В связи с тем, что публикация отчета Group-IB, посвященного группе хакеров MoneyTaker, 11 декабря 2017 года, содержит факты о конференции ZeroNights, вводящие в заблуждение, считаем необходимым дать официальный комментарий от компании Digital Security, организатора данного мероприятия.
Как видно на скриншотах текстов из Телеграм-канала Group-IB и отчета, выложенного на сайте компании и доступного по ссылке: https://www.group-ib.ru/blog/moneytaker, в аналитике содержится фраза: «Важными «находками», позволившими обнаружить связи между преступлениями, стали программы для повышения привилегий, скомпилированные на основе кодов с российской конференции ZeroNights 2016». Эти слова вызвали волну вопросов и непонимания в среде специалистов по ИБ и представителей СМИ, поскольку позволяли сделать выводы о том, что злоумышленники получили исходный код для зловредного ПО на конференции. Ниже мы даем комментарии исследовательского центра Digital Security в хронологическом порядке о том, как и когда на самом деле произошла публикация исходных кодов.
Итак, аргентинским исследователем Enrique Elias Nissim из IOActive был найден способ обхода механизма рандомизации в ядре Windows 10 с помощью атаки по времени (Timing attack).
Далее, он выступил с докладом, посвященным данной находке, в октябре 2016 на Ekoparty #12 (26 октября 2016 - 28 октября 2016): Enrique Nissim - I Know Where Your Page Lives: De-randomizing the Windows 10 Kernel, https://www.youtube.com/watch?v=WbAv2q9znok.
Исполняемый файл назывался "ASLRSideChannelAttack.exe", а не "SLRSideChannelAttack.exe", и он был скомпилирован 23 октября 2016 (см. приложение). ZeroNights 2016 состоялась 17-18 ноября, (https://2016.zeronights.ru), а исходный код метода обхода ASLR в репозиторий IOActive был выложен уже после выступления на ZN2016 исследователем 23 ноября 2017 (коммит f9e0e7d3e1eb57f82b16226746d36629b97aa804): https://github.com/IOActive/I-know-where-your-page-lives/commit/f9e0e7d3e1eb57f82b16226746d36629b97aa804 (см. приложение). Там же доступен и исполняемый файл "ASLRSideChannelAttack.exe", а не "SLRSideChannelAttack.exe", имеющий дату компиляции - 23 октября 2016 (см. приложение).Подчеркнем, что речь идет не о коде вируса, а о методе обхода рандомизации, который, возможно, использовался в ПО злоумышленников (MoneyTaker).
Мы рекомендуем специалистам компании Group-IB внимательнее относиться к фактчекингу при создании своих отчетов.
Digital Security – одна из ведущих российских консалтинговых компаний в области информационной безопасности. Предоставляет широкий спектр услуг в области оценки защищенности, включая комплексный аудит ИБ, тестирование на проникновение, участие в процессах безопасной разработки приложений, аудит защищенности бизнес-приложений (десктопные, веб-, мобильные приложения), анализ защищенности блокчейн-проектов и ИТ-инфраструктур. С 2003 года клиентами Digital Security стали более 500 компаний из России и 25 стран мира. Собственный исследовательский центр, открытый в 2007 году, специализируется на поиске и исследовании уязвимостей в различных приложениях и системах, обладает множеством официальных благодарностей от Oracle, SAP, Apache, IBM, Alcatel, VMware, HP, Adobe, Microsoft, Cisco и других лидеров индустрии ИТ. Подробнее о компании и услугах: http://www.dsec.ru/.
Как видно на скриншотах текстов из Телеграм-канала Group-IB и отчета, выложенного на сайте компании и доступного по ссылке: https://www.group-ib.ru/blog/moneytaker, в аналитике содержится фраза: «Важными «находками», позволившими обнаружить связи между преступлениями, стали программы для повышения привилегий, скомпилированные на основе кодов с российской конференции ZeroNights 2016». Эти слова вызвали волну вопросов и непонимания в среде специалистов по ИБ и представителей СМИ, поскольку позволяли сделать выводы о том, что злоумышленники получили исходный код для зловредного ПО на конференции. Ниже мы даем комментарии исследовательского центра Digital Security в хронологическом порядке о том, как и когда на самом деле произошла публикация исходных кодов.
Итак, аргентинским исследователем Enrique Elias Nissim из IOActive был найден способ обхода механизма рандомизации в ядре Windows 10 с помощью атаки по времени (Timing attack).
Далее, он выступил с докладом, посвященным данной находке, в октябре 2016 на Ekoparty #12 (26 октября 2016 - 28 октября 2016): Enrique Nissim - I Know Where Your Page Lives: De-randomizing the Windows 10 Kernel, https://www.youtube.com/watch?v=WbAv2q9znok.
Исполняемый файл назывался "ASLRSideChannelAttack.exe", а не "SLRSideChannelAttack.exe", и он был скомпилирован 23 октября 2016 (см. приложение). ZeroNights 2016 состоялась 17-18 ноября, (https://2016.zeronights.ru), а исходный код метода обхода ASLR в репозиторий IOActive был выложен уже после выступления на ZN2016 исследователем 23 ноября 2017 (коммит f9e0e7d3e1eb57f82b16226746d36629b97aa804): https://github.com/IOActive/I-know-where-your-page-lives/commit/f9e0e7d3e1eb57f82b16226746d36629b97aa804 (см. приложение). Там же доступен и исполняемый файл "ASLRSideChannelAttack.exe", а не "SLRSideChannelAttack.exe", имеющий дату компиляции - 23 октября 2016 (см. приложение).Подчеркнем, что речь идет не о коде вируса, а о методе обхода рандомизации, который, возможно, использовался в ПО злоумышленников (MoneyTaker).
Мы рекомендуем специалистам компании Group-IB внимательнее относиться к фактчекингу при создании своих отчетов.
Digital Security – одна из ведущих российских консалтинговых компаний в области информационной безопасности. Предоставляет широкий спектр услуг в области оценки защищенности, включая комплексный аудит ИБ, тестирование на проникновение, участие в процессах безопасной разработки приложений, аудит защищенности бизнес-приложений (десктопные, веб-, мобильные приложения), анализ защищенности блокчейн-проектов и ИТ-инфраструктур. С 2003 года клиентами Digital Security стали более 500 компаний из России и 25 стран мира. Собственный исследовательский центр, открытый в 2007 году, специализируется на поиске и исследовании уязвимостей в различных приложениях и системах, обладает множеством официальных благодарностей от Oracle, SAP, Apache, IBM, Alcatel, VMware, HP, Adobe, Microsoft, Cisco и других лидеров индустрии ИТ. Подробнее о компании и услугах: http://www.dsec.ru/.
.jpg)
.png)