Хакеры SolarWinds связаны с известными российскими шпионскими инструментами, говорят следователи | Reuters

3 Мин Чтения

Лондон (Reuters)-группа, стоящая за глобальной кампанией кибершпионажа, обнаружила в прошлом месяце развернутый вредоносный компьютерный код со ссылками на шпионские инструменты, ранее использовавшиеся подозреваемыми российскими хакерами, сообщили исследователи в понедельник.

Файл фото: баннер SolarWinds Corp висит на Нью-Йоркской фондовой бирже (NYSE) в день IPO компании в Нью-Йорке, США, 19 октября 2018 года. Рейтер/Брендан Макдермида//фото файл/Файл фото

Следователи московской фирмы по кибербезопасности Kaspersky заявили, что” бэкдор“, используемый для компрометации до 18 000 клиентов американского производителя программного обеспечения SolarWinds, очень похож на вредоносное ПО, связанное с хакерской группой, известной как” Турла», которая, по утверждению эстонских властей, действует от имени российской Службы безопасности ФСБ.

Полученные результаты являются первыми общедоступными доказательствами, подтверждающими утверждения Соединенных Штатов о том, что Россия организовала взлом, который скомпрометировал множество чувствительных федеральных агентств и является одной из самых амбициозных киберопераций, когда-либо раскрытых.

Москва неоднократно опровергала эти обвинения. В ФСБ не ответили на запрос о комментариях.

Костин Райу, руководитель отдела глобальных исследований и анализа Kaspersky, сказал, что существует три явных сходства между бэкдором SolarWinds и хакерским инструментом под названием “Kazuar”, который используется Turla.

Сходство включало в себя то, как обе части вредоносного ПО пытались скрыть свои функции от аналитиков безопасности, как хакеры идентифицировали своих жертв, а также формулу, используемую для расчета периодов, когда вирусы бездействовали в попытке избежать обнаружения.

“Один такой вывод можно было бы отвергнуть, — сказал Райу. — Две вещи определенно заставляют меня поднять бровь. Три-это больше, чем совпадение.”

Уверенно приписывать кибератаки крайне сложно и усеяно возможными подводными камнями. Например, когда российские хакеры сорвали церемонию открытия Зимних Олимпийских игр в 2018 году, они намеренно имитировали северокорейскую группу, чтобы попытаться отвести вину.

Райу сказал, что цифровые улики, обнаруженные его командой, напрямую не вовлекают Турлу в компромисс SolarWinds, но показывают, что существует еще не определенная связь между двумя хакерскими инструментами.

Возможно, они были развернуты одной и той же группой, сказал он, но также и то, что казуар вдохновил хакеров SolarWinds, оба инструмента были куплены у одного и того же разработчика шпионских программ, или даже то, что злоумышленники подбросили “ложные флаги”, чтобы ввести в заблуждение следователей.

Группы безопасности в Соединенных Штатах и других странах все еще работают над определением полного масштаба взлома SolarWinds. Следователи говорят, что могут потребоваться месяцы, чтобы понять масштабы компромисса, и еще больше времени, чтобы изгнать хакеров из сетей жертв.

Американские спецслужбы заявили, что хакеры были “скорее всего российского происхождения » и нацелились на небольшое количество громких жертв в рамках операции по сбору разведданных.

Репортаж Джека Стаббса; редактирование Криса Сандерса и Эдварда Тобина

Наши Стандарты: Принципы Доверия Thomson Reuters.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *