РОССИЙСКИЕ ХА...

РОССИЙСКИЕ ХАКЕРЫ АТАКУЮТ

4
0
ПОДЕЛИТЬСЯ

Журнал «Шпигель» сообщил, что немецкий Бундестаг, а также военные электронные сети в очередной раз стали жертвами хорошо спланированной хакерской атаки. Вину за это нападение немецкие специалисты возлагают на группу, известную сразу под двумя названиями: Snake и Turla. По данным контрразведки ФРГ, группа эта является российской, более того – действует, как подразделение ФСБ РФ.

Согласно информации, обнародованной «Шпигелем», нападению подверглись сразу несколько «почтовых ящиков» немецких депутатов, которые либо известны своей антикремлевской позицией, либо задействованы в работе комиссий и комитетов Бундестага, связанных со стратегически важными отраслями – обороной, военной промышленностью и т.д. Кроме того, параллельно с этим, были осуществлены атаки на серверы Бундесвера и нескольких немецких посольств. Немецкое Федеральное управление по защите Конституции (Bundesverfassungsschutz) сообщило, что «в рамках противодействия кибератакам, были зарегистрированы нападения со стороны группы Snake. Жертвами преимущественно стали госслужащие и политики».

Российская «змея»

Собственно, нападение было проведено не на серверы немецкого парламента, а на серверы тех партий и их парламентских фракций, которые считаются «антипутинскими» – в основном, пострадали депутаты от немецкой партии «зеленых».

Что же такое эта «Змея» (именно так переводится с английского название этой хакерской группы, Snake), которая в очередной раз пытается «укусить» немецких политиков и военных? Эти хакеры давно уже известны не только немецким контрразведчикам, чьи IT-специалисты считают их «исключительной хакерской командой», потому что ее методы работы очень напоминают неплохо организованные действия военного подразделения, а аппаратура, которую она использует, является ультрасовременной и самой сложной из тех, которую используют другие хакеры. За действиями этой группы напряженно следят не только немецкие контрразведчики, но и их эстонские коллеги, которые в Евросоюзе отвечают за общеевропейский защиту от кибератак. Они также пришли к выводу, что группа Snake или Turla – это никто иной, как российские эфэсбэшники.

В Германии группа Snakeстала известной своей атакой на закрытую правительственную информационную систему IVBB, которая произошла в начале этого года.Правда, официально не было доказано, что за этой атакой стоят именно данные хакеры, но материалы, которые получил «Шпигель», уже тогда позволяли, по крайней мере,  очертить стиль «работы» этой группы.В конце концов, результатами «змеиной» деятельности контрразведчики могли «любоваться», начиная еще с 1998 года, когда группа Snakeвпервые приняла участие в шпионской кампании против Пентагона – кампании, которая стала почти легендарной среди «кибербойцов» под именем MoonlightMaze.Два года подряд американское оборонное ведомство подвергалось шпионским нападениям по всем правилам тогдашнего хакерской искусства.Уже тогда американцы были убеждены, что за всем этим стоят именно российские шпионы – правда, считалось, что работают они, скорее, на какого-то иностранного заказчика (некоторые указывали пальцем на китайцев).

Но только в прошлом, 2017-м, году (то есть через 19 лет после MoonlightMaze), уже  германские специалисты установили связь между этой атакой и актуальным на тот момент компьютерным вирусом с рабочим названием Turla.Российская хакерская группа использовала для создания этого вируса части старого кода, который написала в 1998 году, модернизировав его.

В 2008 году группа совершила атаку на американских военных с помощью вируса Agent.BTZ, получив доступ к некоторым секретным документам Пентагона.Проникновение вируса было зарегистрировано на одной из американских военных баз на Ближнем Востоке, с помощью USB-накопителя – то есть, сработал кто-то из сотрудников базы.Тогда Пентагону потребовалось почти 14 месяцев, чтобы «вычистить» свои системы от этого вируса.

Изучение обоих этих вирусов показало, что программисты, которые его писали, общаются на русском языке в качестве родного.Кроме того, некоторые части кода также были распознаны, как фрагменты более ранних российских хакерских программ.Впрочем, опять же: юридически подобные вещи не считаются прямыми доказательствами – разве что побочными.

