В ходе расследования кибератаки в США специалистами Лаборатории Касперского были найдены фрагмент русского развернутого кода

кем Алекс Юсташевич
0 комментировать
0

Московская компания, занимающаяся кибербезопасностью, сообщила, что часть вредоносного кода, использованного против правительства США в ходе кибератаки в прошлом месяце, пересекается с кодом, который ранее использовался подозреваемыми российскими хакерами.

Результаты расследования «Лаборатории Касперского» могут стать первым публичным свидетельством в поддержку обвинений Вашингтона в том, что Москва стояла за самой крупной за последние годы кибератакой против правительства, затронувшей 18 000 пользователей программного обеспечения, произведенного SolarWinds, включая правительственные учреждения США.

Однако исследователи из Kaspersky предупредили, что сходство кода не подтверждает, что за обеими атаками стоит одна и та же группа.

Согласно выводам, опубликованным следователями Георгием Кучериным, Игорем Кузнецовым и Костином Райу, бэкдор под названием Sunburst, используемый для связи с сервером, контролируемым хакерами, напоминал другой хакерский инструмент под названием Kazuar, который ранее был приписан APT Turla (повышенная постоянная угроза).

Атаки Turla были задокументированы как минимум с 2008 года, когда считалось, что эта группа проникла в Центральное командование США. Позже Turla была замешана в атаках на посольства в ряде стран, министерства, коммунальные службы, поставщиков медицинских услуг и другие операциях. Несколько компаний, занимающихся кибербезопасностью, заявили, что, по их мнению, хакерская команда является русской, а в отчете эстонской разведки за 2018 год говорится, что группа «связана с федеральной службой безопасности, ФСБ».

Спецслужбы США на прошлой неделе опубликовали совместное заявление, в котором обвинили Москву в организации атаки, которая, по их словам, «продолжается» более чем через месяц после обнародования. Москва отрицает ответственность.

Бэкдор Sunburst, использованный в недавней атаке, позволял хакерам получать отчеты о зараженных компьютерах и затем атаковать те, которые они сочли интересными для дальнейшей эксплуатации. Подавляющее большинство из 18 000 зараженных машин не было передано для дальнейшей эксплуатации, что свидетельствует о высокой целенаправленности атаки.

Исследователи «Лаборатории Касперского» обнаружили, что функции, которые держали вредоносную программу в бездействии в течение нескольких недель, а также способ кодирования информации о целях, по-видимому, имели ссылки на Kazuar, о чем впервые сообщила Palo Alto Networks в 2017 году. «Отличительной чертой операций Turla являются итерации их инструменты и происхождение кода в Kazuar можно проследить как минимум до 2005 года », — сообщила тогда фирма, занимающаяся кибербезопасностью.

Следователи «Лаборатории Касперского» заявили, что могут быть и другие объяснения перекрытия кодов, помимо того, что Turla стоит за атакой SolarWinds. Возможно, злоумышленники были «вдохновлены» кодом Казуара; что обе группы получили свое вредоносное ПО из одного источника; что бывший член Turla передал код новой команде; или что код был использован как «ложный флаг», использованный в атаке специально, чтобы привлечь вину Turla и вовлечь Москву.

«Тем не менее, это любопытные совпадения», — написала группа. «Одно совпадение не было бы таким необычным, два совпадения наверняка вызовут недоумение, а три таких совпадения вызывают у нас подозрение».

Оставить коментарий