Американская компания по кибербезопасности FireEye выясняла, кто пробрался в корпоративную сеть одной из американских компаний, где хранились военные данные.
Сотрудники компании установили, что в локальную сеть проник вирус, способный заражать компьютеры, даже не подключенные к Интернету и "прятаться" от обнаружения.
Инструменты для кибервзлома были надежно защищены: они шифровали украденные данные так, чтобы они напоминали трафик из электронной почты жертвы. В FireEye утверждают - разработавшая вирусы группа активна по меньшей мере с 2007 года и регулярно обновляет свои программы.
Шпионская программа получила название Sofacy и была создана с использованием русского языка. Также в FireEye выяснили, что разработка вируса пришлась на рабочие часы по московскому времени.
Исследователи пришли к выводу, что шпионское ПО спонсировала Россия.
Ведущий вирусный аналитик ESET Russia Артем Баранов cообщил изданию "Газета.Ru", что данные, приведенные FireEye, сопоставимы с наблюдениями аналитиков ESET и других антивирусных компаний.
Речь также идет об атаках на грузинских пользователей в августе 2008 года, когда произошел конфликт России и Грузии. В этих атаках использовалась вредоносная программа российского происхождения BlackEnergy, написанная российским автором. Механизм ее распространения похож на механизм, описываемый компанией FireEye в своем отчете.
Группа, которая занималась распространением вируса даже маскировала его под "отчет НАТО" или использовала эксплойты нулевого дня (0day) для установки вредоносного ПО в систему.
Компьютеры с конфиденциальной информацией часто отключают от интернета для защиты от утечек, однако для того, чтобы передавать на них данные, использовались флешки. Именно через них Sofacy и смогла попасть на защищенные компьютеры.
Также хакеры совершили три успешные атаки на Комиссию по ядерному регулированию США.
Напомним, что ранее FireEye публиковали еще три отчета, в которых сообщалось о связи России со сложной хакерской атакой, прошедшей в 2007 году. В число целей атаки входили НАТО, правительства соседних с Россией стран, а также сотрудничающие с минобороны США компании Science Applications и Academi LLC.
ЧИТАЙТЕ ТАКЖЕ
Сайты ЦИК и президента Украины подверглись DDoS-атакам
На кануне парламентских выборов, которые состоятся 26 октября, Госслужба спецсвязи и защиты информации Украины зафиксировала кибернападение. Сайт Центральной избирательной комиссии подвергся DDoS-атакам.
- Имеют место DDoS-атаки на сайт ЦИК. Это тоже было вполне прогнозируемо, поэтому заранее было налажено взаимодействие ЦИК и Госспецсвязи с провайдерами, обслуживающими зеркала и каналы. Пока зафиксирована интенсивность 400 Мбит/с, это сравнительно немного. Еще раз напоминаем: если какой либо сайт "мерцает" в результате DDоS-атаки, это не значит, что его "взломали хакеры". CERT-UA по мере появления свободных рук будет выкладывать техническую информацию, - говорится в сообщении, размещенном на странице Госспецсвязи, передает "Интерфакс".
Также около часа не работал официальный ресурс президента Украины.