Российская банда хакеров, вероятно, работающая на правительство, воспользовалась ранее неизвестной уязвимостью в Windows, операционной системе от Microsoft, чтобы шпионить за НАТО, украинским правительством, одним из ученых, сотрудником университета США и другими субъектами национальной безопасности.
Группа была активна, по крайней мере, с 2009 года, согласно исследованию ISight Partners, фирмы, специализирующейся на кибербезопасности. В числе ее мишеней также была польская энергетическая фирма, западноевропейское государственное учреждение и французская телекоммуникационная компания.
«Это подпадает под определение шпионской деятельности, - сказал директор ISight Стивен Уорд. - Все показатели, от целевых ориентиров и до перспективной выгоды, указывают на шпионаж, отвечающий российским национальным интересам». Нет никаких признаков, что банда стоит за недавней чередой взломов в системы американских банков, в том числе JPMorgan Chase.
Нынешние и бывшие чиновники американской разведки говорят, что возможностями российские хакеры могут потягаться со своими американскими и израильскими «коллегами». «Возможно, что они стали более деятельными в ответ на ситуацию в Украине, - сказал бывший сотрудник разведслужб. - И когда вы активизируетесь, вы рисуете быть пойманными».
ISight окрестили недавно обнаруженную группу хакеров «Песчаным червем», поскольку в их коды были встроены ссылки на научно-фантастический роман «Дюна». Например, были найдены неоднократные упоминания вымышленной песчаной планеты Арракис.
Фирма начала следить за деятельностью хакеров в конце 2013 года, а в августе обнаружила брешь – так называемую «уязвимость нулевого дня», - сказал Уорд. Этот изъян присутствует в каждой операционной системе Windows, от Vista до версии 8,1, кроме Windows XP.
Украинское правительство стало жертвой взлома в конце августа, в преддверии саммита НАТО в Уэльсе, где государства-члены обсудили действия России в Украине. Используя технологию, называемую «гарпунным фишингом», «Песчаный червь» рассылал письма по электронной почте, которые, казалось, приходили из официальных источников, но к ним были прикреплены вложения, которые при открытии позволяли хакерам получить доступ к компьютерам адресатов, сказал Уорд.
Некоторые из фишинговых электронных сообщений были посвящены глобальному форуму безопасности и предполагаемому списку российских сочувствующих или «террористов», говорится в сообщении.
Технический аналитик ISight Дрю Робинсон сказал, что фирма приписывает атаки России отчасти из-за выбора целей, и отчасти потому, что командный сервер, находящийся в Германии, не был должным образом защищен. На сервере были найдены компьютерные файлы на русском языке, загруженные хакерами. «Они могли бы закрыть его, и они этого не сделали, - сказал он. – Это говорит о невнимательности к операционной безопасности».
Компания ISight была не в состоянии определить, сопутствовал ли хакерам успех в получении информации. Но Робинсон сказал, что на основе анализа вредоносных файлов, ISight смогла определить, что определенные цели - в том числе государственные украинские серверы - были скомпрометированы.
«Песчаный червь», видимо, адаптировал вредоносные программы, ранее использованные злоумышленниками, чтобы «замаскировать» свои шпионские намерения.
Microsoft планирует выпустить патч, чтобы залатать брешь в системе, в рамках ежемесячного мероприятия в отраслевой безопасности «Patch Tuesday» - скоординированного выпуска исправлений уязвимостей в программном обеспечении. Пресс-секретарь Microsoft заявил, что патч выйдет в бюллетене по безопасности под номером MS14-060.