домена

   Когда вы копаетесь в тени форумов и чатов, доступных только через Даркнет, вы понимаете, что только исследователи безопасности и правоохранительные органы, активно обсуждают и публикуют сообщения об уязвимостях критических систем и инфраструктуры США. Для того, чтобы узнать, чем занимаются русские, нужны ключевые слова, связанные с технической спецификой инструментов и методов, необходимых для проведения таких сложных операций. 

   В сообщениях, о недавних хакерских атаках антидопинговых агентств (WADA) говорится, что россияне использовали беспроводное устройство для сниффинга (сниффер – анализатор трафика), установленное в задней части автомобиля оперативников, для доступа к сетям WADA. Хакеры также использовали различные вредоносные программы, включая Gamefish, X-tunnel и код Chopstick, большинство из которых были замечены ранее и использовались в других российских кибератаках.

Российская мобильная атака ГРУ Wi-Fi (любезно предоставлено Министерством обороны Нидерландов)

Обсуждение на российском форуме о том, как использовать такое устройство для перехвата паролей Wi-Fi сетей

   Как видно из недавних атак против американских аналитических центров, Института Хадсона и Международного республиканского института, русские хорошо известны тем, что они используют spear-fishing атаки, основанные на тщательной разведке и хорошо организованной операции по сбору разведданных, перед началом подрывной деятельности. Spear-phishing - это тип взлома, основанный на социальной инженерии, похожий на фишинг электронной почты, но направленный на конкретного человека или группу, внутри сети или организации.

   Просочившийся документ АНБ показал, как кибер-офицеры из России, в 2016 году, отправляли сотрудникам избирательных комиссий электронные письма, с вложением MS Word, зараженным трояном на скрипте Visual Basic, который запускает программу открытия связи, обратно на IP-адрес хакеров.

Подробные тактические приемы, методы и процедуры, используемые русскими для атаки на официальных лиц США, на выборах в 2016 году (любезно предоставлено The Intercept)

  Огромный объем скомпрометированных учетных данных электронной почты, размещенных для продажи на российских рынках и хакерских форумах, вызывает тревогу. 103 домена .gov, содержат фразу «выборы» в их доменном имени (*@election*.gov) и могут быть сервером, для организации выборов.

   В ходе взлома системы регистрации избирателей в 2016 году, участники атаки, использовали простые, «белые» инструменты поиска уязвимостей, такие как Acunetix, наборы для обнаружения и эксплуатации сетей, такие как DirBuster, SQLMap и SQLSentinel. Русскоговорящий хакер, Распутин, печально известен тем, что использовал запатентованный эксплойт SQL-инъекции, для успешного взлома и сбора учетных данных с серверов комиссии по оказанию помощи в выборах США (EAC), включая учетные записи с административными привилегиями.

   За последние несколько лет, миллионы регистрационных данных избирателей США с полными именами, адресами и данными голосования, появились в продаже на хакерских форумах и рынках Даркнета. DarkOwl собрал данные о более чем 30 штатах, стоимостью от 250 до 5000 долларов США за штат, включая: Колорадо, Огайо, Коннектикут, Флорида, Мичиган, Северная Каролина, Нью-Йорк, Пенсильвания, Род-Айленд, Вашингтон, Канзас, Вайоминг, Оклахома, Мэриленд, Арканзас , Невада, Монтана, Луизиана, Делавэр, Айова, Юта, Орегон, Южная Каролина, Висконсин, Джорджия, Нью-Мексико, Миннесота, Кентукки, Айдахо, Теннесси, ЮСообщение на форуме Даркнета, с содержимым базы данных реги

   Многие из опубликованных государственных баз данных устарели, т.е. информация о регистрации избирателей в Алабаме и Аляске, от 2015 года; тем не менее, многие из этих баз данных, предлагались на печально известном рынке Alphabay в 2016 году.