По сценарию Джека Стаббса
ЛОНДОН (Рейтер). Группа, стоящая за глобальной кампанией по кибершпионажу, обнаруженная в прошлом месяце, опубликовала вредоносный компьютерный код со ссылками на шпионские инструменты, используемые предполагаемыми российскими хакерами, сообщили исследователи в понедельник.
Следователи московской фирмы Kaspersky, занимающейся кибербезопасностью, заявили, что «черный ход», используемый для урегулирования до 18 000 клиентов американского производителя программного обеспечения SolarWinds, очень напоминает вредоносное ПО, связанное с пиратской группой, известной как «Turla», которая, по утверждениям эстонских властей, действовала от имени Для ФСБ России. сервис безопасности.
Полученные данные являются первыми общедоступными доказательствами, подтверждающими утверждения США о том, что Россия организовала взлом, нарушила работу множества важных федеральных агентств и является одной из самых амбициозных киберопераций, когда-либо раскрытых.
Москва неоднократно опровергала обвинения. ФСБ не ответила на запрос о комментарии.
Костин Райу, глава отдела глобальных исследований и анализа Kaspersky, сказал, что есть три очевидных сходства между бэкдором SolarWinds и хакерским инструментом под названием «Kazuar», который использует Turla.
Сходства включали в себя то, как обе части вредоносной программы пытались скрыть свои функции от аналитиков по безопасности, как хакеры идентифицировали своих жертв, а также формулу, используемую для расчета периодов, когда вирусы бездействовали, чтобы избежать обнаружения.
«Один из этих результатов может быть отклонен», — сказал Райо. «Две вещи определенно меня удивляют. Три — больше, чем совпадение».
Приписать кибератаки доверию чрезвычайно сложно и полно потенциальных ловушек. Например, когда российские пираты сорвали церемонию открытия зимних Олимпийских игр в 2018 году, они намеренно подражали группе северокорейцев, пытаясь снять с себя вину.
Райу сказал, что цифровые улики, обнаруженные его командой, не указывают напрямую на Turla в поселении SolarWinds, но они действительно указывают на неопознанную связь между двумя инструментами взлома.
Возможно, была развернута та же группа, но также то, что Казуар вдохновил хакеров SolarWinds, сказал он, поскольку эти два инструмента были приобретены у одного и того же разработчика шпионского ПО, или злоумышленники даже установили «ложные флажки», чтобы ввести следователей в заблуждение.
Команды безопасности в США и других странах все еще работают над определением полной степени проникновения SolarWinds. Следователи заявили, что могут потребоваться месяцы, чтобы понять масштабы взлома, и даже больше времени, чтобы изгнать хакеров из сетей жертв.
Американские спецслужбы заявили, что хакеры «скорее всего, имеют российское происхождение», и нацелились на небольшое количество громких жертв в рамках операции по сбору разведданных.
(Подготовлено Джеком Стаббсом; редактирование Крис Сандерс, Эдвард Тобин)