Эта самая «скупость» – повторное использование и дальнейшая разработка старых кодов – стала своеобразной «визитной карточкой» группы, она отслеживается во всех ныне известных ее операциях. Вирус Uroborus, обнаруженный в 2014 году, имеет сходство с вирусом Agent.BTZ – это шпионский софт, которым было инфицировано множество министерств, секретных служб, посольств, исследовательских институтов и фирм по всему миру. Свое название он получил от работников немецкой компании G Data, чьи специалисты его впервые заметили и исследовали. Их вывод: «это очень высокоразвитый и сложный шпионский софт, который разрабатывали компьютерные эксперты высокого класса». Ральф Бенцмюллер, один из специалистов G Data, считает, что и по сей день именно эти эксперты остаются «в деле». По его мнению, «скорее всего, это какие-то служащие – фирма или государственное учреждение». Почерк хакеров из Snake резко отличается от почерка, скажем, китайских хакеров или даже российской же группы, известной, как APT 28.

Основным принципом работы «змей» является, прежде всего, незаметно извлечение информации даже с компьютеров, вообще не подключенных к открытому Интернету, рассказывает Бенцмюллер. Kроме того, группа очень хорошо умеет защищать собственные коды от разоблачения с помощью антивирусных программ.

Это описание, в общем, очень подходит к тому, что выяснили до сих пор о группе Snakeнемецкие контрразведчики, пользуясь данными о взломе правительственного немецкого интранета IVBBи серверов Министерства иностранных дел Германии: софт, который был тогда использовано, оказался чрезвычайно комплексным.Он не просто переправлял большие массивы информации на контрольный сервер, но и целенаправленно искал ключевые слова в документах, а также выполнял поиск конкретных пользователей, которые работали с «закрытыми» темами.Сам же вирус после проникновения в систему сначала вообще ничего не делал, оставался пассивным, чтобы его раньше не заметили.Активизировавшись, он переправлял «заказчику» «целых» 240 килобайт информации – слишком малое количество, чтобы кто-то это заметил, просто «сигнальный пакет».Без указания, полученной от неназванной «дружественной» спецслужбы (некоторые считают, что это были американцы, а другие – что эстонцы), этот вирус, вероятно, до сих пор остался бы незамеченным.

«Прямых доказательств нет» 

В последний раз, как сообщает «Шпигель», результатом атаки стала кража, по крайней мере, трех секретных документов.Все три имеют прямое отношение к России – точнее, к российско-украинской «гибридной» войне.К сожалению, на этот раз просто физически невозможно напрямую обвинить российские спецслужбы: немецкое и вообще европейское «киберзаконодательство» просто еще недостаточно развито, чтобы четко определять ту или иную информацию в качестве доказательств.Даже самые немцы не окончательно уверены: «Может так случиться, что хакеры специально подбросили фальшивые указания на причастность россиян, это технически возможно», – объясняет Бенцмюллер.

Именно эта неопределенность и позволяет Кремлю раз за разом отрицать свое участие в атаках. Или, как говорил путинский пресс-секретарь Дмитрий Песков: «Мы с сожалением осознаем, что все хакерские атаки на свете связываются с российскими хакерами. Прямых доказательств этого нет». Правда, возможно – господину Пескову не о чем сожалеть. Медийный ажиотаж вокруг каждой подобной атаки только поддерживает имидж российских государственных хакеров, как «волшебников», которым все на свете доступно. Этот имидж уже настолько распространился, по крайней мере, среди немцев, что они уже успели даже придумать об этом несколько остроумных анекдотов. Например, о пользователе антивирусного пакета лаборатории Касперского, который на немецком языке спрашивает онлайн-поддержки: мол, нет для моих данных опасности со стороны российских хакеров? На что сотрудник онлайн-службы отвечает ей по-русски, казенным «Никак нет!».

БЕЗ КОМЕНТАРИЕВ

ОСТАВИТЬ ОТВЕТ