How to become an author
Search
Write a publication
Pull to refresh

Comments 36

В ЦРУ умеют использовать авторан с флешек для запуска троянов?
Или я не понимаю всей серьёзности показного вектора атаки?
Total votes 2: ↑1 and ↓1 0
В данном случае, судя по описанию, либо агент сам запускал плеер с флешки (пришел подрядчик, хочет послушать музыку), либо носители использовали в рамках социальной инженерии (тот же подрядчик, например, дает сотрудникам заказчика послушать музыку со своей флешки).
This comment wasn’t rated yet 0

Наверное послушать музыку с помощью плеера записанного на флешке, а не просто послушать музыку со своей флешки.
Наверное формат музыки не поддерживается стандартным ПО, типа FLAC...

This comment wasn’t rated yet 0
То есть всё ещё страшней, даже автоматизации нет.
This comment wasn’t rated yet 0

В каком смысле — страшнее? Лично мне кажется, что тут ЦРУ все делало технически правильно, потому что зачастую остаться вне подозрений важнее чем получить данные. Пока ты вне подозрений — количество попыток не ограничено.

Total votes 5: ↑5 and ↓0 +5
Да. Тоже понравилась логика.
Это не вирус и не троян — у него нет задачи распространяться. Наоборот, он неплохо защищен от копирования.
Total votes 1: ↑1 and ↓0 +1
это как раз троян :-)
самостоятельно распространяться у трояна задачи обычно и нет :-)
This comment wasn’t rated yet 0
Скажем так я ожидал прочитав кусок заголовка «Rain Maker для сбора сведений с закрытых объектов» и ЦРУ я ожидал увидеть какое то хитрое решение, с использованием не документированных возможностей. Какую нибудь систему для передачи информации путём модулирования работы ШИМа подсветки монитора, ну или типа того.
А не как что приходит понимаешь ли агент(на закрытый объект), садится за комп вставляет флешку запускает с неё экзешник(всё ещё на закрытом объекте) чтобы якобы послушать музыку(меломан хренов со своей музыкой на флешке) при помощи VLC(честно я не знаю как там у них а, но за свою жизнь я видел крайне мало случаев использования данного плеера для прослушивания музыки). В которой настроил копирование файлов по маске.
PS. Извините я наверно сильно зажрался, но просто не впечатлило, хотя может при этом и неплохо работает.
Total votes 2: ↑2 and ↓0 +2

Я тоже ожидал хитрых решений. Но разве вы не видите, что описанное тут решение, хоть и не столь хитрое — очень изящное?


Флешка — совершенно не подозрительная. Если ее заметит охрана и отберет — всегда есть отмазка: попросту забыл ее в кармане. Даже если флешку не отдадут, а будут изучать — то практически любая проверка покажет, что там музыка и совершенно обычный плеер. И даже если после проверки ее не отдадут — не страшно, это расходный материал.


И, к слову, не обязательно ее проносить самому. Можно случайно "потерять" ее в доме "друга", а через неделю спросить его, не находил ли "друг" флешку с музыкой. Или можно придумать что-то еще. В конце концов, социальная инженерия — это основная специальность агентов ЦРУ.

Total votes 3: ↑3 and ↓0 +3
Про последний абзац, учитывая что никакой функции вируса/трояна нет. Друг должен найти флешку, и пожелать воспользоватся плеером, причём на работе ну маловероятно.
Total votes 1: ↑1 and ↓0 +1

Почему маловероятно-то? Надо просто выбрать друга — меломана, который слабо знаком с ИБ. И часть музыки должна быть в формате, который виндовым Media Player не воспроизводится.

This comment wasn’t rated yet 0
Странное сочетание меломан и пользуется Media Player. И понесет чужую флешку на работу а не скопирует себе. Но всякое конечно бывает…
This comment wasn’t rated yet 0

Так надо по дороге на работу ее подбрасывать. А Media Player он в этом гипотетическом случае не то чтобы пользуется, просто другого плеера на рабочем компе не стоит :)

This comment wasn’t rated yet 0
Я думаю, речь идет не о музыке: исламисты обожают слушать проповеди/песнопения/наставления. Передаются эти вещи как раз-таки из рук в руки.

Использование конкретного плеера можно замотивировать либо наличием плейлистов либо наличием титров/аудиодорожек либо удобной локализацией под родной язык.
Total votes 4: ↑4 and ↓0 +4

Нет, это мною в виду не имелось. Но тоже является возможным вариантом.

This comment wasn’t rated yet 0
Да, в этом и фишка. Все максимально просто и фунционально. Нет никакого rocket science, но при этом антивирус этот софт не должен задетектить. Были бы исходные коды, можно было бы оценить их качество, а так судя по документации инструмент точно использовали, есть User Guide, Developer Notes, вышло несколько версий софта.
Total votes 2: ↑2 and ↓0 +2
Авторан для флешек можно отключить.
This comment wasn’t rated yet 0

Ну если агент может вставить флешку и запустить с неё exe, то значит, что в организации нет службы безопасности. А если нет службы безопасности, то зачем все так усложнять?

