Хакеры с московским графиком работы
30 июня 2015 г.Депутатам бундестага в конце июня ограничили доступ к более чем 100 тысячам сайтов - своего рода цензура ради защиты самих парламентариев. Такое непростое решение приняли специалисты по интернет-безопасности парламента ФРГ после мощной атаки на компьютеры бундестага, о которой стало известно в мае.
Поиск злоумышленников быстро дал плоды. Они нашли следы активности вредоносной программы ("троянского коня") с настройками на русском языке - уже сам этот факт навел следователей на определенные мысли. В Федеральном ведомстве по безопасности в сфере информационной техники (BSI) и Федеральном ведомстве по охране конституции уверены, что речь идет о группировке именно из России. Их точку зрения разделяют и несколько анонимно высказавшихся специалистов по информационным технологиям (IT). О хакерах, подозреваемых в атаке на бундестаг, как выяснилось, на Западе собрано довольно много информации.
Экономические секреты им неинтересны
В отличие от базирующихся в Китае хакеров, выискивающих экономические секреты и интересные для предпринимателей Поднебесной научные патенты, русскоязычная группировка не интересуется ни добычей финансовой информации, ни интеллектуальной собственностью - только политическими секретами. "Мы наблюдаем за работой хорошо тренированной команды разработчиков, собирающих разведывательную информацию по геополитическим вопросам и вопросам обороны - данным, интересным только правительствам", - написала в своем отчете американская компания FireEye, специализирующаяся на компьютерной безопасности. Группу хакеров она называет APT28 (в других источниках - Sofacy).
APT28 за годы активной работы - первые следы ее деятельности были обнаружены в 2006 году - успела совершить много нападений по разным направлениям, причем в первую очередь на те цели, которые интересны и властям в Кремле, заметили в компании FireEye. Это прежде всего правительства восточноевропейских стран, Грузии, структуры НАТО, ОБСЕ, а также других европейских организаций, занимающихся вопросами безопасности.
"Троянский конь" собирает себя по частям
Последняя крупная зафиксированная атака с почерком группы APT28, помимо бундестага, была совершена на польское правительство 11 августа 2014 года. Выглядело нападение таким образом: сотрудник правительства увидел не вызывающее подозрений письмо в электронном почтовом ящике с вложением "MH17.doc". Это номер сбитого за месяц до этого в небе над Донбассом лайнера "Малайзийских авиалиний". Польский чиновник, не чуя неладного, открыл файл. В нем, помимо текста без особого содержания, находилась часть вредоносной программы. Такие письма пришли не ему одному. Как только несколько "наживок" проникают в компьютер незаметно для антивирусных систем, программа собирает сама себя по частям и начинает незаметно для пользователя красть его данные.
Только в бундестаге, по предварительным подсчетам, преступникам удалось таким образом похитить не менее 16 гигабайтов информации. И это еще, возможно, не конец. Пока следы "троянца" зафиксированы на 15 персональных компьютерах (ПК), расположенных в офисах депутатов бундестага. Всего же в немецком парламенте порядка 7000 ПК. К поиску следов атаки привлечены не только специалисты BSI, но и частное детективное агентство.
Другой способ выманить обманным путем данные - это отправить ссылку с фальшивым адресом, мало отличимым от настоящего. Так хакеры смогли получить необходимые им сведения в министерстве обороны Венгрии: сотрудница ведомства зарегистрировалась для участия в оборонной ярмарке Eurosatory по ложной ссылке (eurosatory2014.com вместо eurosatory.com).
Взломы? Строго по расписанию
Хакеры, о которых идет речь, очень дисциплинированы - работают строго по расписанию. Более чем 96 процентов их атак, зафиксированных специалистами FireEye, имели место с понедельника по пятницу. Задерживаться на "работе" они тоже не любят - 89 процентов атак совершены с их IP-адресов с 10 до 18 по московскому времени. При этом больше половины всех настроек в программах, которые шпионили за различными правительствами с 2007 по 2014 годы, были написаны, по данным FireEye, на русском языке.
Кто может позволить себе атаковать крупные правительственные структуры других государств с использованием сложных программ, разработанных на русском языке, на протяжении многих лет? Специалисты из компании FireEye уверены: без постоянной поддержки такая хакерская деятельность была бы попросту невозможна. Они напрямую высказывают подозрение, что за хакерами стоят российские власти. "У нас нет фотографий отдельных сотрудников, их помещения или названия госведомства, но у нас есть свидетельства работы и четко спланированных операций, которые предполагают наличие государственного спонсора, а именно в виде руководства в Москве", - написано в отчете FireEye.
Ранее глава Федерального ведомства по охране конституции Германии Ханс-Георг Масен (Hans-Georg Maaßen) заявлял, что за кибератакой на бундестаг может стоять иностранная спецслужба. В то же время подозревать и доказать - две разные вещи. "Юридически доказать ответственность какой-либо хакерской группы за распространение "троянского коня" невозможно", - полагает Энди Мюллер-Магун (Andy Müller-Maguhn), представитель известной немецкой организации Chaos Computer Club, в которой представлены многие IT-специалисты из Германии. Он также не исключает, что истинные авторы атак могли действовать "под чужим флагом" уже известной хакерской группировки.