Не «залегли на дно»: эксперты рассказали о возобновлении деятельности «российских хакеров» из APT29
Хакерская группа APT29, которую западные спецслужбы связали с российской разведкой, использует десятки серверов для работы с вредоносным софтом, заявила компания RiskIQ. Несмотря на привлеченное широкое внимание, она не «залегла на дно», а «вернулась к обычной деятельности», считает эксперт
Американская компания RiskIQ, работающая в сфере кибербезопасности, обнаружила десятки серверов, которые, по ее данным, контролирует хакерская группа APT29, названная в докладе российской. Об этом сообщается на сайте RiskIQ.
RiskIQ утверждает, что обнаружила около 30 серверов, которые, по ее оценке, используются APT29 для работы с вредоносным программным обеспечением WellMess. Компании не удалось найти связанное с этой инфраструктурой вредоносное ПО, однако она «подозревает», что речь идет о софте, схожем с тем, о котором сообщалось ранее.
Что сообщали о APT29
Группа хакеров APT29 также известна как Cozy Bear или The Dukes. В июле прошлого года спецслужбы США, Канады и Великобритании заявили, что она «почти наверняка» является частью российской Службы внешней разведки (СВР). В их докладе говорилось, что в 2020-м группа атаковала организации трех стран, «весьма вероятно», стремясь украсть информацию, касающуюся вакцин от коронавируса. Хакеры использовали вредоносный софт, известный как WellMess или WellMail, отмечалось в документе.
Ушли в тень: почему хакерская группировка REvil свернула свою деятельность
В 2016 году газета The Washington Post со ссылкой на компанию CrowdStrike также сообщала, что российские группировки Cozy Bear и Fancy Bear получили доступ к компьютерной сети национального комитета американской демократической партии. В конце прошлого года издание со ссылкой на источники писало, что APT29 стоит за атакой на компанию SolarWinds, позволившей проникнуть в сети американских правительственных учреждений и бизнеса.
СВР назвала обвинения США в причастности к кибератакам «словоблудием» и «бредом». Глава ведомства Сергей Нарышкин охарактеризовал обвинения как «лестные», но подчеркнул: «Не в моих правилах представлять такие творческие достижения других авторов, других исполнителей за свои».
Не «залегли на дно»
Аббревиатура APT расшифровывается как advanced persistent threat («постоянная серьезная угроза»). Группы, получающие такое название, зачастую временно «залегают на дно», когда привлекают широкое внимание, заявил Bloomberg директор RiskIQ по вопросам исследования угроз Кевин Ливелли. По его словам, APT29, несмотря на привлеченное внимание, «вернулась к своей обычной деятельности».
RiskIQ также обращает внимание на то, что всего около месяца назад прошла встреча президента России Владимира Путина и президента США Джо Байдена. В ходе переговоров Байден передал Путину список из 16 секторов американской инфраструктуры, которые не должны подвергаться кибератакам. Россия и США также договорились о консультациях на тему кибербезопасности.
«Будет только хуже»: миллиардер-айтишник предупредил, что хакеры могут взломать все — даже лампочки
Посольство России в Вашингтоне напомнило Bloomberg о сделанном ранее заявлении, в котором призвало журналистов прекратить выдвигать масштабные обвинения и выразило уверенность в том, что переговоры с США приведут к «укреплению безопасности информационной инфраструктуры» двух стран. Представитель Белого дома отказался дать агентству комментарий.