Total votes 5: ↑5 and ↓0 +5
Думаю речь идет не всегда про агента а скорее социальную инженерию
Если Вы смотрели недавний сериал Мистер Робот, то там как раз разыгран подобный случай.
Для попаданию в закрытую базу полицейского управления хакеры разбросали вокруг здания флешки,
загрузив которую глупый сотрудник и позволил бы им попасть в закрытую сеть и скачать что нужно пока
идет проигрывание музыки.
This comment wasn’t rated yet 0
Этот тот веселый сериал для детей, где в начале чувак
— блэчит ИЗ ДОМА
— а потом в приступе паники сверлит жесткие диски дрелью???

Хороший пример, показательный)
This comment wasn’t rated yet 0
UFO just landed and posted this here

Во-первых, агент — специалист по людям, а не по компьютерам.
Во-вторых, плеер еще можно запустить незаметно, если повезет. А искать вручную значит сидеть за компом.
В-третьих, если флешку с файлами досмотрят на выходе — агент будет провален. А флешку с музыкой можно с извинениями отдать охране.

Total votes 2: ↑1 and ↓1 0
UFO just landed and posted this here
Расскажу вам про DLP которые делают скриншоты, журналирование и теневое копирование фаловых операци со съемными носителями.
Total votes 2: ↑0 and ↓2 -2
Вначале подумал, что будут говорить про Rainmeter.
This comment wasn’t rated yet 0
почему-то вспомнилось:
Уважаемый получатель, Вы только что получили вирус «ТАЛИБАН». Поскольку мы в Афганистане не так уж и продвинуты в технологиях — этот вирус следует исполнять вручную. Пожалуйста, перешлите это письмо всем, кого знаете, и уничтожьте все файлы на Вашем жестком диске собственноручно. Большое спасибо за помощь. Абдулла, хакер из Талибана.

сорри за оффтопик
Total votes 5: ↑4 and ↓1 +3
Нда. Перевести proxy хоть попытались (хоть и неудачно — какая заглушка? посредник же!), то «живучести» и «вредоносному коду» повезло меньше…
Total votes 1: ↑0 and ↓1 -1
Учитывая, что компьютеры хранящие более менее важную информацию серьёзно ограничивают подключение внешних устройств, а особо параноидальные даже физически устраняют USB-порты встаёт вопрос: какова целевая аудитория и информация для сего «шедевра»?
Или топ службы тоже балуются кардингом, а может и стимом не брезгуют?)) Хотя, в прочем, такой обвес вполне сгодится на пополнение своей же медиатеки, что бы в следующий раз агенту было, что нового послушать…
Total votes 2: ↑1 and ↓1 0
Не все далеко не все. Многие специалисты старой закалки полагают, что простого отключения от сети хватит. Да и много ли молодых или компетентных CISO в этой стране и других странах 2 и 3 мира?
Total votes 2: ↑1 and ↓1 0
Ну да… Мы же палкой землю копаем. Весело. По телевизору " русские хакеры ", которые все и вся ломают, здесь уже страна 3 мира оказывается… Думаю истина где-то по середине. Но факты, остаются фактами. Сомнительно в этом контексте вообще употребление слова «специалист» тогда, или Вы имели ввиду специалистов по уборке помещений? А много их или мало… повторю — там где действительно что-то интересное хранится существуют административные меры, режимные мероприятия и прочее. И спрашивать, что там и кто полагает не станут. Скажут как надо и будь добр. Или не будь, но тогда жди когда по шапке получишь.
Total votes 1: ↑1 and ↓0 +1
«Специалистов» таких обычно и не спрашивают. В таких местах, где есть важная информация есть административные меры и прочие режимные мероприятия.
И считают они отключение провода или не считают — ни кто и слушать не станет.
Не все далеко не все

Это уже абсурд, если рассматривать комментарий Beowulf в контексте статьи, то он безусловно прав, в любом гос. учреждении, где есть хоть сколько-нибудь важная информация, делается именно так, как и описано в комментарии, а в некоторых, если вы просто попытаетесь воткнуть флешку в usb, то через пару минут уже будете отвечать на нелицеприятные вопросы.
А в коммерции покушаться на мелкую фирму никто не будет, а крупные защищают не хуже гос. учреждений, а иногда и лучше.
Total votes 1: ↑0 and ↓1 -1
Software restriction policies появились в XP 15 лет назад, да кому это интересно при настройке ИБ в организации?

Заголовок
This comment wasn’t rated yet 0
Исходя из:
К сожалению, проверить правдивость данных, опубликованных в архиве Wikileaks нет возможности

Это остается всего лишь очередной догадкой.
Ах да и еще одно, этому РэйнМейкеру далеко до СтаксНета, который в свое время приостановил ядерную программу Ирана, а попалился только из-за спешки израильских спецслужб.
Total votes 1: ↑1 and ↓0 +1
Нормальный узкоспециализированных инструмент.

1. Тебя вербуют, дают денег или идеологически обрабатывают, выдают задание вынести определённые документы.
2. Новоявленный шпион и предатель родины немножко очкует, да и вообще в ИТ не силён, просто имет --доступ--.
3. Ему говорят донт ворри май рашён френд, держи специальную флешку, которая сделает все за тебя. Ты главное сиди и наслаждайся мьюзик.
Total votes 2: ↑1 and ↓1 0
Sign up to leave a comment.

Your account

Sections

Information

Services

Support
© 2006–2024, Habr