Обнаружен вирус, умеющий добывать данные из автономных сетей

Изоляция компьютера от интернета больше не гарантирует защиты от кражи из него информации. Хакеры научились проводить многоступенчатые атаки на закрытые сети
Екатерина Кузьмина/ Ведомости

Компьютерные сети правительственных учреждений Восточной Европы более 10 лет атаковала группа хакеров Sednit, говорится в сообщении компании ESET, занимающейся созданием антивируса Nod32. Сейчас же злоумышленников интересовали политические организации - в частности, из Польши, Чехии и с Украины, говорит ведущий антивирусный аналитик ESET Артем Баранов.

Месяц назад ЕSET сообщала об атаках этой киберпреступной группы на финансовые организации Восточной Европы, но тогда они пользовались другой схемой атаки: они распространяли вредоносные приложения, рассылая по электронной почте фишинговые сообщения, которые имитировали доверенные ресурсы.

На этот раз, чтобы добраться до информации, хранящейся в изолированных от интернета сетях правительственных организаций, хакеры пользовались вредоносными приложениями для USB-накопителей.

Атака была многоэтапной - сначала злоумышленники заражали подключенный к сети компьютер специальной программой, которая отслеживала подключенные USB-устройства и заражала их. Когда этот накопитель подключался к внутренним компьютерам, вирус составлял список содержащихся на нем файлов.

При следующем подключении к компьютеру, имеющему доступ в интернет, список передавался хакерам. Те выбирали интересующие их файлы, и, когда тот же USB-накопитель повторно подключался к защищенному компьютеру, вирус копировал с него только нужные файлы, чтобы впоследствии передать их хакерам через подключенный к глобальной сети компьютер.

Вредоносный файл маскировался под обычный софт USB Disk Security, говорится в сообщении ESET. Почему злоумышленники выбрали именно такой способ маскировки, Баранов затруднился предположить.

Правительственные организации часто создают внутренние сети без доступа в интернет, говорит замдиректора центра информационной безопасности «Инфосистемы Джет» Валентин Крохин. Использование человеческой небрежности - очень распространенный способ атаки на такие закрытые сети, добавляет он.

О похожей атаке на компьютеры посольств как минимум девяти стран (среди которых Германия, Китай, Польша и Бельгия) в странах Восточной Европы, а также компьютеры посольств Украины и администрации премьер-министра этой страны Арсения Яценюка в августе сообщал другой производитель антивирусов, компания Symantec. Вирус Snake заражал веб-сайты, которые регулярно посещались сотрудниками правительства, оборонной промышленности и дипломатических служб. Cреди их посетителей он умел выбирать интересующие его организации. Потом он собирал информацию о положении человека в организации, чтобы на компьютеры самых влиятельных установить полную версию вируса Snake. В публикации газеты Financial Times эксперт по кибервооружениям Объединенного института по оборонным исследованиям Великобритании Питер Робертс связывал организаторов той атаки с российским правительством.

Хакеров Sednit также могли поддерживать организации, связанные с правительством какой-то страны, полагает Баранов. По его мнению, хакеров могла интересовать информация, которая могла повысить конкурентоспособность компаний этой страны на рынках других стран.

Затраты на разработку подобной атаки с нуля могут начинаться от $100 000, тогда как разработка вируса для веб-браузера начинается от $50 000, примерно столько же стоит разработка приложения под платформу Windows, оценивает менеджер по развитию продуктов компании InfoWatch Андрей Арефьев. По его словам, в последнее время большинство хакерских атак имеют сложную многоступенчатую структуру, и особенно это характерно для целенаправленных атак.