Минобороны США будет загружать на VirusTotal вредоносы из арсенала APT-группировок

image

Теги: Киберкомандование США, VirusTotal, APT, вредоносное ПО

Данные будут доступны в новой учетной записи CNMF в сервисе VirusTotal, а также через аккаунт USCYBERCOM в Twitter.

Подразделение Cyber National Mission Force (CNMF), входящее в состав Кибернетического командования США (US Cyber Command, USCYBERCOM), запустило новый проект , в рамках которого Министерство обороны страны будет размещать на VirusTotal незасекреченные образцы вредоносного ПО, используемого в атаках различных APT-группировок. Данные будут доступны в новой учетной записи CNMF в сервисе VirusTotal, а также через аккаунт USCYBERCOM в Twitter, где ведомство пообещало публиковать ссылки на все свежие загрузки.

Новая инициатива получила неоднозначную реакцию со стороны ИБ-сообщества. Некоторые эксперты поддержали проект, но нашлись и те, кто охарактеризовал его как новую попытку «обличить и посрамить» западных правительств, которые в последний год предпринимали активные действия по раскрытию и обвинению киберпреступных группировок, предположительно связанных с Китаем, РФ, Ираном и Северной Кореей.

Вместе с тем ряд экспертов больше интересует вопрос, каким образом новая инициатива повлияет на будущие операции APT-группировок. Как отметил в интервью изданию ZDNet аналитик компании ESET Алексис Дорейс-Джонкас (Alexis Dorais-Joncas), раскрытие хакерских инструментов не означает, что они автоматически станут полностью бесполезными, скорее, злоумышленники просто адаптируются.

«Я бы сказал, разоблачение полных [тактик, техник и процедур] наряду с публикацией образцов вредоносного ПО нанесет больший вред атакующим, поскольку им придется изменить весь процесс атаки (механизмы распространения и заражения, сохранение присутствия, протоколы связи и т.д.). Не похоже, чтобы USCYBERCOM предоставляло такой контекст вместе с образцами, которыми они делятся, так что это может ограничить преимущества их инициативы», - подчеркнул специалист.

Кроме того, эксперты выразили опасения по поводу используемого ведомством термина «незасекреченное вредоносное ПО», под которым может подразумеваться не только рекламное ПО и классические загрузчики, но и более опасные угрозы.

«Эта попытка вполне может подвергнуть нас новым угрозам, требующим серьезного анализа», - считает специалист FireEye Джон Халткуист (John Hultquist). С данной точной зрения согласен и Дорейс-Джонкас.

«Я бы тоже не полагал, что незасекреченное вредоносное ПО автоматически будет уже известно исследователям», - добавил он.


Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.