Эксперты увидели сходство в инструментах «российских хакеров» и взломщиков ведомств США
Эксперты обнаружили сходство между инструментами хакеров, взломавших американские ведомства, и методами группировки, которую эстонская разведка связывала с российскими спецслужбами. Но это не означает, что за атаками стоят одни и те же хакеры, — возможно, речь идет о подражателях, предупреждают специалисты
Хакеры, взломавшие системы госведомств США, использовали инструменты, похожие на те, которые применяют российские кибервзломщики, сообщает Reuters со ссылкой на «Лабораторию Касперского».
По данным специалистов по кибербезопасности, инструмент, который использовали для взлома примерно 18 000 клиентов SolarWinds, напоминает вредоносный софт, связанный с хакерской группой Turla. Эстонская разведка в 2018 году утверждала, что Turla связана с ФСБ России.
По словам руководителя глобального центра исследований и анализа угроз «Лаборатории Касперского» Костина Райю, у инструмента, использованного при атаке на SolarWinds, и инструмента Kazuar, который использует Turla, есть три сходства: способ, которым обе вредоносные программы пытались скрыться от специалистов по безопасности, метод идентификации жертв и формула, которую они использовали для расчета периодов, когда вирусы должны бездействовать, чтобы избежать обнаружения.
«Одно такое сходство можно было бы не принимать во внимание. Два определенно заставляют меня приподнять бровь. Три — это больше, чем совпадение», — заявил Райю.
Интервью хакера: «Взломать можно кого угодно»
При этом уверенно приписать кибератаки какой-то конкретной группе хакеров без весомых доказательств нельзя, отмечает Reuters. К примеру, когда российские хакеры сорвали церемонию открытия зимних Олимпийских игр в 2018 году, они умышленно подражали северокорейским «коллегам», чтобы отвести от себя подозрение, пишет агентство.
По словам Райю, цифровые улики, обнаруженные его командой, не указывают на прямую причастность Turla к взлому SolarWinds. Он считает, что атаку могли совершить как хакеры Turla, так и те, кто им подражает.
В середине декабря власти США обнаружили, что хакеры атаковали правительственные ведомства и крупные IT-компании. Среди пострадавших оказалось в том числе Министерство финансов США, энергетики и торговли, а также Microsoft и IT-компания FireEye. Позже стало известно, что во время атаки хакеры использовали обновления, выпущенные IT-компанией SolarWinds с марта по июнь 2020 года для ее программного обеспечения Orion, которое используют многие госучреждения и компании. Американские власти назвали этот взлом одним из самых серьезных за последние пять лет.
Хакерская атака на министерства и ведомства США могла направляться из России
Газета The Washington Post утверждала, что к кибератакам причастна хакерская группа APT29 (Cozy Bear), предположительно связанная с российской разведкой. В начале января ФБР и другие спецслужбы США заявили, что атака могла направляться из России. Посольство России в США отрицало обвинения в причастности к атаке и назвало их безосновательными.