Русский червь прогрыз НАТО, ЕС и Украину

Российские хакеры использовали «дыры» в операционной системе Windows, чтобы следить за иностранными лидерами и организациями в течение последних пяти лет. По данным, обнародованным занимающейся кибербезопасностью компанией из Далласа ISight Partners, объектами шпионажа со стороны хакерской компании стали НАТО, украинские правительственные организации, службы Европейского союза, энергетические компании (особенно польские), компании телекома и американские научные организации.

По словам специалистов, выявленные «дыры» присутствуют годами в операционных системах, начиная с Windows Vista.

Целями хакерской группировки, которой дали название песчаного червяка, или пескожила (Sandworm), стали как минимум один американский ученый, специализирующийся на украинских вопросах, а также участники международной конференции по вопросам внешней безопасности GLOBSEC, которая прошла в Братиславе с участием лидеров и глав МИД европейских государств.

Шпионаж был основан на так называемой уязвимости нулевого дня — когда об атаках или утечках становится известно лишь после того, как производитель программного обеспечения выпустит обновления для исправлений ошибок.

Раскрытие кампании стало возможным в рамках работы iSIGHT Partners по отслеживанию растущей хакерской активности со стороны России.

«Атака была частью двухлетней российской кампании, отражающей растущие аппетиты России в плане разведки за США и ЕС в ответ на их действия на Украине и по всему миру», — пишет Bloomberg. В поле зрения специалистов iSIGHT Partners российские хакеры попали в конце 2013 года, следы деятельности ячейки прослеживаются с 2009 года. Хакеры используют метод так называемого направленного фишинга — рассылки вредоносных прикрепленных файлов, преимущественно в формате PowerPoint.

Стоит жертве хакеров открыть приложенный файл, как система запускает исполняемый файл, открывающий брешь в безопасности.

Отмечается, что многие утечки были связаны с конфликтом на Украине и многими другими геополитическими вопросами, связанными с Россией.

Совсем недавно эти хакеры стали применять в своей работе распространенный для слежки вирус BlackEnergy, который предположительно использовался летом 2008 года во время российско-грузинского военного конфликта при кибератаках на грузинские государственные интернет-сайты.

В минувшем августе слежка за хакерами показала, что «пескожил» особенно оживился, используя фишинговые атаки против нескольких украинских организаций и как минимум одной американской во время саммита НАТО в Уэльсе. Сообщается, что хакеры использовали уязвимости всех ОС, серверных операционных систем Windows Server 2008 и 2012, кроме XP.

«Мы тут же оповестили пострадавшие стороны и наших клиентов среди множества правительственных структур и начали работать с Microsoft по отслеживанию этой кампании и разработке «заплаток», — говорится в сообщении iSIGHT Partners.

Но программисты уверены: несмотря на то что уязвимость существует почти во всех версиях Windows и представляет потенциальную угрозу для миллионов пользователей, анализ показал, что о «дырах» известно не многим, и проникновение сквозь них осуществлялось преимущественно русским червем.

Две особенности работы червя убедили специалистов в том, что он имеет российские корни и поддерживать его могут правительственные структуры. Во-первых, файлы-приманки, которыми привлекают потенциальных жертв, написаны на русском языке. И во-вторых, названия этих файлов говорят о том, что они должны представлять интерес для недругов России. Так, один из подобных файлов обещал показать список пророссийских «террористов», который откроется при просмотре, сообщает издание Wired.

«Можно подумать, что это обыкновенные жулики. Но они не охотились за личными данными. Их интересовало то, что могли использовать лишь избранные люди. И это — относящаяся к вопросам безопасности и дипломатическая информация, а также разведданные НАТО, Украины и Польши», — считает Джон Халтквист, высокопоставленный сотрудник iSight Partners.