Международная организация проанализировала деятельность «российских проправительственных» хакеров

B2BSecurity Маркет
Скоординированная деятельность российских хакеров, по мнению Recorded Future, представляет серьезную угрозу. Важнейшими целями трех основных российских «проправительственных» групп являются шпионаж, подготовка к кибервойне и управление геополитической ситуацией, считают авторы исследования. Однако российские эксперты ставят под сомнение выводы Recorded Future: доказать национальную «принадлежность» вредоносного ПО сегодня практически невозможно.

Международный информационно-аналитический проект Recorded Future, базирующийся в США и Швеции, опубликовал обзор деятельности «российских «проправительственных» хакерских группировок. Речь идет о вредоносном ПО групп Uroburous, Energetic Bear и APT28, фигурирующих под разными названиями в истории киберпреступлений последних лет.

Сопоставив информацию об активности, используемых инструментах и способах действий, исследователи пришли к выводу, что три группировки создавались с разными целями — политический и экономический шпионаж (Uroburous), предварительное позиционирование России для ведения будущей кибервойны (Energetic Bear), а также мониторинг и регулирование геополитической ситуации (APT28). Эти цели, по мнению авторов материала, могут привести к главным действующим лицам, стоящим за организацией атак.

В таблице ниже сгруппирована представленная исследователями основная активность хакеров за последние годы.

Основная активность хакеров, которых Recorded Future считает российскими, за последние годы

Год Атака
2008 Атака посредством Agent.btz (Uroburous) на Министерство обороны США
2009 Обнаружение шпионского ПО Turla (Uroburous), направленного на правительственные учреждения Европы и США
2010 Snake, аналог Turla (Uroburous), атаковал Украину
2011 Атака Energetic Bear с помощью Backdoor.Oldrea на корпорации США и Канады: авиация, подрядчики оборонных ведомств, энергетика
2012 Energetic Bear приписывают сотрудничество с российскими спецслужбами, Газпромом и Роснефтью
2013 Energetic Bear работает через фишинговые письма и эксплойты, перенаправляющие систему на зараженный сайт
2014 Обнаружен модифицированный троян Havex (Energetic Bear), атакующий системы SCADA через OPC-серверы

Источник: Recorded Future, 2014

Деятельность описанных групп является хорошо спланированной на стратегическом, тактическом и операционном уровнях, о чем свидетельствуют постоянно меняющиеся, но непересекающиеся цели, полагают исследователи Recorded Future. Организованная и аккуратная работа кибергрупп, отмечают они, делает затруднительными их идентификацию и анализ по сравнению, например, с небрежностью китайских хакеров. Все это возводит Россию в ранг серьезной киберугрозы в мировом масштабе, считают Recorded Future.

По информации Александра Гостева, главного антивирусного эксперта «Лаборатории Касперского», в настоящий момент нет фактов, подтверждающих, что упомянутые в статье программы использовалась какими-либо спецслужбами, так же как и нет стопроцентной уверенности в российском гражданстве их создателей.

«Определить страну, из которой исходит атака, можно по многим факторам. Прежде всего, анализ кода: если там есть какие-то русские слова, написанные кириллицей, или ошибки, которые обычно свойственны именно русским авторам, — объясняет Александр Гостев. — С нашей точки зрения, их одних недостаточно для таких выводов. Многое можно найти при анализе серверов управления вредоносной программой, IP-адресов, использованных хакерами, и т.д. Но главное — помнить, что в виртуальном мире атрибуция является чрезвычайно непростой задачей. Косвенные признаки, указывающие на языковую или национальную принадлежность, иногда могут быть оставлены злоумышленником специально, чтобы направить следствие в неправильную сторону. Это долгий процесс, требующий тесного взаимодействия между компаниями безопасности, жертвами и правоохранительными органами разных стран мира, и при этом зачастую не приводящий к результату».

Однако условная «специализация» кибергруппировок по странам все же существует. Валентин Крохин, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет», говорит о такой специфике: «Деятельность русскоязычных хакеров направлена на отъем денег во всех его видах. Китайские хакеры более заинтересованы в промышленном шпионаже. Европейские и американские тоже любят деньги, но среди них силен так называемый хактивизм, когда кибератаки направлены на достижение социальных и, как это ни странно, правозащитных целей».

Отчет Recorded Future можно посмотреть на официальном сайте организации.

Короткая ссылка на материал: //cnews.ru/link/n218055
ИСТОРИЯ УСПЕХА
Контроль и защита всей IT-инфраструктуры
Защита СХД: варианты и реальные примеры решений
Подробнее
ИНТЕРВЬЮ С ЭКСПЕРТОМ
Матвей Войтов
менеджер по продуктам «Лаборатории Касперского»

ИБ должна присутствовать среди расходов на виртуализацию.

читать далее
Все интервью
MНЕНИЕ Константин Воронков Руководитель отдела Endpoint «Лаборатории Касперского» Клиенты могут получать необходимые лицензии практически мгновенно Ожидается, что на общественное обсуждение в Госдуме будет вынесен законопроект, согласно которому обеспечение безопасного доступа пользователей в сеть ляжет на плечи интернет-провайдеров, операторов связи, хостинг-провайдеров и владельцев интернет-сайтов. Ранее же данное условие не носило обязательный характер для частных компаний, а теперь от сервис-провайдеров потребуются принять дополнительные меры в рамках установки антивирусного ПО — вопрос с покупкой лицензий становится для него как никогда актуальным.