Почему в хакерских атаках на Windows обвиняют россиян?

  • 3 ноября 2016
Хакер Правообладатель иллюстрации Thinkstock
Image caption Считается, что хакеры связаны с Россией, однако сказать точно, где они находятся, невозможно

Вице-президент Microsoft по разработке Windows Терри Майерсон заявил, что связанная с Россией группа хакеров Strontium использовала дыры в операционной системе для заражения персональных компьютеров, чтобы заполучить конфиденциальную информацию.

Strontium известны также как Fancy Bear или APT28, ранее их обвиняли во взломе серверов Демократической партии США и атаках на французский телеканал TV5Monde.

Представители Microsoft заявили, что компания работает над устранением бреши и 8 ноября намерена представить программу, способную защитить систему от подобных атак.

Некоторые специалисты по кибербезопасности утверждают, что анализ активности хакерской группы указывает на то, что она связана с Россией или соседними странами, где могут говорить по-русски, и действует не в личных интересах, а в интересах государства.

Компания FireEye, которая работает с министерством обороны США, пошла еще дальше, заявив, что хакеры "скорее всего, финансируются российским правительством".

Высказывалось также предположение, что Strontium работает на российскую военную разведку.

Однако убедительных доказательств связи хакерской группы с Россией до сих пор не появлялось, а Кремль последовательно отрицает свою причастность к атакам.

Почему об этом говорят сейчас?

Правообладатель иллюстрации PA
Image caption Об уязвимости Windows в конце октября сообщил главный конкурент Microsoft, компания Google

Объявлять о бреши в системе до ее устранения крайне нетипично для крупной IT-компании, поскольку это привлекает внимание киберпреступников.

И действительно, Microsoft собирался держать проблему в тайне, пока специалисты ее не исправят. Однако в понедельник о бреши в системе своего конкурента заявила компания Google.

В Microsoft выразили возмущение подобными действиями, однако представители Google заявили, что уязвимость системы слишком серьезна и активно используется злоумышленниками.

Что говорит Microsoft?

Правообладатель иллюстрации Getty Images
Image caption Вице-президент Microsoft Терри Майерсон написал о хакерских атаках после того, как Google обнародовал информацию

По словам Майерса, проблема в системном файле, который отвечает за отображение графики.

Представители компании говорят, что проблема не затрагивает пользователей Windows 10 и собственного браузера Microsoft Edge, однако остальные подвержены риску.

Однако, по словам Microsoft, хакеры смогут атаковать только тех, у кого установлен Adobe Flash Player, при этом пользователи последней версии плагина также вне опасности.

В Microsoft также заявили, что хакеры Strontium за этот год осуществили больше так называемых атак нулевого дня - когда у разработчика нет времени исправить уязвимость до того, как она раскрыта, - чем какая-либо другая известная группировка.

"Strontium часто использует одну взломанную учетную запись электронной почты, чтобы рассылать с нее зараженные письма. Они месяцами настойчиво преследуют свою цель, пока не получат доступ к компьютеру жертвы", - объясняет Терри Майерс.

"Как только хакеры Strontium взламывают компьютер, они пытаются проникнуть как можно глубже, чтобы обеспечить себе постоянный доступ, а затем крадут конфиденциальную информацию", - добавляет Майерс.

Как хакеры Strontium взламывают аккаунт?

Правообладатель иллюстрации Microsoft
Image caption Фишинговые имейлы хакеров из группы Strontium приходили пользователям якобы от Microsoft

Считается, что хакеры используют фишинг - метод интернет-мошенничества, направленный на доступ к логинам и паролям пользователя.

Как правило, хакеры очень настойчивы. Они могут регулярно посылать фишинговые имейлы своим жертвам больше года, пока не добьются своего.

К примеру, Strontium рассылали электронные письма, отправителем которых значилась сама Microsoft, - в них пользователю сообщали, что в его почтовый аккаунт был осуществлен вход с необычного устройства из другой страны. Затем жертве предлагали сменить пароль.

