Автор фото, Reuters
Как установила «Лаборатория Касперского», хакерский инструмент, задействованный в ходе кибератаки Sunburst, имеет как минимум три совпадения с кодом Kazuar, употреблявшимся ранее группой компьютерных взломщиков, известной как Turla. Власти Эстонии, против которой была в основном направлена деятельность Turla, считают, что за ней стоит ФСБ.
Совпадения касаются способов маскировки зловредного обеспечения от служб кибербезопасности, поиска жертв и расчета времени, в течение которого вирус остается «спящим», а потом начинает действовать.
«От одной такой находки можно отмахнуться. Две заставляют поднять бровь. Три не могут быть случайностью», — заявил Рейтер руководитель отдела глобальных расследований и анализа «Лаборатории Касперского» Костин Раю.
О кибератаке, получившей название Sunburst, стало известно в конце декабря. По имеющимся данным, она продолжалась несколько месяцев и стала самой длительной и масштабной в истории США.
Неизвестные хакеры взломали популярную программу управления корпоративными сетями Orion, разработанную американской компанией Solar Winds и получили доступ к конфиденциальной информации примерно 18 тысяч пользователей, в том числе в министерствах финансов, торговли и внутренней безопасности, а также в коммерческом секторе.
Как писала ранее New York Times, целью операции, по всей видимости, являлось не нарушение работы сетей, а скрытый сбор разведывательной информации.
В совместном заявлении от 5 января ФБР, Агентство национальной безопасности, Агентство кибербезопасности и безопасности инфраструктуры (CISA) и офис директора Национальной разведки заподозрили в произошедшем «действующее лицо, вероятно, российского происхождения».
Уходящий президент Дональд Трамп высказал предположение о возможной причастности Китая.
Находка «Лаборатории Касперского» — первое подтверждение версии о «российском следе» из независимого источника.
По словам Костина Раю, она не является безусловным доказательством того, что программу Orion взломала именно Turla, но указывает на связь между обеими атаками. Возможно, две группы хакеров получили зловредное обеспечение из одного источника, либо вообще оставили ложные следы с целью запутать расследование.
Идентификация виновников кибератак — задача огромной сложности.
Российские хакеры, которые предположительно обрушили серверы зимней Олимпиады 2018 года в южнокорейском Пхёнчхане во время церемонии открытия, имитировали «почерк» коллег из Северной Кореи.
Американские следователи говорят, что потребуется несколько месяцев, чтобы определить подлинный масштаб компьютерного взлома Sunburst и нанесенный им ущерб.
Российские власти последовательно отвергают все обвинения в кибератаках против других государств. ФСБ не ответила на просьбу Рейтер о комментарии.
