Wired: За НАТО и ЕС шпионили российские хакеры - фанаты «Дюны»
Исследователи из компании iSight Partners пришли к выводу, что почти пять лет различные правительственные организации и лидеры подвергались кибершпионажу – предположительно со стороны России, пишет Wired. Это была целая кампания, которую ученые окрестили «Пустынным червем». Ее потенциальными жертвами могли стать почти все операционные системы Windows, начиная с Windows Vista.
Среди потерпевших называются Североатлантический альянс (НАТО), правительства Украины и ЕС, энергетические и телекоммуникационные организации, предприятия в сфере обороны, а также живущий в США ученый, занимающийся украинской проблематикой. Судя по всему, цель «Пустынного червя» — выкрадывать разведывательную и дипломатическую информацию по Украине, России и другим существенным для региона темам, а также «ключи» и сертификаты – наверняка для проникновения в другие системы, предполагают в iSight.
«Пустынным червем» эту кампанию назвали неспроста: в кодировках есть неоднократные отсылки к романам Фрэнка Герберта из саги «Хроники Дюны». Пресловутые черви, поясняет Wired, — это существа из пустынь планеты Арракис, которым поклоняются как богоподобным созданиям. Именно намеки на этот фантастический роман помогли экспертам связать цепь разрозненных атак воедино. «Некоторые отсылки были очень смутными, так что тот, кто писал эту вредоносную программу, был явно большим фанатом “Дюны”», — комментирует один из экспертов компании iSight.
В начале сентября был обнаружен ряд «уязвимостей нулевого дня» — то есть уязвимостей, которыми пользуются злоумышленники для проникновения в систему и которые пока не удалось устранить. Заражение происходит в основном через файлы в PowerPoint, после открытия которых устанавливается вредоносный исполняемый файл. С помощью этой и еще пяти уязвимостей (уже устраненных) идет установка различных версий вредоносной программы BlackEnergy. «Этот инструмент получил печальную известность в 2008 году, когда зараженные этой программой ботнеты использовались, для того чтобы запускать DoS-атаки на системы в Грузии в ходе противостояния между этой страной и Россией», — напоминает Wired.
Исследователи считают, что, используя «традиционные» вредоносные программы, участники кибератаки смогли «слиться» с другими преступниками и не привлекать к себе внимания, — ведь тот, кто у себя эту программу обнаруживал, наверняка считал, что его компьютер был заражен, для того чтобы стать инструментом спамеров. «Первую версию BlackEnergy создал российский гражданин по имени Олексюк Дмитро, и ее функция была ограничена DDoS», — пишет Wired. Последующие версии были нацелены на кражу банковских данных, но Олексюк отрицает, что имел отношение к их разработке. «Команда “Пустынного червя”» пользуется ею для сбора данных. По мнению исследователей из iSight, применение BlackEnergy указывает на связь разработчиков с криминальным подпольем.
Часть вредоносных программ, отмечают ученые, создана так, что она может передавать сообщения через внутренние прокси-серверы сетей жертвы. Многие компании пользуются прокси-серверами между внутренними сетями и интернетом для защиты и поддержания собственных распорядков. Как оказалось, прокси-адреса сетей жертвы были встроены во вредоносные программы, чтобы те могли отправлять информацию на свои управляющие серверы. «Нападавшие явно провели разведку и знали конфигурацию внутренних сетей, благодаря чему понимали, как высылать украденные данные», — считает Wired.
Эксперты указывают на то, что преступникам не нужны были пароли или тому подобная информация, — они были нацелены на знания, «которыми могут воспользоваться очень немногие». Конкретно - это информация в области обороны и в дипломатической сфере, а также разведданные по НАТО, Украине и Польше. В iSight считают, что источником «Пустынного червя» можно назвать Россию (и даже, возможно, круг лиц, поддержанных властями) по двум причинам: во-первых, файлы для управляющих серверов были написаны на русском, а во-вторых, для завлекания жертв использовались такие файлы, которые могли бы заинтересовать «недругов России». Так, одно из приложений названо «список пророссийских “террористов”», сообщает Wired.
Фото: AFP PHOTO / FADEL SENNA