Обнаружена группа хакеров, занимающаяся кибершпионажем в пользу России — аналитики FireEye

Источник
Аналитики FireEye уверены, что обнаружили группу хакеров, занимающуюся кибершпионажем в пользу России. «Лаборатория Касперского» знает об этой группе и также считает ее российской.
Специалисты исследовательской компании FireEye опубликовали отчет о постоянно действующей группе хакеров (они назвали ее APT28), целью которой являются правительственные и военные организации и спецслужбы стран, входящих в сферу интересов России. У FireEye нет прямых доказательств — имен и стоящих за атаками организаций. Код используемых группой вредоносных программ содержит русскоязычные фрагменты, а время их компиляций совпадает с дневным временем на европейской части России. Лишь девять из 140 полученных FireEye с 2007 по 2014 г. образцов программ были скомпилированы во время, когда в Москве была ночь, следует из отчета.

Атаки были целенаправленными — сотрудники атакуемых организаций получали письма с вредоносным вложением с почтовых адресов, домены которых были похожи на настоящие домены. Например, вместо адреса штаб-квартиры спецопераций НАТО (nshq.nato.int) хакеры пользовались адресом nato.nshq.in. Целями APT28 были МВД и минобороны Грузии, а также журналисты, освещающие события на Кавказе, восточноевропейские (в частности, польские) правительственные и военные организации, НАТО и другие европейские организации в сфере безопасности, а также другие организации со всего мира.

В середине октября исследовательская компания iSight Partners также обнаружила группу хакеров, которую они посчитали российской и назвали SandWorm (песчаный червь) из-за обнаруженных в именах файлов и программном коде ссылок на научно-фантастическую сагу «Дюна». К России группа была отнесена из-за ряда языковых ключей в программном коде и выбора целей, но, как и в случае с APT28, технических доказательств связи хакеров с российским правительством iSight не предоставила.

Для доступа к конфиденциальным документам, в том числе связанным с недавним саммитом НАТО в Уэльсе, они использовали неизвестную до этого уязвимость в системе безопасности Windows (так называемую уязвимость нулевого дня), которая позволяла в документах Microsoft Office загружать код извне и выполнять его. Цели iSight пересекались с целями APT28 — SandWorm атаковала компьютеры НАТО, украинских и западноевропейских правительственных организаций, энергетической компании в Польше, французской компании связи и американской академической организации. Рождение группы SandWorm iSight отнесла к 2009 г., но первые признаки ее деятельности были обнаружены в декабре 2013 г.

Спецслужбы США опасаются также китайских хакеров, но работа российских кибервзломщиков пока успешнее. «Я больше беспокоюсь о российских», чем о китайских хакерах, цитирует The Wall Street Journal директора Национальной разведки США Джеймса Клэппера, выступавшего в этом месяце на форуме в Техасском университете. Другой высокопоставленный американский чиновник говорит, что различия между российскими криминальными группировками хакеров и теми, которые работают на государство, практически отсутствуют, так как они перенимают опыт друг друга.

В данном случае обвинения в адрес российских хакеров вполне обоснованы, считает главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. По его словам, «Лаборатория Касперского» на протяжении нескольких лет наблюдает за этой группировкой и есть все основания утверждать, что за ней стоят русскоязычные хакеры. Есть целый комплекс улик, среди которых и комментарии в коде на транслите (русскими словами, набранными латинскими буквами), и версии операционной системы, на которой файлы создавались, и часовые пояса, а также пересечение технологий с другими русскоязычными группами хакеров, объясняет он.

Решения «Лаборатории Касперского» обнаруживают и успешно блокируют используемую ими вредоносную программу Sofacy. Более того, летом 2014 г. в одной из стран СНГ «Лаборатория» расследовала крупный инцидент, в котором была задействована эта хакерская группа. Но свидетельств связи этих хакеров с правительственными структурами у «Лаборатории Касперского» нет, говорит Гостев.

Чем профессиональнее лицо, причастное к киберпреступлению, тем выше вероятность, что этот человек грамотно заметет «цифровые следы», однако ошибки рано или поздно совершают все, говорит специалист Group-IB (раскрытие киберпреступлений) Николай Шелехов. При должном желании свидетельства «русского следа» можно подделать, добавляет он.

Основной критерий, по которому обычно делается вывод о «правительственном спонсоре», — это, конечно, тип жертв и той информации, которая интересует атакующих, добавляет Гостев. Обычным киберпреступникам или коммерческим шпионам она малоинтересна, поэтому круг заказчиков тут может быть довольно ограничен. Вместе с тем есть примеры, когда информация, украденная из правительственных структур, затем оказывалась в руках так называемых Anonimous и публиковалась ими в виде некого «социального протеста», замечает Гостев.
Персоны Компании
Константин Малофеев о бизнесе, политике, санкциях и благотворительности
Основателя инвестфонда Marshall Capital, бывшего крупнейшего частного акционера «Ростелекома» Константина Малофеева называли «серым кардиналом» российского IT-рынка.
Вирус Касперского: как бизнес Kaspersky Lab захватил 200 стран мира
Российская компания с выручкой $667 млн входит в топ-4 игроков на глобальном рынке антивирусов. Как «Лаборатория Касперского» и ее основатель справляются с новыми вызовами?
Пионер года: почему все марки Олега Тинькова хорошо продаются
Основной владелец ТКС Банка умеет убеждать инвесторов в перспективах своих проектов. Почему бизнесы предпринимателя не живут после его ухода?
Атака на сына программиста не принесла результата
Вчера в Подмосковье в результате спецоперации был освобожден сын Евгения Касперского, основателя и основного владельца компании "Лаборатория Касперского", известного российского производителя систем защиты от вредоносных программ, спама и хакерских атак
Сына Евгения Касперского объявили похищенным
В четверг стало известно о возможном похищении 20-летнего Ивана Касперского — сына создателя известного антивируса Евгения Касперского