Хакеры проникли в программное обеспечение от SolarWinds, чтобы атаковать правительства в Европе и США / фото REUTERS
Компания из Швейцарии, которая специализируется на кибербезопасности, заявила, что получила доступ к серверам, которые были использованы группой хакеров для проникновения в программное обеспечение компании SolarWinds. Это позволило выяснить детали о том, как были проведены операции и против кого.
Как пишет Bloomberg, компания PRODAFT уверяет, что хакеры продолжали свою вредоносную работу даже в этом месяце. В общем, швейцарские эксперты говорят, что смогли проникнуть в компьютерную инфраструктуру злоумышленников и получить доказательства о массивной кампании, которая разворачивалась с августа по март. Тогда пострадали тысячи компаний и правительственных организаций по всей Европе и в США.
В своем отчете PRODAFT отметили, что целью хакерской группы, которую эксперты называют SilverFish, было шпионить за своими жертвами и красть данные. SilverFish провела «чрезвычайно сложную» кибератаку против по меньшей мере 4720 целей включая государственные органы, глобальных поставщиков IT-услуг, десятки банковских учреждений в США и ЕС. Также жертвами хакеров стали крупные консалтинговые фирмы, один из крупнейших в мире производителей тестов для выявления COVID-19, а также авиационные и оборонные компании.
Швейцарские исследователи говорят, что хакеры использовали не только уязвимые места программного обеспечения от SolarWinds, чтобы атаковать своих жертв. SilverFish пока не связывают ни с одной известной хакерской организацией или страной. Однако, эксперты называют ее «APT-группой». APT-это аббревиатура, которая означает «передовая устойчивая угроза» (advanced persistent threat). Обычно группы, которые называют этим термином, связывают с государственными организациями.
В PRODAFT говорят, что хакеры SilverFish имеют некоторые признаки организации, которую финансирует государство. В частности, об этом говорит то, что они атаковали критически важную инфраструктуру и не были мотивированы деньгами. Однако, нужно провести дополнительный анализ, чтобы подтвердить связи с правительственными структурами.
Поэтому пока отчет PRODAFT не дает четкого ответа на вопрос, связано ли это с правительством России. А власти США и другие компании по кибербезопасности указывают пальцем именно на Москву как наиболее вероятного виновника атак против SolarWinds. Об этой кибератаке стало известно в декабре. Хакеры добавили злокачественный код к обновлению популярного программного обеспечения от техасской компании SolarWinds Corporation.
Таким образом, 18 тысяч клиентов SolarWinds получили это вредоносное обновление. Из них лишь небольшое количество стали целями для дальнейшего хакерского проникновения. В Белом доме сообщали о примерно 100 частных компаний и 9 государственных ведомств, которые пострадали от кибератаки.
Чиновники Швейцарии по вопросам кибербезопасности говорят, что поддерживают контакт с PRODAFT. Однако, пока отказываются комментировать новую информацию «из соображений безопасности». ФБР тоже не прокомментировало швейцарский отчет. Исследователи в сфере кибербезопасности в США отнеслись несколько скептически к отчету PRODAFT. Они убеждены, что кибератаки были шпионской операцией РФ. Хотя выводы швейцарцев открыто они тоже не критикуют.
Во всяком случае, отчет швейцарской компании проливает свет на деятельность хакерской группы. Участники SilverFish работали строго по графику с понедельника по пятницу. Они выходили на работу в 8:00 утра и прекращали деятельность в 20:00 вечера.
«Хакеры управляли серверами в России и Украине. А также использовали некоторые общие серверы с пресловутой российской преступной группой Evil Corp», — говорится в отчете швейцарской компании.
В PRODAFT отмечают, что хакеры были «чрезвычайно хорошо организованной группой кибер-шпионажа». Они делились на четыре группы, которые назывались 301, 302, 303 и 304. Хакеры сосредоточились на атаках государственных структур и крупных корпораций из списка Fortune 500.
«Группа SilverFish не проводила атаки против жертв, которые происходили из России, Украины, Грузии и Узбекистана, говорится в отчете. США стали регионом, который чаще всего был целью для хакеров», — говорится в статье.
Всего хакеры провели 2465 атак в США. На втором месте оказались Европа. Здесь жертвами SilverFish стали 1466 организаций из Италии, Нидерландов, Дании, Австрии, Франции и Великобритании. Хакеры писали комментарии «русским сленгом и простым языком». Английский они тоже часто использовали. Код содержит также ID-номера и псевдонимы, среди которых “new hacker,” “cyberbro netsupport” и “walter». Их использовали 14 человек, которые работали под руководством четырех групп.
«Наверное то, что наиболее поражает в этом отчете — это чрезвычайно хорошо организованный профессионализм угрозы», — сказал вице-президент по вопросам исследований безопасности в компании Trend Micro Inc Рик Фергюсон.
По его словам, очевидно, что хакеры были высококвалифицированные, хорошо профинансированы и действовали с четко определенными целями миссии.
Масштабная кибератака на США
13 декабря 2020 года издание Reuters сообщило, что хакеры взломали систему Министерства финансов США и Национального управления по телекоммуникациям и информации и похитили данные.
Взлом произошел через сервер обновлений системы управления продуктами SolarWinds Orion Platform (ее версии 2019.4 — 2020.2.1 HF1). Пострадали почти все Государственные учреждения США. Субъектам хозяйствования, которые используют этот продукт, рекомендуют проверить свои сети на наличие показателей компрометации. Информацию о том, как обнаружить угрозу в продуктах SolarWinds Orion можно скачать по ссылкой.
Атаку связывают с деятельностью хакерской группы APT29 или Cozy Bear, которую частично обвиняют в связях со Службой внешней разведки РФ.
Читайте новости мира и переводы зарубежной прессы на канале
УНИАН ИноСМИ
Перевод:
Лесь Дымань