Специалисты исследовательской компании FireEye опубликовали отчет о постоянно действующей группе хакеров (они назвали ее APT28), целью которой являются правительственные и военные организации и спецслужбы стран, входящих в сферу интересов России. У FireEye нет прямых доказательств — имен и стоящих за атаками организаций. Код используемых группой вредоносных программ содержит русскоязычные фрагменты, а время их компиляций совпадает с дневным временем на европейской части России. Лишь девять из 140 полученных FireEye с 2007 по 2014 г. образцов программ были скомпилированы во время, когда в Москве была ночь, следует из отчета.
Атаки были целенаправленными — сотрудники атакуемых организаций получали письма с вредоносным вложением с почтовых адресов, домены которых были похожи на настоящие домены. Например, вместо адреса штаб-квартиры спецопераций НАТО (nshq.nato.int) хакеры пользовались адресом nato.nshq.in. Целями APT28 были МВД и минобороны Грузии, а также журналисты, освещающие события на Кавказе, восточноевропейские (в частности, польские) правительственные и военные организации, НАТО и другие европейские организации в сфере безопасности, а также другие организации со всего мира.
В середине октября исследовательская компания iSight Partners также обнаружила группу хакеров, которую они посчитали российской и назвали SandWorm (песчаный червь) из-за обнаруженных в именах файлов и программном коде ссылок на научно-фантастическую сагу «Дюна». К России группа была отнесена из-за ряда языковых ключей в программном коде и выбора целей, но, как и в случае с APT28, технических доказательств связи хакеров с российским правительством iSight не предоставила.
Для доступа к конфиденциальным документам, в том числе связанным с недавним саммитом НАТО в Уэльсе, они использовали неизвестную до этого уязвимость в системе безопасности Windows (так называемую уязвимость нулевого дня), которая позволяла в документах Microsoft Office загружать код извне и выполнять его. Цели iSight пересекались с целями APT28 — SandWorm атаковала компьютеры НАТО, украинских и западноевропейских правительственных организаций, энергетической компании в Польше, французской компании связи и американской академической организации. Рождение группы SandWorm iSight отнесла к 2009 г., но первые признаки ее деятельности были обнаружены в декабре 2013 г.
Спецслужбы США опасаются также китайских хакеров, но работа российских кибервзломщиков пока успешнее. «Я больше беспокоюсь о российских», чем о китайских хакерах, цитирует The Wall Street Journal директора Национальной разведки США Джеймса Клэппера, выступавшего в этом месяце на форуме в Техасском университете. Другой высокопоставленный американский чиновник говорит, что различия между российскими криминальными группировками хакеров и теми, которые работают на государство, практически отсутствуют, так как они перенимают опыт друг друга.
В данном случае обвинения в адрес российских хакеров вполне обоснованы, считает главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. По его словам, «Лаборатория Касперского» на протяжении нескольких лет наблюдает за этой группировкой и есть все основания утверждать, что за ней стоят русскоязычные хакеры. Есть целый комплекс улик, среди которых и комментарии в коде на транслите (русскими словами, набранными латинскими буквами), и версии операционной системы, на которой файлы создавались, и часовые пояса, а также пересечение технологий с другими русскоязычными группами хакеров, объясняет он.
Решения «Лаборатории Касперского» обнаруживают и успешно блокируют используемую ими вредоносную программу Sofacy. Более того, летом 2014 г. в одной из стран СНГ «Лаборатория» расследовала крупный инцидент, в котором была задействована эта хакерская группа. Но свидетельств связи этих хакеров с правительственными структурами у «Лаборатории Касперского» нет, говорит Гостев.
Чем профессиональнее лицо, причастное к киберпреступлению, тем выше вероятность, что этот человек грамотно заметет «цифровые следы», однако ошибки рано или поздно совершают все, говорит специалист Group-IB (раскрытие киберпреступлений) Николай Шелехов. При должном желании свидетельства «русского следа» можно подделать, добавляет он.
Основной критерий, по которому обычно делается вывод о «правительственном спонсоре», — это, конечно, тип жертв и той информации, которая интересует атакующих, добавляет Гостев. Обычным киберпреступникам или коммерческим шпионам она малоинтересна, поэтому круг заказчиков тут может быть довольно ограничен. Вместе с тем есть примеры, когда информация, украденная из правительственных структур, затем оказывалась в руках так называемых Anonimous и публиковалась ими в виде некого «социального протеста», замечает Гостев.