Линки доступности

«Песчаный червь» проник на Запад из России


Американская компания, занимающаяся кибербезопасностью, обнаружила пять хакерских групп, многие годы шпионивших за правительствами, бизнесами и военными структурами стран Запада

«День-зеро» или Zero-day – термин, используемый для обозначения ситуаций, когда хакеры выявляют ранее неизвестные уязвимые места в операционных системах или компьютерных приложениях, после чего используют их для проведения кибератак и получения несанкционированного доступа к информации. В подобных случаях, у операторов этих систем нет возможности для подготовки к отражению этой угрозы и ее оперативному выявлению. То есть, средства защиты могут быть задействованы только в тот момент, когда атака обнаружена, но не раньше. Обычно это происходит достаточно быстро.

Однако пять хакерских групп смогли добиться того, что атаки оставались незамеченными длительное время – вероятно, с 2009 года. Причем, эти группы шпионили не за обычными пользователями, а за целым рядом западных правительств, за НАТО, энергетическим сектором стран Европы, европейскими телекоммуникационными фирмами и исследовательскими организациями США.

Во вторник, 14 октября американская компания iSight Partners сообщила о раскрытии «широкой кампании кибершпионажа», которую она считает связанной с правительственными структурами РФ.

«Песчаный червь» и «Команда царя»

iSight Partners проводила расследование в тесном сотрудничестве с корпорацией Microsoft, поскольку уязвимыми оказались практически все, произведенные ей операционные системы.

iSight Partners выявила активные кампании пяти различных российских хакерских групп, которые преследуют разные миссии, разные цели и обладают разными возможностями. Как подчеркивается в пресс-релизе фирмы, iSight Partners следит за «оглушающей барабанной дробью шпионской активности России в киберпространстве».

Одна из таких групп, «Команда Царя» (Tsar Team) – так ее обозначили специалисты iSight Partners – специализируется на использовании «червей» для мобильных платформ. В прошлом эта команда осуществила ряд атак на разведывательные и оборонные структуры США и Европы, серверы новостных агентств и неправительственных организаций. Еще одна специализация этой команды – мобильные коммуникации предполагаемых джихадистов на Северном Кавказе, в частности в Чечне.

Однако наиболее активной и мощной специалисты iSight Partners считают группу, которой они дали название «Песчаный червь» (Sandworm), из-за того, что хакеры этой группы «подписывают» свои атаки, кодируя в протоколах термины из популярной серии фантастических романов Фрэнка Герберта «Дюна». Среди раскодированных подписей, например «arrakis02» (по названию планеты Арракис, на которой происходит действие романа), «houseatreides94» (по названию одной из конкурирующих фракций – Дома Атридов) и «epsiloneridani0» (от Эпсилон Эридана). Песчаные черви, описанные в романах, – гигантские обитатели Арракиса.

В сентябре финская фирма F-Secure, специализирующаяся на кибербезопасности, напала на след Sandworm. Однако обнаруженные ими «отпечатки» хакеров были насколько успешно замаскированы под дилетантские, что фирма посчитала команду – незначительной угрозой, занесла в каталог под названием Quedach, и не продолжила расследование.

iSight Partners следит за Sandworm с конца 2013 года, по их данным, эти хакеры начали действовать четырьмя годами ранее. Коронный трюк Sandworm – рассылка зараженных файлов в приложении к электронному письму. Открывая приложенные файлы, жертва отправляет хакерам полную информацию об используемых программах, в защите которых они находят «дыры» и используют их для получения удаленного доступа к серверу и отдельным компьютерам. Команда использует также DDoS-«червь» BlackEnergy, получивший известность во время российско-грузинской войны 2008 года, как основной инструмент атак на серверы правительственных структур Грузии.

Специалисты iSight Partners предполагают, что именно маскировка под BlackEnergy помогла хакерам Sandworm избегать разоблачения такое длительное время.

Детали хронологии

По данным iSight Partners, хакеры Sandworm взломали серверы НАТО еще в декабре 2013 года, причем, пользуясь не только Zero-day-атаками. В мае 2014 года атаке российских хакеров подверглись участники Братиславского саммита глобальной безопасности GlobSec – ежегодной встречи на высшем уровне, на которой традиционно собираются министры иностранных дел и политические лидеры государств Европы. Sandworm похищали не только документы, содержащие секретную информацию, но пытались добыть ключи и сертификаты серверов.

В июне 2014 года активность Sandworm многократно возросла, кибершпионаж велся в отношении ряда правительств стран Западной Европы.

В этот же период российские хакеры взломали серверы польской энергетической фирмы и французской телекоммуникационной компании.

В августе iSight Partners обнаружила, что Sandworm начало кампанию по «выуживанию» информации о деятельности правительства Украины и одной из американских организаций. iSight Partners подчеркивает, что это совпало по времени с проведением саммита НАТО в Уэльсе.

3 сентября Sandworm атаковал уже непосредственно Microsoft. iSight Partners была вынуждена немедленно оповестить все правительственные организации и компании, пользующиеся программным обеспечением Microsoft о необходимости предпринять срочные меры защиты.

  • 16x9 Image

    Фатима Тлисовa

    В журналистике с 1995 года. До прихода на «Голос Америки» в 2010 году работала собкором по Северному Кавказу в агентстве «Ассошиэйтед пресс», в «Общей газете» и в «Новой газете». С января 2016 г. работает в составе команды отдела Extremism Watch Desk "Голоса Америки"

XS
SM
MD
LG