Международная организация проанализировала деятельность «российских проправительственных» хакеров
Скоординированная деятельность российских хакеров, по мнению Recorded Future, представляет серьезную угрозу. Важнейшими целями трех основных российских «проправительственных» групп являются шпионаж, подготовка к кибервойне и управление геополитической ситуацией, считают авторы исследования. Однако российские эксперты ставят под сомнение выводы Recorded Future: доказать национальную «принадлежность» вредоносного ПО сегодня практически невозможно.Международный информационно-аналитический проект Recorded Future, базирующийся в США и Швеции, опубликовал обзор деятельности «российских «проправительственных» хакерских группировок. Речь идет о вредоносном ПО групп Uroburous, Energetic Bear и APT28, фигурирующих под разными названиями в истории киберпреступлений последних лет.
Сопоставив информацию об активности, используемых инструментах и способах действий, исследователи пришли к выводу, что три группировки создавались с разными целями — политический и экономический шпионаж (Uroburous), предварительное позиционирование России для ведения будущей кибервойны (Energetic Bear), а также мониторинг и регулирование геополитической ситуации (APT28). Эти цели, по мнению авторов материала, могут привести к главным действующим лицам, стоящим за организацией атак.
В таблице ниже сгруппирована представленная исследователями основная активность хакеров за последние годы.
Основная активность хакеров, которых Recorded Future считает российскими, за последние годы
Год | Атака |
2008 | Атака посредством Agent.btz (Uroburous) на Министерство обороны США |
2009 | Обнаружение шпионского ПО Turla (Uroburous), направленного на правительственные учреждения Европы и США |
2010 | Snake, аналог Turla (Uroburous), атаковал Украину |
2011 | Атака Energetic Bear с помощью Backdoor.Oldrea на корпорации США и Канады: авиация, подрядчики оборонных ведомств, энергетика |
2012 | Energetic Bear приписывают сотрудничество с российскими спецслужбами, Газпромом и Роснефтью |
2013 | Energetic Bear работает через фишинговые письма и эксплойты, перенаправляющие систему на зараженный сайт |
2014 | Обнаружен модифицированный троян Havex (Energetic Bear), атакующий системы SCADA через OPC-серверы |
Источник: Recorded Future, 2014
Деятельность описанных групп является хорошо спланированной на стратегическом, тактическом и операционном уровнях, о чем свидетельствуют постоянно меняющиеся, но непересекающиеся цели, полагают исследователи Recorded Future. Организованная и аккуратная работа кибергрупп, отмечают они, делает затруднительными их идентификацию и анализ по сравнению, например, с небрежностью китайских хакеров. Все это возводит Россию в ранг серьезной киберугрозы в мировом масштабе, считают Recorded Future.
По информации Александра Гостева, главного антивирусного эксперта «Лаборатории Касперского», в настоящий момент нет фактов, подтверждающих, что упомянутые в статье программы использовалась какими-либо спецслужбами, так же как и нет стопроцентной уверенности в российском гражданстве их создателей.
«Определить страну, из которой исходит атака, можно по многим факторам. Прежде всего, анализ кода: если там есть какие-то русские слова, написанные кириллицей, или ошибки, которые обычно свойственны именно русским авторам, — объясняет Александр Гостев. — С нашей точки зрения, их одних недостаточно для таких выводов. Многое можно найти при анализе серверов управления вредоносной программой, IP-адресов, использованных хакерами, и т.д. Но главное — помнить, что в виртуальном мире атрибуция является чрезвычайно непростой задачей. Косвенные признаки, указывающие на языковую или национальную принадлежность, иногда могут быть оставлены злоумышленником специально, чтобы направить следствие в неправильную сторону. Это долгий процесс, требующий тесного взаимодействия между компаниями безопасности, жертвами и правоохранительными органами разных стран мира, и при этом зачастую не приводящий к результату».
Однако условная «специализация» кибергруппировок по странам все же существует. Валентин Крохин, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет», говорит о такой специфике: «Деятельность русскоязычных хакеров направлена на отъем денег во всех его видах. Китайские хакеры более заинтересованы в промышленном шпионаже. Европейские и американские тоже любят деньги, но среди них силен так называемый хактивизм, когда кибератаки направлены на достижение социальных и, как это ни странно, правозащитных целей».
Отчет Recorded Future можно посмотреть на официальном сайте организации.