Исследование об электронном шпионаже со стороны России опубликовала американская компания FireEye, занимающаяся разработкой средств защиты от кибератак. Доклад носит название “ATP28: окно в российский кибершпионаж?” - по кодовому названию группы высококвалифицированных хакеров, предположительно, работающих на Москву.
APT28 - это аббревиатура от словосочетания Advanced Persistent Threat, то есть - целенаправленная устойчивая угроза. Так специалисты FireEye называют группу хакеров, занимающихся поиском и сбором информации на оборонную и геополитическую тематику - пишет “Коммерсантъ”.
Круг интересов кибершпионов из APT28 выдаёт в них россиян - считают аналитики FireEye. Хакеры игнорируют лакомую финансовую информацию, занимаясь сбором данных о работе правительств и военных ведомств разных стран, а также о системах безопасности.
Основные интересы APT28 американцы подразделили на 3 группы. Первая - информация о кавказском направлении, в частности, данные о ситуации в Грузии. Вторая - положение в ряде стран Восточной Европы, информация об их силах безопасности, оборонных ведомствах и правительствах. Третья группа - данные о работе европейских и международных структур - ОБСЕ, НАТО и так далее.
Выводы о том, что участники APT28 - россияне, базируются не только на круге интересов кибершпионов, но и на других особенностях их деятельности. В частности, американские специалисты по безопасности обнаружили, что программное обеспечение, используемое для проникновения в закрытые сети, содержит команды на русском языке.
Также, по мнению аналитиков FireEye, в пользу “русской версии” говорит… график работы хакеров. Свыше 96 % изученных образцов вредоносных программ APT28 были созданы в рабочие дни недели с понедельника по пятницу и более 89 % - в промежутке с восьми часов утра до шести вечера в том часовом поясе, где расположены Москва и Санкт-Петербург - пишет “Коммерсантъ”.
Американцам удалось найти следы деятельности хакеров начиная с 2007 и по сентябрь нынешнего года. Причём, как отмечают авторы доклада FireEye, группа APT28 постоянно совершенствует образцы программного обеспечения, предназначенного для взлома защищённых сетей. Хакеры из APT28 названы в докладе “высококлассными специалистами”.
Основных методов, которые используют предполагаемые россияне, три. Во-первых, регистрация доменных имён, очень похожих на те имена, которые используют организации или страны, являющиеся целью атаки. С помощью этого приёма были “обчищены”, например, ОБСЕ, Всемирный банк, военное ведомство Норвегии, правительства Мексики и Польши. Во-вторых, хакеры рассылают на добытые адреса нужных людей выглядящие правдоподобными письма, где содержатся программы-вирусы. Адресат запускает приложение, и вуаля. От такого приёма пострадали, например, Еврокомиссия, НАТО, несколько американских оборонных подрядчиков, военные атташе США, Канады и Турции, а также правительство Грузии. И третьим способом добраться до нужных данных является фишинг. Он применялся, в частности, против военных атташе Южной Кореи и Японии.
На основании проанализированной информации специалисты FireEye сделали вывод, что люди из APT28 работают на Москву, поскольку круг их интересов очень точно совпадает с интересами Кремля. Это мнение разделяют и другие американские эксперты по кибербезопасности.
Что же касается официальных лиц США, то действия Пекина, ворующего экономическую информацию, тревожат их гораздо меньше, чем возможности России. Директор национальной разведки США Джеймс Клэппер, выступая в Университете Техаса в нынешнем месяце и говоря о кибератаках, заявил: “Меня больше беспокоят русские, чем Китай”.
Причина беспокойства Клэппера проста - россияне гораздо реже китайцев прибегают к электронному шпионажу, но уж если делают это, то очень метко и с потрясающим воображение профессионализмом.