Отчет FireEye о российской кибергруппировке APT28

Специалисты исследовательской компании FireEye опубликовали отчет о постоянно действующей группе хакеров (они назвали ее APT28, ESET называет ее Sednit), целью которой являются правительственные и военные организации и спецслужбы стран, входящих в сферу интересов России. У FireEye нет прямых доказательств — имен и стоящих за атаками организаций. Код используемых группой вредоносных программ содержит русскоязычные фрагменты, а время их компиляций совпадает с дневным временем на европейской части России. Лишь девять из 140 полученных FireEye с 2007 по 2014 г. образцов программ были скомпилированы во время, когда в Москве была ночь, следует из отчета.

Атаки были целенаправленными — сотрудники атакуемых организаций получали письма с вредоносным вложением с почтовых адресов, домены которых были похожи на настоящие домены. Например, вместо адреса штаб-квартиры спецопераций НАТО (nshq.nato.int) хакеры пользовались адресом nato.nshq.in. Целями APT28 были МВД и минобороны Грузии, а также журналисты, освещающие события на Кавказе, восточноевропейские (в частности, польские) правительственные и военные организации, НАТО и другие европейские организации в сфере безопасности, а также другие организации со всего мира.

В середине октября исследовательская компания iSight Partners также обнаружила группу хакеров, которую они посчитали российской и назвали SandWorm (песчаный червь) из-за обнаруженных в именах файлов и программном коде ссылок на научно-фантастическую сагу «Дюна». К России группа была отнесена из-за ряда языковых ключей в программном коде и выбора целей, но, как и в случае с APT28, технических доказательств связи хакеров с российским правительством iSight не предоставила.

Для доступа к конфиденциальным документам, в том числе связанным с недавним саммитом НАТО в Уэльсе, они использовали неизвестную до этого уязвимость в системе безопасности Windows (так называемую уязвимость нулевого дня), которая позволяла в документах Microsoft Office загружать код извне и выполнять его. Цели iSight пересекались с целями APT28 — SandWorm атаковала компьютеры НАТО, украинских и западноевропейских правительственных организаций, энергетической компании в Польше, французской компании связи и американской академической организации. Рождение группы SandWorm iSight отнесла к 2009 г., но первые признаки ее деятельности были обнаружены в декабре 2013 г.

Спецслужбы США опасаются также китайских хакеров, но работа российских кибервзломщиков пока успешнее. «Я больше беспокоюсь о российских», чем о китайских хакерах, цитирует The Wall Street Journal директора Национальной разведки США Джеймса Клэппера, выступавшего в этом месяце на форуме в Техасском университете. Другой высокопоставленный американский чиновник говорит, что различия между российскими криминальными группировками хакеров и теми, которые работают на государство, практически отсутствуют, так как они перенимают опыт друг друга.

В данном случае обвинения в адрес российских хакеров вполне обоснованы, считает главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. По его словам, «Лаборатория Касперского» на протяжении нескольких лет наблюдает за этой группировкой и есть все основания утверждать, что за ней стоят русскоязычные хакеры. Есть целый комплекс улик, среди которых и комментарии в коде на транслите (русскими словами, набранными латинскими буквами), и версии операционной системы, на которой файлы создавались, и часовые пояса, а также пересечение технологий с другими русскоязычными группами хакеров, объясняет он.

Источник: vedomosti.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

w

Connecting to %s