Кого атакуют хакеры?

Правообладатель иллюстрации Thinkstock
Image caption Группировку Strontium впервые заметили еще в 2007 году

Ни Google, ни Microsoft не сообщили, кто был целью последней серии вредоносных писем.

Ранее в Microsoft отмечали, что типичной мишенью хакеров становятся правительственные органы, дипломатические институты, вооруженные силы стран-членов НАТО и некоторых восточноевропейских стран.

Кроме того, атакам также подвергались журналисты, политические советники и организации, связанные с политическими активистами в Центральной Азии.

Что еще мы знаем о Strontium?

Правообладатель иллюстрации Fancy Bears
Image caption Хакеры, называющие себя Fancy Bears, получили доступ к базе Всемирного антидопингового агентства

Группировка также известна как Sofacy, Sednit и Pawn Storm, ее связывали с хакерскими атаками еще в 2007 году. Она ведет свой собственный сайт, где называет себя Fancy Bears.

На этом сайте были опубликованы конфиденциальные медицинские данные олимпийских спортсменов, похищенные у Всемирного антидопингового агентства (ВАДА).

На сайте также сказано, что группировка связана с более крупным сообществом хакеров - Anonymous, однако, возможно, это намеренное введение в заблуждение.

Ранее в этом году компания по кибербезопасности Crowdstrike обвинила Strontium во взломе сети Демократической партии США.

Эксперты предположили, что хакеры могут быть связаны с ГРУ - службой военной разведки России.

"Их навыки превосходны, операционная безопасность непревзойденная, и они активно используют собственные учетные системы атакуемой компании, что позволяет им легко обходить многие защитные барьеры, с которыми они сталкиваются", - отметила Crowdstrike в своем отчете.

Другие атаки, в которых обвиняют Strontium:

  • атака на трех Youtube-блогеров, которые брали интервью у президента Барака Обамы в январе 2016 года;
  • нападение на французский телеканал TV5Monde в апреле 2015 года. Вся телевизионная сеть канала вышла из строя, а его сайт был искажен сообщениями якобы сторонников группировки "Исламское государство", запрещенной в ряде стран, в том числе России;
  • хакерская атака на компьютерную сеть Бундестага, предпринятая в мае 2015 года. Предполагается, что тогда были взломаны около 20 тысяч аккаунтов немецких политиков;
  • попытка в 2015 году украсть информацию у комиссии по расследованию крушения малазийского боинга MH17;
  • как минимум две попытки украсть данные у министерства внутренних дел Грузии в 2013 году и последующая попытка атаковать грузинское министерство обороны.

В группе риска только пользователи Windows?

Правообладатель иллюстрации Getty Images
Image caption Устройства Apple подвергались атакам ранее

Нет. Специалисты по безопасности компании Trend Micro недавно связывали хакеров Strontium с вредоносными программами для взлома iPhone и iPad.

Компания Microsoft, в свою очередь, заявила, что заметила группу за использованием веб-доменов, настроенных на нарушение работы компьютеров с системами Mac и Linux.

Стоит ли винить Кремль?

Правообладатель иллюстрации Getty Images
Image caption Владимир Путин последовательно отрицал, что Россия причастна к хакерским атакам в других странах

Пресс-секретарь президента Дмитрий Песков ранее категорически опровергал предположения, что хакеры действуют под руководством российского правительства или секретных служб или пользуются их поддержкой. Он также называл обвинения необоснованными.

"Нет никаких прямых улик, - заявил эксперт в сфере кибербезопасности, профессор Алан Вудвард, в прошлом работавший с Европолом и Центром правительственной связи Великобритании, - но количество косвенных доказательств, конечно, растет".

"Как говорят большинство правительственных специалистов, Кремль, кажется, ничего не делает, чтобы их [хакеров] остановить, что в определенном смысле говорит само за себя", - отметил Вудвард.

Новости по теме