Финская фирма F-Secure обвинила хакеров The Dukes в работе на Кремль

Zakon.kz

Анализ хакерских программ позволил аналитикам сделать вывод, что авторы вирусов говорят по-русски.

Хакерская группировка The Dukes, предположительно атаковавшая вирусами цели в НАТО, США и Центральной Азии, работает в интересах правительства России, утверждает финская компания F-Secure, сообщает Русская служба ВВС.

Фирма, которая занимается вопросами кибербезопасности, опубликовала в четверг доклад, в котором утверждает, что хакеры оказывают поддержку разведывательной деятельности России. Финны опираются на собственные изыскания и работы российской компании \"Лаборатория Касперского\".

\"Лаборатория Касперского\" сообщила Би-би-си, что обратила внимание на опасные вирусы семейства Dukes в 2013 году.

В апреле 2015 года \"Лаборатория\" назвала Россию в числе стран, атакованных хакерами из The Dukes.

Анализ хакерских программ позволил аналитикам сделать вывод, что авторы вирусов говорят по-русски.

\"Уязвимость нулевого дня\"

Хорошо организованная, обладающая мощными ресурсами и целеустремленная группировка кибершпионов работает в интересах Российской Федерации как минимум с 2008 года, предполагает финская компания F-Secure. Ее предположения изложены в 34-страничном докладе “The Dukes. Семь лет российского кибершпионажа”, опубликованном в четверг.

Финны считают, что хакерская группировка The Dukes занимается сбором разведданных, которые используются российскими властями при принятии решений в сфере внешней политики и безопасности.

Доклад анализирует серию кибератак, предположительно проведенных The Dukes с 2008 по 2015 год. В качестве кибероружия использовались вирусные программы PinchDuke, MiniDuke, CozyDuke, HammerDuke и другие.

Авторы документ неоднократно ссылаются на материалы \"Лаборатории Касперского\".

\"Мы начали исследование вредоносных программ, созданных этой группой (The Dukes – ред.), в начале 2013 года\", - сообщил Би-би-си по электронной почте ведущий антивирусный эксперт \"Лаборатории Касперского\" Игорь Суменков. В феврале 2013 года российские специалисты опубликовали описание шпионского вируса MiniDuke, который использует PDF-файлы для проникновения в правительственные компьютеры.

\"Первая вредоносная программа этой группы, которую мы обнаружили - MiniDuke - отличалась удивительно малым по современным меркам размером, была написана на ассемблере (признак авторов \"старой школы\" из 90-х) и использовала twitter в качестве управляющего канала. Кроме того, при распространении авторы использовали уязвимость нулевого дня\", - рассказал Игорь Суменков.

Выбор цели

Первые нападения хакеров финские аналитики (и специалисты \"Лаборатории Касперского\") относят к 2008 году. Тогда вирусными программами PinchDuke были атакованы информационные интернет-ресурсы чеченской военно-политической эмиграции в Турции.

В следующем 2009 году последовала серия ударов с использованием PinchDuke по западным целям. Хакеры The Dukes проявляли интерес к внешней и оборонной политике США и НАТО. В частности, их интересовала информация о размещении элементов противоракетной обороны США в Польше и Чехии.

Атакам подверглись неназванный аналитический центр в США, правительственные учреждения в Польше и Чехии, МИДы Турции и Уганды. Еще одной целью стал Информационный центр НАТО в Грузии.

Весной 2010 года, утверждают финские эксперты, хакеры продолжили операции с использованием PinchDuke против Турции и Грузии. Одновременно проводились кампании против стран СНГ – Казахстана, Киргизии, Узбекистана и Азербайджана. С какой целью проводились операции в отношении этих стран, не указывается. Отмечается только, что хакеры начали использовать новый инструмент для похищения информации – CosmicDuke.

Хакеры продолжали наращивать арсенал вредоносных вирусов, получивших названия GeminiDuke, CozyDuke, HammerDuke и другие.

Год Украины

В 2013 году The Duke нацелились на Украину, говорится в докладе F-Secure. Они использовали вирусы в форме фальшивых документов-ловушек, созданных в виде PDF-файлов.

\"Лаборатория Касперского\" опубликовала примеры таких вирусов в феврале 2013 года. Внешне документы-ловушки скрупулезно имитировали официальные бумаги, а содержание их точно соответствовало политической повестке дня.

Один из таких вирусов-фальшивок назывался \"Дебаты о плане действий для Украины по членству в НАТО\".

Финны отмечают, что \"украинские\" вирусы появились задолго до Евромайдана. После начала акций протеста в Киеве и по мере развития кризиса активность The Dukes на украинском направлении начала спадать.

\"Как только Россия перешла от дипломатии к прямым действиям, Украина утратила прежнюю релевантность для The Dukes”, - утверждают аналитики F-Secure.

\"Российский след\"

Финские эксперты повторяют в заключительной части доклада, что, по их мнению, The Dukes финансирует правительство России, для которого хакеры и собирают разведданные. Кто входит в состав группировки, они не знают. Это может быть \"команда или отдел в составе государственного органа\", \"внешний подрядчик\", криминальная группировка, имеющая покровителей на самом верху\", или \"объединение технически подкованных патриотов\".

Гипотеза о том, что The Dukes работают на российские власти, по мнению финских специалистов, подтверждается объектами атак – это правительства стран Восточной Европы, государственные органы и аналитические центры Запада и даже говорящие по-русски наркоторговцы.

Авторам доклада \"Семь лет кибершпионажа\" не известно о нападениях хакеров на российские правительственные компьютеры. \"Лаборатория Касперского\" говорит, что целями The Dukes оказались более 59 \"жертв\" в 23 странах, в том числе в России.

Аналитики F-Secure также обнаружили сообщения, написанные по-русски: \"Ошибка названия модуля! Название секции данных должно быть 4 байта!\"

Финны обратили внимание на то, что время компиляции файлов соответствуют стандартным часам работы - с 09.00 до 17.00 по Московскому времени. В этом часовом поясе, напоминают они, находятся Москва и Санкт-Петербург.

\"Мы также публиковали информацию о распределении времени компиляции файлов в материале о другой вредоносной программе группы, CosmicDuke (6AM-4PM GMT, т.е. с 9 утра до 17.00 по Московскому времени – ред.). […] Мы приводим артефакты, указывающие на явную русскоязычность авторов - упоминание сайтов в зоне .ru и русские слова, \"забытые\" в теле программы\", - рассказал Би-би-си эксперт \"Лаборатории Касперского\" Игорь Суменков.

\"Мы считаем, что шпионские инструменты созданы и управляются людьми, говорящими по-русски\", - приводит сайт \"Лаборатории Касперского\" слова своего ведущего исследователя проблем безопасности Курта Баумгартнера в заметке \"The Duke вернулся\", датированной 22 апреля 2015 года. В заметке говорилось, что атакам подверглись Белый дом и Госдепартамент США, а также организации в Германии, Южной Корее и Узбекистане.