___

Иногда истории из инфосек индустрии бывают интереснее любого детективного романа.Что и не удивительно, поскольку они касаются реальной активности хакерских групп, связанных со спецслужбами разных стран, и их тайных войн в киберпространстве.Вчера Check Point выпустили интересный отчет, в котором раскрываются новые подробности громкого слива секретной информации АНБ США , организованного таинственной группой Shadow Brockers в 2016-2017 годах, а точнее его последней и самой разрушительной части под названием Lost in Translation.Напомним, что Shadow Brockers осуществили грандиозную утечку внутренних данных АНБ в 5 частях, связанных с деятельностью и инструментарием засекреченной хакерской группы агентства под названием Equation (мы обязательно посвятим этой группе отдельный пост).Одним из последствий Lost in Translation явился слив эксплойта Eternal Blue, использующего уязвимость в протоколе SMB Windows, что привело в дальнейшем к известной всем атаке WannaCry и ряду других.В последней части слива Shadow Brockers, в числе прочего, был интересный инструмент под названием TeDi или Territorial Dispute, который применялся Equation при проникновении в целевую систему для поиска в ней следов присутствия других хакерских групп.В некоторых случаях это давало гарантию того, что АНБ не будет вмешиваться в операцию дружественных хакеров, в остальных – то, что инструменты и методы Equation не будут обнаружены противниками.Кстати, в 2019 году Symantec выяснили, что китайская APT UPS (aka APT3 и Gothic Panda) использовала некоторые из инструментов Equation еще до их слива Shadow Brockers.Тогда исследователи пришли к выводу, что китайцы перехватили некоторые из методик АНБ в ходе атаки, которую на них организовали американцы.Так что меры профилактики, применяемые Equation вполне оправданы.TeDi содержал 45 сигнатур, каждая из которых соответствовала отдельному инструментарию.В 2018 году CrySys Labs провела большое исследование, в результате которого идентифицировала большую часть сигнатур.В частности в TeDi были найдены инструменты, принадлежащие таким APT как Turla , Uroboros , Dark Hotel и другие.Тогда CrySys Labs идентифицировала сигнатуру №37 как принадлежащую китайской группе Iron Tiger (aka APT 27 и LuckyMouse ).Теперь, спустя два года, исследователь Хуан Андрес Герреро-Сааде и Check Point показали, что сигнатура №37 принадлежит новой, ранее неизвестной кибероперации, которую они назвали Nazar.По данным CheckPoint , Nazar принадлежит иранской хакерской группе и была активна, предположительно, с 2008 по 2013 годы.Самым интересным является тот факт, что ранее этот инструмент не попадал на радары инфосек вендоров, в то время как АНБ он был прекрасно известен.Непонятно, какая именно иранская APT стоит за Nazar , прекратила ли она свое существование или работает дальше.В любом случае эта история ярко свидетельствует как много темных пятен в хакерских войнах и не все из них становятся ясны даже инфосек сообществу.