|
by The Shifted Librarian
Американская компания FireEye, которая специализируется на компьютерной безопасности, считает, что группа хакеров под названием APT28, которая базируется в России, похищает данные НАТО и союзников США . Об этом сообщила американская газета The Wall Street Journal, опубликовав доклад организации, сообщает LifeNews .
В FireEye утверждают, что Россия является одним из лидеров в том, что касается возможностей осуществления сложных операций в компьютерных сетях . По их мнению, «слухи о данной активности, а также отсутствие неопровержимых доказательств превратило Россию в нечто вроде фантома в киберпространстве», дополняет «Финансовая газета».
28 октября компания FireEye представила исследование «APT28: окно в российский кибершпионаж?», главным объектом которого является группа хакеров под условным названием "APT28", сообщает «Коммерсантъ».
Национальную принадлежность участников группы специалистам FireEye, в частности, позволило установить то, что 96 % изученных образцов вредоносных программ "APT28" были созданы в рабочие дни недели с понедельника по пятницу и более 89 % — с 8:00 до 18:00 в часовом поясе, в котором расположены Москва и Петербург, отмечает «Открытая Россия».
Принимая во внимание специфические интересы "APT28", практически полностью совпадающие с внешнеполитическими интересами российских властей, авторы отчета пришли к выводу, что за "APT28" стоит правительство России.
По данным исследователей, группа APT28 активна как минимум с 2007 года, а спонсируется она, скорее всего, на государственном уровне. Как правило, атаки заключались в рассылке писем по электронной почте, в которых жертву убеждали открыть тот или иной файл, содержащий вирус, или перейти по ссылке. APT28 пыталась установить на атакуемые компьютеры такие инструменты для шпионажа, как загрузчик Sourface, бэкдор Eviltoss для исполнения шелл-кода и кражи паролей, а также Chopstick, пишут «Hi-tech Вести» .
В докладе FireEye отмечается, что деятельность российских хакеров трудно отследить, так как они практически не оставляют улик. В качестве доказательства причастности APT28 к России приводится то, что большая часть комментариев, обнаруженных в коде программ, написана на русском языке.
"Мы не располагаем фотографиями здания, именами или названиями государственных ведомств. Все, что у нас есть, это доказательство длительных, целенаправленных операций, которые указывают на государственного спонсора, в частности — на правительство, базирующееся в Москве ", — сообщили в FireEye.
Атаки были целенаправленными — сотрудники атакуемых организаций получали письма с вредоносным вложением с почтовых адресов, домены которых были похожи на настоящие домены. Например, вместо адреса штаб-квартиры спецопераций НАТО (nshq.nato.int) хакеры пользовались адресом nato.nshq.in. Целями APT28 были МВД и минобороны Грузии, а также журналисты, освещающие события на Кавказе, восточноевропейские (в частности, польские) правительственные и военные организации, НАТО и другие европейские организации в сфере безопасности, а также другие организации со всего мира, поясняют «Ведомости» .
Как отмечает Wall Street Journal, этих доказательств вполне достаточно, чтобы полагать, что Пентагон был атакован именно российскими хакерами. При этом издание не уточняет, какая компания пострадала от действий хакеров, однако утверждает, что в ее распоряжении находились данные, являющиеся военной тайной Пентагона, отмечают «Дни.ру».
В середине октября исследовательская компания iSight Partners также обнаружила группу хакеров, которую они посчитали российской и назвали SandWorm (песчаный червь) из-за обнаруженных в именах файлов и программном коде ссылок на научно-фантастическую сагу «Дюна». К России группа была отнесена из-за ряда языковых ключей в программном коде и выбора целей, но, как и в случае с APT28, технических доказательств связи хакеров с российским правительством iSight не предоставила.
Спецслужбы США опасаются также китайских хакеров, но работа российских кибервзломщиков пока успешнее. «Я больше беспокоюсь о российских», чем о китайских хакерах, цитирует The Wall Street Journal директора Национальной разведки США Джеймса Клэппера, выступавшего в этом месяце на форуме в Техасском университете. Другой высокопоставленный американский чиновник говорит, что различия между российскими криминальными группировками хакеров и теми, которые работают на государство, практически отсутствуют, так как они перенимают опыт друг друга.
В данном случае обвинения в адрес российских хакеров вполне обоснованы, считает главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. По его словам, «Лаборатория Касперского» на протяжении нескольких лет наблюдает за этой группировкой и есть все основания утверждать, что за ней стоят русскоязычные хакеры. Есть целый комплекс улик, среди которых и комментарии в коде на транслите (русскими словами, набранными латинскими буквами), и версии операционной системы, на которой файлы создавались, и часовые пояса, а также пересечение технологий с другими русскоязычными группами хакеров, объясняет он.
Чем профессиональнее лицо, причастное к киберпреступлению, тем выше вероятность, что этот человек грамотно заметет «цифровые следы», однако ошибки рано или поздно совершают все, говорит специалист Group-IB (раскрытие киберпреступлений) Николай Шелехов. При должном желании свидетельства «русского следа» можно подделать , добавляет он.
Основной критерий, по которому обычно делается вывод о «правительственном спонсоре», — это, конечно, тип жертв и той информации, которая интересует атакующих, добавляет Гостев. Обычным киберпреступникам или коммерческим шпионам она малоинтересна, поэтому круг заказчиков тут может быть довольно ограничен. Вместе с тем есть примеры, когда информация, украденная из правительственных структур, затем оказывалась в руках так называемых Anonimous и публиковалась ими в виде некого «социального протеста», замечает Гостев.
|
