Компьютеры посольств Украины в странах Восточной Европы, а также в Кабинете министров стали объектом кибератаки. Об этом со ссылкой на Financial Times сообщают аналитики раздела «Новости Украины» издания для инвесторов Биржевой лидер. Происхождение вируса, атаковавшего служебные компьютеры в учреждениях, выполняющих государственные функции, связывают с российскими хакерами.
Сообщается, что кибератака была направлена на 10 посольств Украины и еще 10 дипломатических представительств других государств в Восточной Европе. В их перечень попали Польша, Германия, Китай и Бельгия. В результате кибератаки злоумышленники получили доступ к ценной дипломатической информации конфиденциального характера.
О ситуации с использованием вирусных программ для взлома компьютеров украинских государственных органов стало известно из отчета, предоставленного одним из передовых производителей антивирусного программного обеспечения Symantec. Представители компании сообщили о 60-ти зараженных машинах в Кабинете Министров Украины, возглавляемом Арсением Яценюком.
Кроме этого журналистам стало известно, что для осуществления кибератак использовался известный вирус Snake. Эта вредоносная программа ранее уже изучалась аналитиками правоохранительных структур. Ее основным отличием от большинства компьютерных вирусов является адресное действие. В то время, когда остальные инструменты хакеров имеют возможность самокопироваться и распространяться в хаотическом порядке, Snake «работает» только на конкретной машине или группе машин. Питер Робертс эксперт по кибервооружениям Объединенного института по оборонным исследованиям Великобритании сообщил журналистам, что ели этот вирус был выявлен в украинских органах власти, то он был специально нацелен на них.
Как работает Snake.
Действие вируса имело несколько основных этапов. Сначала хакеры инфицировали его кодом 84 самых популярных сайта, которые посещают сотрудники дипломатических ведомств, правительства и учреждений оборонной промышленности. Для получения данных о пользователе и установки на требуемые ПК вирус предлагал автоматическое обновление софта. Данные тех пользователей, которые соглашались это сделать, попадали к хакерам, а те в свою очередь, отбирали IP-адреса необходимых компьютеров в госструктурах. Большая часть машин была поражена вирусом wipbot, а компьютеры наиболее влиятельных чиновников получали версию Snake, способную собирать и передавать необходимую информацию.
Эксперты, с которыми удалось проконсультироваться журналистам, утверждают, что уровень сложности атаки является очень высоким. В частности эксперт «Лаборатории Касперского» Александр Гостев заявил, что за подобной акцией стоят весомые финансовые ресурсы и не один год работы квалифицированных специалистов. Такую атаку могла провести только хорошо оснащенная и финансируемая группировка хакеров, которую поддерживает государство.
Русский «след».
Согласно заявлению Робертса, вероятность того, что вирус был разработан российскими специалистами, достаточно велика, так как в его коде обнаружены некоторые русскоязычные слова. В то же время Гостев возражает, так как прямым доказательством причастности российской стороны к кибератаке это не является. Никаких прямых подтверждений тому, что между российским правительство и организаторами атаки есть связь нет. Тем более, что фактов использования полученной в ходе нее информации не зафиксировано. При этом сложно представить, что программисты западных стран или Японии будут использоваться в качестве одного из внутренних имен вируса «Zagruzchik.dll».
Гендиректор компании Digital Security (консалтинг в области информационной безопасности) Илья Медведовский считает, что устанавливать причастность той или иной страны к созданию вредоносной программы путем поиска в ней слов из ее языка -достаточно примитивное решение. Получается, что ели бы авторы программы хотели обвинить в ее создании итальянских хакеров, то добавили бы в нее пару слов на итальянском языке. По словам Медведковского, определить происхождение программы с технической точки зрения практически невозможно.
Менеджер по развитию продуктов компании infowatch Андрей Арефьев склонен считать, что происхождение программы может быть доказано только по ее привязке к командным центрам и стилистике написания программного кода. При этом «замести» подобные следы достаточно легко. Хакеры могут руководить работой вируса через сеть промежуточных серверов, которые будут располагаться в разных странах. А сам программный код, с помощью определенных инструментов можно полностью превратить в последовательность символов, которую человек прочитать не может. Арефьев уверен, что уровень квалификации хакеров, подготовивших кибератаку на дипломатические учреждения и Кабинет Министров Украины, очень высок.
Это дает возможность предположить, что они не могли допустить столь грубых ошибок, указывающих на их связь с российским правительством. Эксперт допускает мысль о том, что имеющаяся информация о возможной причастности России к разработке и использованию указанного вредоносного программного обеспечения может быть выброшена в СМИ с целью провокации.
