В вирусе, атаковавшем компьютеры госорганов Украины, обнаружен русскоязычный код


Российские эксперты считают это недостаточным доказательством участия в атаке российских хакеров.

В компьютерах посольств Украины и администрации премьер-министра этой страны Арсения Яценюка обнаружен вирус, происхождение которого связывают с Россией, сообщает газета Financial Times (FT). Кибератака коснулась не менее чем 10 украинских посольств, а также расположенных в Восточной Европе посольств еще как минимум девяти стран, среди которых Германия, Китай, Польша и Бельгия. В результате атаки злоумышленники получали доступ к ценной дипломатической информации, сообщает FT.

О вирусной атаке на компьютеры украинских госорганов стало известно из отчета производителя антивирусных продуктов Symantec, опубликованного в четверг. В отчете говорилось о 60 зараженных компьютерах “в администрации премьер-министра страны, ранее входившей в состав СССР”; анонимный источник в разведке одной из стран НАТО уточнил FT, что речь идет об Украине.

Согласно отчету Symantec, для атаки использовался вирус Snake, уже изучавшийся аналитиками. В отличие от обычных вредоносных программ, распространение которых сложно контролировать, атака Snake адресная – вирус был нацелен на правительственные и оборонные структуры, сообщил FT эксперт по кибервооружениям Объединенного института по оборонным исследованиям Великобритании Питер Робертс.

Вирус атакует в несколько этапов, сообщает FT. На первом этапе было заражено 84 публичных веб-сайта, которые регулярно посещались сотрудниками правительства, оборонной промышленности и дипломатических служб. Вирус предлагал обновить софт на компьютерах пользователей, и информация о согласившихся передавалась операторам Snake. Из списка полученных IP-адресов они выбирали те, которые принадлежали интересовавшим их госструктурам. Компьютеры из нужных организаций заражались вирусом wipbot, который собирал информацию о положении человека в его организации. На компьютеры самых влиятельных устанавливалась полная версия Snake, которая и собирала ценную информацию.

Оценив сложность атаки, опрошенные FT эксперты сошлись на мнении, что ее могла осуществить только хорошо оснащенная группировка хакеров, которую поддерживает государство. Эта кампания кибершпионажа действительно сложная и многоэтапная, говорит главный антивирусный эксперт “Лаборатории Касперского” Александр Гостев. По его словам, за вирусной атакой стоят значительные финансовые ресурсы и не один год работы.

По словам Робертса, велика вероятность того, что вирус написан российскими оперативниками. Прямых подтверждений связи организаторов атаки с российским правительством или госструктурами, равно как и фактов использования спецслужбами полученной информации, нет, возражает Гостев. По его словам, есть лишь косвенные доказательства “русского следа”: например, одно из внутренних имен, использующихся в вирусе, – Zagruzchik.dll.

Антивирусные компании часто делают примитивные выводы об авторах вируса на основе нахождения в его теле слов на разных языках, придумать более нелепое доказательство национальной принадлежности автора сложно, считает гендиректор компании Digital Security (консалтинг в области информационной безопасности) Илья Медведовский.

На страну происхождения вируса могут указывать территориальное расположение командных центров и стилистика написания программного кода, рассказывает менеджер по развитию продуктов компании InfoWatch Андрей Арефьев. Однако уничтожить эти следы крайне легко. Профессиональный уровень авторов атаки достаточно высок, чтобы не допускать настолько грубых ошибок, поэтому приведенные доводы в пользу российского происхождения вируса больше похожи на провокацию, полагает Арефьев.

Leave a Reply

Your email address will not be published. Required fields are marked *