Статья опубликована в № 3649 от 11.08.2014 под заголовком: Атака с российским следом

В вирусе, атаковавшем компьютеры госорганов Украины, обнаружен русскоязычный код

В вирусе, атаковавшем компьютеры госорганов Украины, обнаружен русскоязычный код. Российские эксперты считают это недостаточным доказательством участия в атаке российских хакеров

  • Павел Кантышев

В компьютерах посольств Украины и администрации премьер-министра этой страны Арсения Яценюка обнаружен вирус, происхождение которого связывают с Россией, сообщает газета Financial Times (FT). Кибератака коснулась не менее чем 10 украинских посольств, а также расположенных в Восточной Европе посольств еще как минимум девяти стран, среди которых Германия, Китай, Польша и Бельгия. В результате атаки злоумышленники получали доступ к ценной дипломатической информации, сообщает FT.

О вирусной атаке на компьютеры украинских госорганов стало известно из отчета производителя антивирусных продуктов Symantec, опубликованного в четверг. В отчете говорилось о 60 зараженных компьютерах «в администрации премьер-министра страны, ранее входившей в состав СССР»; анонимный источник в разведке одной из стран НАТО уточнил FT, что речь идет об Украине.

Согласно отчету Symantec, для атаки использовался вирус Snake, уже изучавшийся аналитиками. В отличие от обычных вредоносных программ, распространение которых сложно контролировать, атака Snake адресная - вирус был нацелен на правительственные и оборонные структуры, сообщил FT эксперт по кибервооружениям Объединенного института по оборонным исследованиям Великобритании Питер Робертс.

Вирус атакует в несколько этапов, сообщает FT. На первом этапе было заражено 84 публичных веб-сайта, которые регулярно посещались сотрудниками правительства, оборонной промышленности и дипломатических служб. Вирус предлагал обновить софт на компьютерах пользователей, и информация о согласившихся передавалась операторам Snake. Из списка полученных IP-адресов они выбирали те, которые принадлежали интересовавшим их госструктурам. Компьютеры из нужных организаций заражались вирусом wipbot, который собирал информацию о положении человека в его организации. На компьютеры самых влиятельных устанавливалась полная версия Snake, которая и собирала ценную информацию.

Оценив сложность атаки, опрошенные FT эксперты сошлись на мнении, что ее могла осуществить только хорошо оснащенная группировка хакеров, которую поддерживает государство. Эта кампания кибершпионажа действительно сложная и многоэтапная, говорит главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. По его словам, за вирусной атакой стоят значительные финансовые ресурсы и не один год работы.

По словам Робертса, велика вероятность того, что вирус написан российскими оперативниками. Прямых подтверждений связи организаторов атаки с российским правительством или госструктурами, равно как и фактов использования спецслужбами полученной информации, нет, возражает Гостев. По его словам, есть лишь косвенные доказательства «русского следа»: например, одно из внутренних имен, использующихся в вирусе, - Zagruzchik.dll.

Антивирусные компании часто делают примитивные выводы об авторах вируса на основе нахождения в его теле слов на разных языках, придумать более нелепое доказательство национальной принадлежности автора сложно, считает гендиректор компании Digital Security (консалтинг в области информационной безопасности) Илья Медведовский. Например, чтобы обвинить в написании вируса итальянских хакеров, достаточно вставить в код пару слов на итальянском, рассуждает он. По его словам, с технической точки зрения выявить истинного автора вируса почти невозможно.

На страну происхождения вируса могут указывать территориальное расположение командных центров и стилистика написания программного кода, рассказывает менеджер по развитию продуктов компании InfoWatch Андрей Арефьев. Однако уничтожить эти следы крайне легко - можно командовать вирусом через сервер-посредник в другой стране, а программный код с помощью специальных средств превращается в нечитаемую для человека последовательность символов, напоминает он. Профессиональный уровень авторов атаки достаточно высок, чтобы не допускать настолько грубых ошибок, поэтому приведенные доводы в пользу российского происхождения вируса больше похожи на провокацию, полагает Арефьев.

Пока никто не прокомментировал этот материал. Вы можете стать первым и начать дискуссию.
Комментировать