Финская фирма F-Secure обвинила хакеров The Dukes в работе на Кремль
Фирма, которая занимается вопросами кибербезопасности, опубликовала в четверг доклад, в котором утверждает, что хакеры оказывают поддержку разведывательной деятельности России. Финны опираются на собственные изыскания и работы российской компании "Лаборатория Касперского".
"Лаборатория Касперского" сообщила Би-би-си, что обратила внимание на опасные вирусы семейства Dukes в 2013 году.
В апреле 2015 года "Лаборатория" назвала Россию в числе стран, атакованных хакерами из The Dukes.
Анализ хакерских программ позволил аналитикам сделать вывод, что авторы вирусов говорят по-русски.
"Уязвимость нулевого дня"
Хорошо организованная, обладающая мощными ресурсами и целеустремленная группировка кибершпионов работает в интересах Российской Федерации как минимум с 2008 года, предполагает финская компания F-Secure. Ее предположения изложены в 34-страничном докладе ”The Dukes. Семь лет российского кибершпионажа”, опубликованном в четверг.
Финны считают, что хакерская группировка The Dukes занимается сбором разведданных, которые используются российскими властями при принятии решений в сфере внешней политики и безопасности.
Доклад анализирует серию кибератак, предположительно проведенных The Dukes с 2008 по 2015 год. В качестве кибероружия использовались вирусные программы PinchDuke, MiniDuke, CozyDuke, HammerDuke и другие.
Авторы документ неоднократно ссылаются на материалы "Лаборатории Касперского".
"Мы начали исследование вредоносных программ, созданных этой группой (The Dukes — ред.), в начале 2013 года", — сообщил Би-би-си по электронной почте ведущий антивирусный эксперт "Лаборатории Касперского" Игорь Суменков. В феврале 2013 года российские специалисты опубликовали описание шпионского вируса MiniDuke, который использует PDF-файлы для проникновения в правительственные компьютеры.
"Первая вредоносная программа этой группы, которую мы обнаружили — MiniDuke — отличалась удивительно малым по современным меркам размером, была написана на ассемблере (признак авторов "старой школы" из 90-х) и использовала twitter в качестве управляющего канала. Кроме того, при распространении авторы использовали уязвимость нулевого дня", — рассказал Игорь Суменков.
Выбор цели
Первые нападения хакеров финские аналитики (и специалисты "Лаборатории Касперского") относят к 2008 году. Тогда вирусными программами PinchDuke были атакованы информационные интернет-ресурсы чеченской военно-политической эмиграции в Турции.
В следующем 2009 году последовала серия ударов с использованием PinchDuke по западным целям. Хакеры The Dukes проявляли интерес к внешней и оборонной политике США и НАТО. В частности, их интересовала информация о размещении элементов противоракетной обороны США в Польше и Чехии.
Атакам подверглись неназванный аналитический центр в США, правительственные учреждения в Польше и Чехии, МИДы Турции и Уганды. Еще одной целью стал Информационный центр НАТО в Грузии.
Весной 2010 года, утверждают финские эксперты, хакеры продолжили операции с использованием PinchDuke против Турции и Грузии. Одновременно проводились кампании против стран СНГ — Казахстана, Киргизии, Узбекистана и Азербайджана. С какой целью проводились операции в отношении этих стран, не указывается. Отмечается только, что хакеры начали использовать новый инструмент для похищения информации — CosmicDuke.
Хакеры продолжали наращивать арсенал вредоносных вирусов, получивших названия GeminiDuke, CozyDuke, HammerDuke и другие.
Год Украины
В 2013 году The Duke нацелились на Украину, говорится в докладе F-Secure. Они использовали вирусы в форме фальшивых документов-ловушек, созданных в виде PDF-файлов.
"Лаборатория Касперского" опубликовала примеры таких вирусов в феврале 2013 года. Внешне документы-ловушки скрупулезно имитировали официальные бумаги, а содержание их точно соответствовало политической повестке дня.
Один из таких вирусов-фальшивок назывался "Дебаты о плане действий для Украины по членству в НАТО".
Финны отмечают, что "украинские" вирусы появились задолго до Евромайдана. После начала акций протеста в Киеве и по мере развития кризиса активность The Dukes на украинском направлении начала спадать.
"Как только Россия перешла от дипломатии к прямым действиям, Украина утратила прежнюю релевантность для The Dukes”, — утверждают аналитики F-Secure.
"Российский след"
Финские эксперты повторяют в заключительной части доклада, что, по их мнению, The Dukes финансирует правительство России, для которого хакеры и собирают разведданные. Кто входит в состав группировки, они не знают. Это может быть "команда или отдел в составе государственного органа", "внешний подрядчик", криминальная группировка, имеющая покровителей на самом верху", или "объединение технически подкованных патриотов".
Гипотеза о том, что The Dukes работают на российские власти, по мнению финских специалистов, подтверждается объектами атак — это правительства стран Восточной Европы, государственные органы и аналитические центры Запада и даже говорящие по-русски наркоторговцы.
Авторам доклада "Семь лет кибершпионажа" не известно о нападениях хакеров на российские правительственные компьютеры. "Лаборатория Касперского" говорит, что целями The Dukes оказались более 59 "жертв" в 23 странах, в том числе в России.
Аналитики F-Secure также обнаружили сообщения, написанные по-русски: "Ошибка названия модуля! Название секции данных должно быть 4 байта!"
Финны обратили внимание на то, что время компиляции файлов соответствуют стандартным часам работы — с 09.00 до 17.00 по Московскому времени. В этом часовом поясе, напоминают они, находятся Москва и Санкт-Петербург.
"Мы также публиковали информацию о распределении времени компиляции файлов в материале о другой вредоносной программе группы, CosmicDuke (6AM-4PM GMT, т.е. с 9 утра до 17.00 по Московскому времени — ред.). […] Мы приводим артефакты, указывающие на явную русскоязычность авторов — упоминание сайтов в зоне .ru и русские слова, "забытые" в теле программы", — рассказал Би-би-си эксперт "Лаборатории Касперского" Игорь Суменков.
"Мы считаем, что шпионские инструменты созданы и управляются людьми, говорящими по-русски", — приводит сайт "Лаборатории Касперского" слова своего ведущего исследователя проблем безопасности Курта Баумгартнера в заметке "The Duke вернулся", датированной 22 апреля 2015 года. В заметке говорилось, что атакам подверглись Белый дом и Госдепартамент США, а также организации в Германии, Южной Корее и Узбекистане.
