"Вряд ли бы российские спецслужбы вставляли в систему код на русском языке"
Американцы обнаружили "песчаных червей" в правительственных компьютерах Украины, ЕС и Североатлантического альянса. Специалисты компании iSight Partners уверены, что российские хакеры использовали уязвимость в системе безопасности Windows для получения доступа к конфиденциальным документам. Однако собеседники "Коммерсантъ FM" отмечают, что причастность к слежке программистов из РФ неочевидна.
Российских хакеров обвиняют в атаках на компьютеры НАТО, Евросоюза и Украины. Отчет выпустила американская компания iSight Partners. По словам специалистов, хакеры использовали уязвимости системы Windows в целях шпионажа. Злоумышленники получили доступ к компьютерам Североатлантического альянса, правительств Украины и Польши и некоторых европейских компаний. Эксперты подозревают российских хакеров, поскольку во вредоносном коде нашли кириллические символы. Также в iSight Partners обратили внимание на специфический характер целей, интересовавших преступников. Слежка продолжалась, как минимум, с конца прошлого года.
Группа злоумышленников уже получила название "Песчаный червь". Во вредоносном коде были обнаружены ссылки на научно-фантастический сериал "Дюна". Как сообщается в отчете компании, хакеры использовали рассылку фишинговых писем. К ним прикреплялись вложения с вредоносными документами. В e-mail содержались провокационные сообщения, касающиеся обострения отношений между Россией и Украиной. Кроме того, злоумышленники использовали уязвимость "нулевого дня" в системе Windows и вредоносное ПО Black Energy.
Нет возможности точно установить национальную принадлежность хакеров, поскольку их разработки многократно перепродаются на "черном рынке" еще до совершения атаки. Так считает заместитель генерального директора компании Positive Technologies Сергей Гордейчик.
"Одни люди пишут вредоносное программное обеспечение, другие люди находят уязвимости нулевого дня. Кто-то дальше это использует для того, чтобы взломать рабочие станции. Затем взломанные рабочие станции перепродаются опять тем, кто собирает с них ценную информацию. Эта цепочка больше напоминает организованные преступные группировки, чем просто хакерские команды. Даже если бы вдруг это делали российские спецслужбы, вызывает удивление, что они бы вставляли в систему управления код на русском языке. А во-вторых, чтобы они проводили эти операции много лет. Профиль агитированных атак: пришли, взломали, забрали, исчезли", — отмечает Гордейчик.
Эксперты iSight Partners пока не уточняют, какие данные были украдены. Однако они предполагают, что преступников интересовали материалы саммита НАТО и другие дипломатические документы, касающиеся украинского кризиса. А также инсайдерская информация по энергетике и телекоммуникациям. Установить характер информации, которой завладели злоумышленники, можно только расшифровав украденный файл, отметил руководитель отдела по сетевой безопасности LETA Сергей Панин.
"Как показывает практика, есть эксплойты, и средства их достать, которые позволяют даже находиться на рабочем месте администратора безопасности, получать полные права и отслеживать все его действия. Любая информация абсолютно, в том числе, и которую пользователь вводит при работе с компьютером, может быть перенесена на удаленную станцию в зашифрованном виде. Та исследовательская группа, которая перехватила, нужно будет смотреть ее отчеты, было ли ПО, удалось ли им расшифровать. Чтобы расшифровать, нужно вскрыть удаленные сервера, где находится ключ, на котором был он зашифрован", — пояснил Панин.
Microsoft уже пообещала устранить уязвимость в операционной системе. Корпорация выпустит автоматическое обновление.