«Піщаний хробак» проник на Захід з Росії

smart-phone-gps«День-зеро» або Zero-day – термін, що використовується для позначення ситуацій, коли хакери виявляють раніше невідомі вразливі місця в операційних системах чи комп’ютерних додатках, після чого використовують їх для проведення кібератак та отримання несанкціонованого доступу до інформації. У подібних випадках, у операторів цих систем немає можливості для підготовки до відбиття цієї загрози і її оперативному виявленню. Тобто, засоби захисту можуть бути задіяні тільки в той момент, коли атака виявлена​​, але не раніше. Зазвичай це відбувається досить швидко.

Однак п’ять хакерських груп змогли домогтися того, що атаки залишалися непоміченими тривалий час – ймовірно, з 2009 року. Причому, ці групи шпигували нема за звичайними користувачами, а за цілим рядом західних урядів, за НАТО, енергетичним сектором країн Європи, європейськими телекомунікаційними фірмами та дослідницькими організаціями США.HollyDolly

У вівторок, 14 жовтня американська компанія iSight Partners повідомила про розкриття «широкої кампанії кібершпіонажу», яку вона вважає пов’язаною з урядовими структурами РФ.

«Піщаний хробак» і «Команда царя»

iSight Partners проводила розслідування в тісній співпраці з корпорацією Microsoft, оскільки уразливими виявилися практично всі, вироблені їй операційні системи.

iSight Partners виявила активні кампанії п’яти різних російських хакерських груп, які переслідують різні місії, різні цілі і мають різними можливостями. Як підкреслюється в прес-релізі фірми, iSight Partners стежить за «приголомшуючий барабанним дробом шпигунської активності Росії в кіберпросторі».

Одна з таких груп, «Команда Царя» (Tsar Team) – так її позначили фахівці iSight Partners – спеціалізується на використанні «хробаків» для мобільних платформ. У минулому ця команда здійснила ряд атак на розвідувальні та оборонні структури США та Європи, сервери новинних агентств і неурядових організацій. Ще одна спеціалізація цієї команди – мобільні комунікації передбачуваних джихадистів на Північному Кавказі, зокрема в Чечні.

Однак найбільш активної та потужної фахівці iSight Partners вважають групу, якій вони дали назву «Піщаний хробак» (Sandworm), через те, що хакери цієї групи «підписують» свої атаки, кодуючи в протоколах терміни з популярної серії фантастичних романів Френка Герберта «Дюна ». Серед розкодованих підписів, наприклад «arrakis02» (за назвою планети Арракис, на якій відбувається дія роману), «houseatreides94» (за назвою однієї з конкуруючих фракцій – Будинки Атридов) і «epsiloneridani0» (від Епсілон Ерідана). Піщані черви, описані в романах, – гігантські мешканці Арракис.

У вересні фінська фірма F-Secure, що спеціалізується на кібербезпеки, напала на слід Sandworm. Однак виявлені ними «відбитки» хакерів були наскільки успішно замасковані під дилетантські, що фірма порахувала команду – незначною загрозою, занесла в каталог під назвою Quedach, і не продовжила розслідування.

iSight Partners стежить за Sandworm з кінця 2013 року, за їх даними, ці хакери почали діяти чотирма роками раніше. Коронний трюк Sandworm – розсилка заражених файлів в додатку до електронного листа. Відкриваючи прикладені файли, жертва відправляє хакерам повну інформацію про використовувані програмах, в захисті яких вони знаходять «діри» і використовують їх для отримання віддаленого доступу до сервера і окремим комп’ютерам. Команда використовує також DDoS- «хробак» BlackEnergy, який здобув популярність під час російсько-грузинської війни 2008 року, як основний інструмент атак на сервери урядових структур Грузії.

Фахівці iSight Partners припускають, що саме маскування під BlackEnergy допомогла хакерам Sandworm уникати викриття такий тривалий час.

За даними iSight Partners, хакери Sandworm зламали сервери НАТО ще в грудні 2013 року, причому, користуючись не тільки Zero-day-атаками. У травні 2014 року атаці російських хакерів піддалися учасники Братиславського саміту глобальної безпеки GlobSec – щорічної зустрічі на вищому рівні, на якій традиційно збираються міністри закордонних справ і політичні лідери держав Європи. Sandworm викрадали не тільки документи, що містять секретну інформацію, але намагалися добути ключі і сертифікати серверів.

У червні 2014 активність Sandworm багаторазово зросла, кібершпіонаж вівся відносно ряду урядів країн Західної Європи. В цей же період російські хакери зламали сервери польської енергетичної фірми і французької телекомунікаційної компанії. У серпні iSight Partners виявила, що Sandworm почало кампанію по «виманювання» інформації про діяльність уряду України й однієї з американських організацій. iSight Partners підкреслює, що це збіглося за часом з проведенням саміту НАТО в Уельсі. 3 вересня Sandworm атакував вже безпосередньо Microsoft. iSight Partners була змушена негайно оповістити всі урядові організації та компанії, що користуються програмним забезпеченням Microsoft про необхідність вжити термінових заходів захисту.

Центр для животных – вет клиника днепропетровск Animalia круглосуточно.