Калифорнийская компании FireEye, специализирующаяся на вопросах кибербезопасности и кибершпионажа, расследовала, кто несколько месяцев назад пробрался в корпоративную сеть одной из американских компаний, где хранились секретные военные данные. Американские специалисты обнаружили, что в локальную сеть проник вирус, способный заражать компьютеры даже без подключения к Глобальной сети, а также скрываться от обнаружения.
Вредоносную программу американцы прозвали Sofacy. Она была создана с использованием русского языка, а сама разработка проходила в рабочие часы по московскому времени. Именно поэтому американские «пинкертоны» пришли к выводу, что в данном случае шпионское программное обеспечение спонсировали власти России, организовав разветвленную систему кибершпионажа.
Аналитики FireEye отмечают, что были удивлены, когда к ним обратилась потерпевшая компания, утратившая конфиденциальные данные. По их мнению, взлом был произведен явно не китайскими хакерами. Использовавшиеся для взлома инструменты были надежно защищены разработчиками бота. Украденные данные зашифровывали так, чтобы они напоминали трафик из электронной почты жертвы. Как заявляют в FireEye, разработавшая их преступная группа вела активную вредоносную деятельность приблизительно с 2007 года и по сегодняшний день регулярно обновляет свои программы.
Результаты расследования подтверждают и в самой России
Как утверждает Артем Баранов, ведущий вирусный аналитик ESET Russia, международного разработчика антивирусного программного обеспечения и решений в области компьютерной безопасности, приведенные американцами данные совпадают с наблюдениями аналитиков его компании и других компаний, борющихся с вредоносными компьютерными вирусами. Например, при кибератаках на грузинских пользователей во время военного конфликта России и Грузии в августе 2008 года использовалась вредоносная программа российского происхождения BlackEnergy, чей механизм распространения схож с алгоритмом, описанным в отчете FireEye.
Ранее ESET уже сообщала о причастности бота BlackEnergy к атакам на страны Восточной Европы. Вполне вероятно, что автор BlackEnergy попросту продал свой бот бывшим клиентам, которые уже использовали его в своих преступных целях.
— Мы можем подтвердить и другие факты, изложенные в отчете FireEye. В частности, указываемые в их отчете идентификационные данные вредоносных программ совпадают с теми, которые мы фиксировали в схожих атаках. Группа, которая занималась распространением этой программы, маскировала ее под «отчет НАТО» или использовала эксплойты нулевого дня (0day) для установки вредоносного софта в систему, — подытожил Баранов.
Разведданные можно получать при помощи обычной флешки
Электронные машины с конфиденциальной информацией часто отключают от сети для защиты от утечки информации. Однако для того, чтобы передавать на них данные, могли использоваться и флеш-накопители памяти. Скорее всего, через них Sofacy и попала на защищенные компьютеры. Авторы вредоносного кода регулярно вносили в него изменения с 8 утра до 6 вечера по московскому времени, а на большинстве хакерских компьютеров использовался именно русский язык. Все это навело интернет-сыщики на мысль, что программа вероятно писалась в российском офисе.
FireEye отчитались о своем открытии совсем не давно. До этого компания опубликовали еще три отчета, в которых говорилось о сложной хакерской атаке, которая прошла еще в 2007 году. Тогда в число целей атаки входили страны-члены НАТО, соседствующие с Россией государства, а также правительства, сотрудничающие с Министерством обороны США, компаниями Science Applications и Academi LLC. Американские эксперты по вопросам кибербезопасноти утверждают, что в России есть группа высококлассных хакеров, с чьей помощью власти организовали систему кибершпионажа за другими странами.
Известно, что Россия никогда не выдавала третьим странам своих граждан, обвиненных в хакерских атаках. Это, по мнению американской стороны, все равно, что содействие хакерским взломам и атакам. Из-за обмена санкциями между Россией и многими западными странами, отношения между сторонами в сфере борьбы с киберпреступностью в последнее время охладели и значительно усугубились.
В свою очередь, директор Национальной разведки США Джон Клэппер высказал мнение, что, если говорить о кибератаках, то Россия беспокоит его даже больше, чем Китай. Кроме того, российских киберпреступников и интернет-мошенников трудно отличить от хакеров, работающих на правительство, т.к. и те и другие используют одинаковые инструменты: как разработанные преступными синдикатами взломщиков, так и инструменты, разработанные государством, добавил Клэппер. Так, к примеру, США до сих пор не выяснили, кто именно стоял за утечкой данных из секретной военной системы, случившейся шесть лет назад.
«Лаборатория Касперского» подтверждает
В свою очередь, главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев считает, что в данном случае обвинения в адрес хакеров из России вполне обоснованы. Гостев также добавил, что «Лаборатория Касперского» несколько лет подряд отслеживает «работу» этой группировки. У специалистов лаборатории есть все основания утверждать, что за ней стоят именно российские или русскоязычные нарушители киберпространства, утверждает специалист.
Источник: «Газета.Ru»
- Like
- Digg
- Del
- Tumblr
- VKontakte
- Buffer
- Love This
- Odnoklassniki
- Meneame
- Blogger
- Amazon
- Yahoo Mail
- Gmail
- AOL
- Newsvine
- HackerNews
- Evernote
- MySpace
- Mail.ru
- Viadeo
- Line
- Comments
- Yummly
- SMS
- Viber
- Telegram
- Subscribe
- Skype
- Facebook Messenger
- Kakao
- LiveJournal
- Yammer
- Edgar
- Fintel
- Mix
- Instapaper
- Copy Link
