Опубликовано: 6 Январь, 2017 в 21:59

Следы кибератак ведут в Росиию

Следы кибератак ведут в РосииюВ начале следующей недели должна появиться в публичном доступе незасекреченная часть доклада американских разведслужб об иностранном вмешательстве в выборы президента США.

Миниатюра: DW

5 января полный отчет на эту тему был предоставлен действующему президенту Бараку Обаме, 6 января с исследованием ознакомился его преемник Дональд Трамп.

Озвучивая итоги расследования перед Сенатом, глава Нацразведки США Джеймс Клэппер подтвердил, что, по мнению американских спецслужб, кибератаки были совершены хакерами из России и санкционированы высокопоставленными российскими чиновниками.

Будут ли в незасекреченной части доклада представлены однозначные доказательства причастности России к хакерским атакам, неизвестно. Пока во всех отчетах фигурировали косвенные улики. DW рассказывает, в чем обвиняют компьютерных взломщиков и о каких свидетельствах того, что хакеры действовали из России, известно на данный момент.

Кого и в каких кибератаках обвиняют?

Основное внимание спецслужбы уделяют двум эпизодам взлома серверов Демократической партии в 2015 и 2016 годах. В конце декабря министерство внутренней безопасности и Федеральное бюро расследований (ФБР) подготовили доклад об этих атаках.

В документе утверждалось, что эти акции провели две хакерские группировки, связанные с российской военной и гражданской разведкой. Летом 2015 года действовали хакеры из группы Cozy Bear (дословно «ласковый медведь», известна еще как APT29), а весной 2016 года — Fancy Bear (дословно «прикольный медведь», известна еще как APT28).

Вывод о том, что к одной из атак причастна группа Fancy Bear подтверждали также расследования фирмы SecureWorks (подразделение по кибербезопасности корпорации Dell. — Ред.), и компании-разработчика антивирусного программного обеспечения ESET.

Компания Crowdstrike, которая проводила летом расследование по просьбе Национального комитета Демократической партии (DNC), предположила, что Cozy Bear работают под руководством ФСБ, Fancy Bear — под руководством военной разведки ГРУ.

Почему обвиняют именно Россию?

Публично озвучивалось несколько косвенных признаков, указывающих на то, что обе хакерские группы базируются в России и действуют в интересах российских спецслужб. В частности, изучению хакерской активности Fancy Bear были посвящены расследования специализирующейся на компьютерной безопасности компании FireEye и уже упомянутой ESET. Их выводы сводятся к двум основным тезисам.

Первый: хакеры взламывают тех, кто мог бы быть интересен российским спецслужбам. Так, объектами атак Fancy Bear в разное время были, наряду с американскими целями, структуры НАТО, правительства и оборонные ведомства Грузии и Украины, российские оппозиционные деятели.

«Мы наблюдаем за работой хорошо тренированной команды разработчиков, собирающих разведывательную информацию по геополитическим вопросам и вопросам обороны — данным, интересным только правительствам», — написала в своем отчете FireEye.

Второй аспект, который отмечают те, кто изучал работу хакеров — это время их активности. Более 96 процентов атак со стороны Fancy Bear, зафиксированных специалистами FireEye, имели место с понедельника по пятницу, 89 процентов взломов были совершены с 10 до 18 по московскому времени. На совпадение активности этой хакерской группы с офисными часами работы по московскому времени указывают и аналитики ESET.

Еще одну нить, связывающую взломщиков с Россией, нашли специалисты компании ThreatConnect. Ответственность за утечку переписки внутри DNC взял на себя некто Guccifer 2.0. Проанализировав технические данные переписки Guccifer 2.0 с представителями СМИ, аналитики сумели установить, что он использовал анонимную сеть VPN, маскировавшую его IP-адрес.

Фирма Elite VPN, которая предоставляла ему такие услуги, расположена в России. Более того, тот IP, который использует хакер, не предлагается на выбор обычным пользователям данного сервиса. Последнее обстоятельство, по оценке ThreatConnect, может означать, что речь идет не об обычном хакере-одиночке и за ним стоит некая команда.

На пресс-конференции в начале января компания Crowdstrike вновь выразила уверенность в том, что за атаками стоят российские хакеры.

Имен конкретных исполнителей или однозначных доказательств специалисты не привели, но в то же время представители компании подчеркнули, что коды вредоносных программ, которыми пользуются хакеры, имеют уникальный характер и не находятся в публичном доступе.

Кроме того, по словам специалистов Crowdstrike, в распоряжении взломщиков имеется мощная инфраструктура, что свидетельствует о хорошо подготовленной группе хакеров.


ПОХОЖИЕ ПУБЛИКАЦИИ


Оставьте ответ

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.