Цивилизация
Они обнаружили, что в локальную сеть проник вирус, способный заражать компьютеры, даже не подключенные к интернету, а также скрываться от обнаружения.
Программа, получившая название Sofacy, была создана с использованием русского языка, а сама разработка проходила в рабочие часы по московскому времени. Исследователи пришли к выводу, что в данном случае шпионское ПО спонсировало государство — причем речь идет о России.
Аналитики FireEye отмечают, что были удивлены, когда к ним обратилась эта компания: несмотря на то что она утратила конфиденциальные данные, взлом был произведен явно не хакерами из Китая.
Использовавшиеся для взлома инструменты были надежно защищены: они шифровали украденные данные так, чтобы они напоминали трафик из электронной почты жертвы. Как утверждают в FireEye, разработавшая их группа активна по меньшей мере с 2007 года и регулярно обновляет свои программы.
Артем Баранов, ведущий вирусный аналитик ESET Russia, cообщил «Газете.Ru», что данные, приведенные FireEye, сопоставимы с наблюдениями аналитиков ESET и других антивирусных компаний. В частности, речь идет об атаках на грузинских пользователей в августе 2008 года, когда произошел конфликт России и Грузии. В этих атаках использовалась вредоносная программа российского происхождения BlackEnergy, написанная российским автором. Механизм ее распространения похож на механизм, описываемый компанией FireEye в своем отчете.
Что касается стран Восточной Европы, наша исследовательская лаборатория уже публиковала информацию о причастности бота BlackEnergy к атакам на эти страны.
«Однако следует отделять авторов вредоносных программ от групп киберпреступников, которые их используют. Это могут быть не связанные между собой люди. Зачастую авторство вредоносного ПО установить не так просто, поэтому компании ограничиваются исследованием «следов» и метаданных атак и вредоносного кода, что и сделала FireEye», — говорит Баранов.
Так, изначальный автор BlackEnergy мог просто продавать бот своим клиентам, которые уже использовали его в своих целях.
Мы можем подтвердить и другие факты, изложенные в отчете FireEye. В частности, указываемые в их отчете идентификационные данные вредоносных программ совпадают с теми, которые мы фиксировали в схожих атаках. Группа, которая занималась распространением этой программы, маскировала ее под «отчет НАТО» или использовала эксплойты нулевого дня (0day) для установки вредоносного ПО в систему.
Компьютеры с конфиденциальной информацией часто отключают от интернета для защиты от утечек, однако для того, чтобы передавать на них данные, использовались флешки. Именно через них Sofacy и смогла попасть на защищенные компьютеры.
Авторы кода регулярно вносили в него изменения с 8 утра до 6 вечера по московскому времени, что наводит исследователей на мысль о том, что программа писалась в офисе. На большинстве компьютеров, на которых работали хакеры, использовался русский язык.
FireEye рассказали о своем открытии в отчете, опубликованном сегодня. Ранее компании, занимающиеся защитой от киберпреступности, опубликовали еще три отчета, в которых сообщалось о связи России со сложной хакерской атакой, прошедшей в 2007 году. В число целей атаки входили НАТО, правительства соседних с Россией стран, а также сотрудничающие с минобороны США компании Science Applications и Academi LLC.
Из этих исследований американские эксперты делают вывод: у России есть команда высококлассных хакеров, с помощью которой страна шпионит за другими государствами.
В прошлом месяце директор Национальной разведки США Джон Клэппер отметил, что, если говорить о кибератаках, Россия беспокоит его больше, чем Китай.
Кроме того, русских хакеров-преступников сложно отличить от хакеров, работающих на государство, так как и те и другие используют как инструменты, разработанные преступными группами взломщиков, так и инструменты, разработанные государством, добавил Клэппер. Так, США до сих пор не удалось выяснить, кто именно стоял за утечкой данных о секретной военной системе в 2008 году.
По мнению Александра Гостева, главного антивирусного эксперта «Лаборатории Касперского», в данном случае обвинения в адрес российских хакеров вполне обоснованны. «Лаборатория Касперского» на протяжении несколько лет наблюдает за этой группировкой, и есть все основания утверждать, что за ней стоят русскоязычные хакеры. Более того, летом 2014 года в одной из стран СНГ мы расследовали крупный инцидент, в котором была задействована эта хакерская группа.
