Российских хакеров выдал график работы
Опубликован доклад о российском государственном кибершпионаже
Американская компания FireEye, специализирующаяся на исследованиях и разработке средств защиты от кибератак, опубликовала результаты исследования о кибершпионаже со стороны России. По мнению FireEye, направленность действий российских хакеров — сбор информации о системах безопасности, работе правительств и военных ведомств ряда стран мира — свидетельствует о том, что за ними стоит российское правительство.
28 октября компания FireEye представила исследование «APT28: окно в российский кибершпионаж?», главным объектом которого является группа хакеров, осуществляющих поиск и сбор секретной информации, связанной с оборонной и геополитической тематикой. Эту группу специалисты условно обозначают как APT28 (от Advanced Persistent Threat, целенаправленная устойчивая угроза) и относят начало ее активной деятельности по меньшей мере к 2007 году. Как утверждает FireEye, деятельность APT28 не похожа на работу китайских хакеров, которые в промышленных масштабах крадут интеллектуальную собственность ради экономической выгоды. Кроме того, APT28 не гонится за обогащением путем сбора данных финансовых счетов. Специалисты FireEye выделяют три основные области, интересующие эту группу, а именно: система безопасности и политическая ситуация в Грузии и на Кавказе (МВД, Министерство обороны, журналисты, «Кавказ-центр»), работа правительств, структур безопасности и военных ведомств ряда восточноевропейских государств, а также работа европейских организаций в сфере безопасности и международных организаций, таких как НАТО и ОБСЕ.
Компания FireEye утверждает, что в группу APT28 входят русскоязычные специалисты, поскольку используемое ими для проникновения в закрытые сети программное обеспечение чаще всего содержит команды на русском языке. Кроме того, как сообщается в докладе, более 96% изученных образцов вредоносных программ APT28 были составлены в рабочие дни недели с понедельника по пятницу и более 89% в промежуток с восьми часов утра до шести вечера в часовом поясе, в котором расположены Москва и Санкт-Петербург.
Все изученные образцы относятся к периоду с середины 2007-го по сентябрь 2014 года. При этом FireEye отмечает, что за этот период APT28 постоянно и активно совершенствует вредоносное программное обеспечение, используемое для взлома закрытых сетей, при этом участников этой группы FireEye называет первоклассными специалистами. Хакеры APT28 используют три основных метода сбора информации. Например, регистрируют доменное имя, очень похожее на имя интересующей их организации или структуры, как это было в случае с сайтами ОБСЕ, Всемирного банка, правительств Мексики, Венгрии, Польши, военных ведомств Норвегии, Армении и Чили, информационных агентств Болгарии и ОАЭ.
Второй вариант — рассылка правдоподобных сообщений на темы, интересующие адресата, с целью убедить адресата открыть письмо и содержащиеся в нем приложения или ссылки с вредоносными программами. Эта тактика применялась в отношении сайтов Еврокомиссии, АТЭС, НАТО, Управления ООН по координации гуманитарных вопросов, американских оборонных подрядчиков, военных атташе США, Канады и Турции, правительства Грузии, кипрских информационных агентств и др. И третий способ — фишинг — APT28 применяла в отношении военных атташе Японии, Южной Кореи и Китая, посольства одного из европейских государств в Ираке и военного ведомства Пакистана. Отмечались хакерские действия и в отношении участников крупных европейских оборонных выставок, таких как авиашоу в Фарнборо 2014 года, EuroNaval 2014, EUROSATORY 2014 и других.
Учитывая все вышеизложенное, авторы доклада делают вывод, что APT28 является группой российских хакеров, а поскольку сфера их интересов довольно точно совпадает с интересами российских властей, то за APT28 стоит правительство России. Это мнение разделяют многие американские официальные лица и эксперты в области безопасности. Они считают, что Россия, хотя и реже прибегает к кибершпионажу, чем Китай, зато делает это гораздо профессиональнее. В этом месяце директор национальной разведки США Джеймс Клэппер, выступая в Университете Техаса и говоря о кибератаках, заявил: «Меня больше беспокоят русские, чем Китай».