«Российские хакеры» шпионят за западными правительствами 7 лет

Хакерская группировка The Dukes, предположительно атаковавшая цели в НАТО, США и Центральной Азии, работает в интересах правительства России, утверждает финская компания F-Secure.

Фирма, которая занимается вопросами кибербезопасности, опубликовала в четверг доклад, в котором утверждает, что хакеры оказывают поддержку разведывательной деятельности России. Финны опираются на собственные изыскания и работы российской компании «Лаборатория Касперского».

«Лаборатория Касперского» сообщила Би-би-си, что обратила внимание на вредоносы семейства Dukes в 2013 году.

В апреле 2015 года «Лаборатория» назвала Россию в числе стран, атакованных хакерами из The Dukes.

Анализ хакерских программ позволил аналитикам сделать вывод, что их авторы говорят по-русски.

«Уязвимость нулевого дня»

Хорошо организованная, обладающая мощными ресурсами и целеустремленная группировка кибершпионов работает в интересах Российской Федерации как минимум с 2008 года, предполагает финская компания F-Secure. Ее предположения изложены в 34-страничном докладе «The Dukes. Семь лет российского кибершпионажа», опубликованном в четверг, 17 сентября.

Финны считают, что хакерская группировка The Dukes занимается сбором разведданных, которые используются российскими властями при принятии решений в сфере внешней политики и безопасности.

Доклад анализирует серию кибератак, предположительно проведенных The Dukes с 2008 по 2015 год. В качестве кибероружия использовались вредоностные программы PinchDuke, MiniDuke, CozyDuke, HammerDuke и другие.

Авторы документ неоднократно ссылаются на материалы «Лаборатории Касперского».

«Мы начали исследование вредоносных программ, созданных этой группой (The Dukes – ред.), в начале 2013 года», — сообщил Би-би-си по электронной почте ведущий антивирусный эксперт «Лаборатории Касперского» Игорь Суменков. В феврале 2013 года российские специалисты опубликовали описание шпионского трояна MiniDuke, который использует PDF-файлы для проникновения в правительственные компьютеры.

«Первая вредоносная программа этой группы, которую мы обнаружили — MiniDuke — отличалась удивительно малым по современным меркам размером, была написана на ассемблере (признак авторов «старой школы» из 90-х) и использовала twitter в качестве управляющего канала. Кроме того, при распространении авторы использовали уязвимость нулевого дня», — рассказал Игорь Суменков.

Выбор цели

Первые нападения хакеров финские аналитики (и специалисты «Лаборатории Касперского») относят к 2008 году. Тогда вредоносными программами PinchDuke были атакованы информационные интернет-ресурсы чеченской военно-политической эмиграции в Турции.

В следующем 2009 году последовала серия ударов с использованием PinchDuke по западным целям. Хакеры The Dukes проявляли интерес к внешней и оборонной политике США и НАТО. В частности, их интересовала информация о размещении элементов противоракетной обороны США в Польше и Чехии.

Атакам подверглись неназванный аналитический центр в США, правительственные учреждения в Польше и Чехии, МИДы Турции и Уганды. Еще одной целью стал Информационный центр НАТО в Грузии.

Весной 2010 года, утверждают финские эксперты, хакеры продолжили операции с использованием PinchDuke против Турции и Грузии. Одновременно проводились кампании против стран СНГ – Казахстана, Киргизии, Узбекистана и Азербайджана. С какой целью проводились операции в отношении этих стран, не указывается. Отмечается только, что хакеры начали использовать новый инструмент для похищения информации – CosmicDuke.

Хакеры продолжали наращивать арсенал вредоносных программ, получивших названия GeminiDuke, CozyDuke, HammerDuke и другие.

Год Украины

В 2013 году The Duke нацелились на Украину, говорится в докладе F-Secure. Они использовали трояны в форме фальшивых документов-ловушек, созданных в виде PDF-файлов.

«Лаборатория Касперского» опубликовала примеры таких вредоносов в феврале 2013 года. Внешне документы-ловушки скрупулезно имитировали официальные бумаги, а содержание их точно соответствовало политической повестке дня.

Один из таких документов-фальшивок назывался «Дебаты о плане действий для Украины по членству в НАТО».

Финны отмечают, что «украинские» трояны появились задолго до Евромайдана. После начала акций протеста в Киеве и по мере развития кризиса активность The Dukes на украинском направлении начала спадать.

«Как только Россия перешла от дипломатии к прямым действиям, Украина утратила прежнюю релевантность для The Dukes», — утверждают аналитики F-Secure.

«Российский след»

Финские эксперты повторяют в заключительной части доклада, что, по их мнению, The Dukes финансирует правительство России, для которого хакеры и собирают разведданные. Кто входит в состав группировки, они не знают. Это может быть «команда или отдел в составе государственного органа», «внешний подрядчик», криминальная группировка, имеющая покровителей на самом верху», или «объединение технически подкованных патриотов».

Гипотеза о том, что The Dukes работают на российские власти, по мнению финских специалистов, подтверждается объектами атак – это правительства стран Восточной Европы, государственные органы и аналитические центры Запада и даже говорящие по-русски наркоторговцы.

Авторам доклада «Семь лет кибершпионажа» не известно о нападениях хакеров на российские правительственные компьютеры. «Лаборатория Касперского» говорит, что целями The Dukes оказались более 59 «жертв» в 23 странах, в том числе в России.

Аналитики F-Secure также обнаружили сообщения, написанные по-русски: «Ошибка названия модуля! Название секции данных должно быть 4 байта!»

Финны обратили внимание на то, что время компиляции файлов соответствуют стандартным часам работы — с 09.00 до 17.00 по Московскому времени. В этом часовом поясе, напоминают они, находятся Москва и Санкт-Петербург.

«Мы также публиковали информацию о распределении времени компиляции файлов в материале о другой вредоносной программе группы, CosmicDuke (6AM-4PM GMT, т.е. с 9 утра до 17.00 по Московскому времени – ред.). […] Мы приводим артефакты, указывающие на явную русскоязычность авторов — упоминание сайтов в зоне .ru и русские слова, «забытые» в теле программы», — рассказал Би-би-си эксперт «Лаборатории Касперского» Игорь Суменков.

«Мы считаем, что шпионские инструменты созданы и управляются людьми, говорящими по-русски», — приводит сайт «Лаборатории Касперского» слова своего ведущего исследователя проблем безопасности Курта Баумгартнера в заметке «The Duke вернулся», датированной 22 апреля 2015 года. В заметке говорилось, что атакам подверглись Белый дом и Госдепартамент США, а также организации в Германии, Южной Корее и Узбекистане.

Источник: bbc.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s