Хакери з московським графіком роботи

Депутатам Бундестагу наприкінці червня обмежили доступ до понад 100 тисяч сайтів - своєрідна цензура заради захисту самих парламентарів. Таке непросте рішення ухвалили фахівці з інтернет-безпеки Бундестагу після потужної атаки на його комп'ютери, про яку стало відомо у травні.

Пошук зловмисників швидко дав плоди. Вони знайшли сліди активності шкідливої програми ("троянського коня") з налаштуваннями російською мовою - вже цей факт навіяв слідчим певні думки. У федеральному відомстві з безпеки у сфері інформаційної техніки (BSI) і Федеральному відомстві з охорони конституції, яке переважно займається контррозвідувальною діяльністю, впевнені, що йдеться про угруповання саме з Росії. Їхню точку зору поділяють і кілька фахівців з інформаційних технологій (ІТ), які висловилися анонімно. Про хакерів, яких підозрюють в атаці на Бундестаг, як з'ясувалося, на Заході зібрали доволі багато інформації.

Економічні таємниці їх не цікавлять

На відміну від хакерів, які базуються в Китаї і вишукують економічні таємниці та цікаві для підприємців Піднебесної наукові патенти, російськомовне угруповання не цікавиться ні здобуванням фінансової інформації, ні інтелектуальною власністю - тільки політичними таємницями. "Ми спостерігаємо за роботою добре тренованої команди розробників, які збирають розвідувальну інформацію з геополітичних питань і питань оборони - дані, які цікаві лише урядам", - написала у своєму звіті американська компанія FireEye, що спеціалізується на комп'ютерній безпеці. Групу хакерів вона називає APT28 (в інших джерелах - Sofacy).

APT28 за роки активної роботи - перші ознаки її діяльності помітили у 2006 році, - встигла здійснити багато нападів у різних напрямах, причому в першу чергу на ті цілі, які цікаві і владі в Кремлі, помітили в компанії FireEye. Це передусім уряди східноєвропейських країн, Грузії, структури НАТО, ОБСЄ, а також інших європейських організацій, які займаються питаннями безпеки.

"Троянський кінь" збирає себе частинами

Остання зафіксована велика атака з почерком групи APT28, окрім Бундестагу, була здійснена на польський уряд 11 серпня 2014 року. Напад виглядав так: працівник уряду побачив у електронній скриньці лист, який не виглядав підозріло, із вкладенням "MH17.doc". Це номер збитого за місяць до того в небі над Донбасом лайнера "Малайзійських авіаліній". Польський чиновник, нічого не підозрюючи, відкрив файл. У ньому, крім тексту без певного змісту, перебувала частина шкідливої програми. Такі листи отримав не лише він. Як тільки кілька "наживок" проникають у комп'ютер непомітно для антивірусних систем, програма збирає сама себе з частин і починає непомітно для користувача красти його дані.

Тільки в Бундестазі, за попередніми підрахунками, злочинцям вдалося таким чином вкрасти не менше 16 гігабайтів інформації. І це ще, можливо, не кінець. Поки сліди "троянця" зафіксовано на 15 персональних комп'ютерах (ПК) у офісах депутатів Бундестагу. Усього ж у німецькому парламенті близько 7000 ПК. До пошуку слідів атаки залучили не лише фахівців BSI, а й приватну детективну агенцію.

Інший спосіб виманити обманним шляхом дані - надіслати посилання з фальшивою адресою, яка мало відрізняється від справжньої. Так хакерам вдалося отримати необхідні їм відомості в міністерстві оборони Угорщини: співробітниця відомства зареєструвалася для участі в оборонному ярмарку Eurosatory за підробленим посиланням (eurosatory2014.com замість eurosatory.com).

Зламування? Суворо за розкладом

Хакери, про яких ідеться, дуже дисципліновані - працюють суворо за розкладом. Понад 96 відсотків їхніх атак, які зафіксували фахівці FireEye, відбулися з понеділка по п'ятницю. Затримуватися на "роботі" вони теж не люблять - 89 відсотків атак здійснені з їхніх ІР-адрес з 10 до 18 за московським часом. При цьому понад половина всіх налаштувань у програмах, які шпигували за різноманітними урядами з 2007 по 2014 роки, були написані, за даними FireEye, російською мовою.

Хто може дозволити собі атакувати великі урядові структури інших держав, використовуючи складні програми, розроблені російською мовою, протягом багатьох років? Фахівці з компанії FireEye упевнені: без постійної підтримки така хакерська діяльність була б просто неможливою. Вони відверто висловлюють підозру, що за хакерами стоїть російська влада. "У нас немає фото окремих співробітників, їхніх приміщень чи назви держвідомства, але в нас є докази роботи і чітко спланованих операцій, які означають існування державного спонсора, а саме в вигляді керівництва в Москві", - йдеться у звіті FireEye.

Раніше глава Федерального відомства з охорони конституції Німеччини Ганс-Ґеорґ Масен заявляв, що за кібератакою на Бундестаг може стояти закордонна спецслужба. Водночас підозрювати й довести - дві різні речі. "Юридично довести відповідальність якої-небудь хакерської групи за поширення "троянського коня" неможливо", - вважає Енді Мюллер-Маґун, представник відомої німецької організації Chaos Computer Club, до якої входять чимало ІТ-фахівців із Німеччини. Він також не виключає, що справжні автори атак могли діяти "під чужим прапором" уже відомого хакерського угруповання.