«Песчаный червь» против НАТО
Российские хакеры получили доступ к связанным с НАТО документам, говорится в отчете iSight Partners. Они воспользовались неизвестной до того уязвимостью в системе безопасности WindowsИсследовательская компания iSight Partners обнаружила группу хакеров, которую они считают российской и назвали SandWorm (песчаный червь) из-за обнаруженных в именах файлов и программном коде ссылок на научно-фантастическую сагу «Дюна», говорится в ее отчете. Для доступа к конфиденциальным документам, в том числе связанным с недавним саммитом НАТО в Уэльсе, они использовали неизвестную до этого уязвимость в системе безопасности Windows (так называемую уязвимость нулевого дня).
Уязвимыми оказались все версии системы Microsoft Windows (кроме Windows XP) и Windows Server 2008 и 2012. Хакеры использовали функцию библиотеки OLE (используется Microsoft для внедрения одного документа в другой, например таблицу Excel в документ Word), которая позволяла загружать код извне и выполнять его. ISight сообщила Microsoft об имеющемся баге и дала время на его устранение, не раскрывая информацию публично. Microsoft сообщила вчера, что намерена устранить уязвимость в течение дня.
Хотя уязвимыми к атакам оказалось большинство компьютеров, реально пострадало не так много пользователей, поскольку злоумышленники целенаправленно пытались получить доступ к компьютерам сотрудников определенных ведомств, в том числе и с помощью методов социальной инженерии. ISight обнаружила атаки на компьютеры НАТО, украинских и западноевропейских правительственных организаций, энергетической компании в Польше, французской компании связи и американской академической организации.
Рождение группы SandWorm iSight относит к 2009 г., но первые признаки ее деятельности были обнаружены в декабре 2013 г., когда целью атаки стали сотрудники НАТО. Затем были атаки, целью которых стали участники Всемирного форума по безопасности в Братиславе, а в конце августа была зафиксирована атака на украинские правительственные организации и по крайней мере одну американскую, целью которой стали документы (главным образом презентации PowerPoint), связанные с предстоящим саммитом НАТО в Уэльсе, посвященным ситуации на Украине. Частично последнюю атаку на компьютеры украинских чиновников в сентябре зафиксировали и рассказали об этом специалисты финской компании F-Secure, говорится в сообщении iSight, но тогда были обнаружены лишь фрагменты кода.
ISight Partners относит атаки SandWorm к участившимся случаям российского кибершпионажа из-за ряда языковых ключей в программном коде и выбора целей. При этом технических доказательств связи хакеров с российским правительством у iSight нет. По словам руководителя отделения iSight, занимающегося проблемами кибершпионажа, Джона Ульквиста, в пользу существования поддержки от властей может говорить тот факт, что команда занималась не киберпреступлениями, а именно кибершпионажем. Ульквист заявил, что хакеры могли атаковать компьютеры украинских чиновников, чтобы подготовиться к саммиту НАТО в Уэльсе, в котором принимал участие президент Украины Петр Порошенко.
Российские кибершпионы считаются одними из лучших в мире, их разведывательные программы на равных конкурируют с программами Агентства национальной безопасности США, ссылается Bloomberg на слова бывшего американского чиновника, пожелавшего остаться анонимным.