30 июля 2016 г.
В субботу, 30 июля, сотрудники ФСБ сообщили, что компьютерные сети 20 оборонных предприятий и госорганов оказались заражены вирусом для шпионажа. По мнению специалистов, атака носила четкий и спланированный характер. «Лента.ру» выяснила, как вирус проник в сети госорганов и кто может стоять за его распространением.
Что произошло
Как сообщается на сайте ФСБ, заражению подверглись компьютерные сети 20 органов государственной власти, оборонных предприятий и научных учреждений. В ведомстве считают, что это стало результатом хорошо организованной и заранее спланированной атаки.
Специалисты ФСБ уже проанализировали вирус. Они утверждают, что по содержащимся в нем файлам и общей стилистке написания он очень схож с вредоносными программами, которые уже использовались для атаки как на российские, так и иностранные компании и предприятия. Во всех случаях целью внедрения вируса был кибершпионаж.
В настоящее время ФСБ и профильные ведомства также установили и локализовали все зараженные компьютеры, серверы и узлы, чтобы помешать дальнейшему распространению вируса и минимизировать негативные последствия.
Что может вирус
В ФСБ отмечают, что вредоносная программа незаметно скачивается и устанавливается в компьютер жертвы, после чего самостоятельно подгружает необходимые для работы модули. Затем она начинает перехватывать сетевой трафик, таким образом исследуя все действия жертвы в интернете. Обычно подобные вирусы также способны копировать логины и пароли для входа на сайты, информацию о совершаемых в интернете платежах, а также сами данные платежных карт. Анализирующие полученную информацию злоумышленники затем могут войти на те или иные ресурсы под видом жертвы, а также получают абсолютно полную информацию о ее сетевой активности.
Вирус может делать скриншоты с экрана, так что если жертва просматривает на зараженном компьютере важные документы и файлы, то они непременно окажутся в руках злоумышленников. Программа также способна наблюдать за жертвой и происходящим вокруг, получив доступ к веб-камере и микрофону зараженного компьютера, и записывать всю эту информацию.
Наконец, вирус анализирует данные о нажатии на клавиши клавиатуры. Иными словами, злоумышленники знают, что печатают на зараженном компьютере. Специалисты ФСБ отмечают, что организаторы атаки могли получить доступ и к смартфонам своих жертв.
Как происходило заражение
Скорее всего, внедрившие вирус использовали сочетание двух популярных в хакерской среде методов — социальной инженерии и так называемого «фишинга».
Сначала злоумышленники устанавливают потенциальную жертву из числа работников будущего объекта взлома и изучают ее поведение и привычки в сети. Для этого анализируются социальные сети человека, в ряде случаев взламывается его домашний компьютер и смартфон. Но иногда хватает нескольких телефонных звонков, а также предварительного анализа социальных сетей жертвы.
После того как полученных данных оказывается достаточно, на рабочую почту жертвы отправляется «фишинговое» письмо. В нем содержится замаскированная под обычную вредоносная ссылка на подставной сайт или скачивание какой-либо информации. Когда жертва кликает по ней, на рабочий компьютер устанавливается троян, который затем завладевает правами администратора и получает доступ к сети.
В зависимости от типа вредоносной программы, она либо сама скачивает необходимые для слежения инструменты, либо это удаленно делает злоумышленник. После этого вирус начинает собирать данные, а также распространяется по сетям атакуемого объекта, заражая все новые устройства.
В ФСБ уже косвенно подтвердили, что программа была модифицирована для каждой жертвы с учетом характеристик ее компьютера.
Кто может стоять за атакой
Зампред комитета Госдумы по безопасности и противодействию коррупции Дмитрий Горовцев уже отметил, что за кибератакой скорее всего стоят США.
«Это выгодно прежде всего американцам. Компании Microsoft, Oracle. Их ПО, я уже не говорю о железе, заполонило все и вся, и, конечно, они представляют угрозу для нашей информационной безопасности и не только информационной безопасности», — заявил парламентарий.
В США давно поняли необходимость создания команд профессиональных специалистов по информационной безопасности, способных как защитить страну от киберугроз, так и осуществлять компьютерные атаки на инфраструктуру вероятных противников. Еще в 2009 году Министерство обороны США объявило о создании киберкомандования, и к 2018 году у американцев будут функционировать 133 группы правительственных хакеров.
В настоящее время постоянный мониторинг киберугроз осуществляют уже 27 групп, а в Пентагоне всерьез обсуждается вопрос о выделении киберкомандования в отдельную общевойсковую структуру.
Самым громким успехом американских правительственных хакеров стала атака на иранские атомные объекты. В 2010 году специально написанный компьютерный червь Stuxnet нанес непоправимый вред ядерной программе Ирана, проникнув в компьютерные сети пяти промышленных комплексов и приостановив работу центрифуг по обогащению урана. Программа также заразила личные компьютеры сотрудников нескольких АЭС, а американцы получили полную информацию о состоянии атомной энергетики в стране. Согласно опубликованным на WikiLeaks документам, записанного на флешку червя в закрытую сеть внедрил один из иностранных сотрудников АЭС.
Также известно, что американские спецслужбы вербуют хакеров-одиночек для сбора разведывательной информации. Одним из них стал уроженец Киева Максим Попов, помогавший ФБР бороться со взломщиками кредитных карт.
Еще одной страной, способной внедрить мощный вирус в компьютерную инфраструктуру российских предприятий, является Китай. В июне эксперты в области кибербезопасности отмечали, что внимание работающих на руководство Поднебесной хакеров постепенно переключается на Россию, о чем свидетельствует уменьшение числа атак на американские компании.
Одна из самых авторитетных компаний в области компьютерной безопасности FireEye в своем докладе подчеркивала, что за последние два года специалисты зафиксировали резкое снижение числа попыток проникнуть в системы различных американских компаний с целью похищения торговых и промышленных секретов.
Вместо этого китайцы сосредоточились на взломе инфраструктуры из России, Украины и государств Ближнего Востока. Представитель Лаборатории Касперского Курт Баумгартнер уже отметил, что теперь злоумышленники из Поднебесной «фокусируются на правительственных и дипломатических целях в России и бывших советских республиках».
Владимир Тодоров