В компах посольств Украины и администрации премьер-министра данной для нас страны Арсения Яценюка найден вирус, происхождение которого связывают с Россией, докладывает газета Financial Times (FT). Кибератака коснулась более чем 10 украинских посольств, также расположенных в Восточной Европе посольств еще как минимум 9 государств, посреди которых Германия, Китай, Польша и Бельгия. В итоге атаки злоумышленники получали доступ к ценной дипломатической инфы, докладывает FT.
О вирусной атаке на компы украинских госорганов стало понятно из отчета производителя антивирусных товаров Symantec, размещенного в четверг. В отчете говорилось о 60 зараженных компах «в администрации премьер-министра страны, ранее входившей в состав СССР»; анонимный источник в разведке одной из государств НАТО уточнил FT, что идет речь о Украине.
Согласно отчету Symantec, для атаки употреблялся вирус Snake, уже изучавшийся аналитиками. В отличие от обыденных вредных программ, распространение которых трудно контролировать, атака Snake адресная - вирус был нацелен на правительственные и оборонные структуры, сказал FT эксперт по кибервооружениям Объединенного института по оборонным исследованиям Англии Питер Робертс.
Вирус атакует в несколько шагов, докладывает FT. На первом шаге было заражено 84 общественных сайта, которые часто посещались сотрудниками правительства, оборонной индустрии и дипломатических служб. Вирус предлагал обновить софт на компах юзеров, и информация о согласившихся передавалась операторам Snake. Из перечня приобретенных Айпишников они выбирали те, которые принадлежали интересовавшим их госструктурам. Компы из подходящих организаций заражались вирусом wipbot, который собирал информацию о положении человека в его организации. На компы самых влиятельных устанавливалась полная версия Snake, которая и собирала ценную информацию.
Оценив сложность атаки, опрошенные FT специалисты сошлись на мировоззрении, что ее могла выполнить лишь отлично оснащенная группировка взломщиков, которую поддерживает правительство. Эта кампания кибершпионажа вправду непростая и многоэтапная, говорит основной антивирусный эксперт «Лаборатории Касперского» Александр Гостев. По его словам, за вирусной атакой стоят значимые денежные ресурсы не один год работы.
По словам Робертса, велика возможность того, что вирус написан российскими оперативниками. Прямых подтверждений связи организаторов атаки с российским правительством либо госструктурами, равно как и фактов использования спецслужбами приобретенной инфы, нет, возражает Гостев. По его словам, есть только косвенные подтверждения «русского следа»: к примеру, одно из внутренних имен, использующихся в вирусе, - Zagruzchik.dll.
Антивирусные компании нередко делают примитивные выводы о создателях вируса на базе нахождения в его теле слов на различных языках, придумать наиболее нелепое подтверждение государственной принадлежности создателя трудно, считает гендиректор компании Digital Security (консалтинг в области информационной сохранности) Илья Медведовский. К примеру, чтоб обвинить в написании вируса итальянских взломщиков, довольно вставить в код пару слов на итальянском, рассуждает он. По его словам, в техническом плане выявить настоящего создателя вируса практически нереально.
На страну происхождения вируса могут указывать территориальное размещение командных центров и стилистика написания программного кода, ведает менеджер по развитию товаров компании InfoWatch Андрей Арефьев. Но убить эти следы очень просто - можно командовать вирусом через сервер-посредник в иной стране, а программный код при помощи особых средств преобразуется в нечитаемую для человека последовательность знаков, припоминает он. Проф уровень создателей атаки довольно высок, чтоб не допускать так грубых ошибок, потому приведенные доводы в пользу российского происхождения вируса больше похожи на провокацию, считает Арефьев.