Анализ кода вирусов позволил идентифицировать хакеров The Dukes как говорящих на русском языке
Хакерская группировка The Dukes, предположительно атаковавшая вирусами цели в НАТО, США и Центральной Азии, работает в интересах правительства России, утверждает финская компания F-Secure.
Фирма, которая занимается вопросами кибербезопасности, опубликовала в четверг доклад, в котором утверждает, что хакеры оказывают поддержку разведывательной деятельности России. Финны опираются на собственные изыскания и работы российской компании "Лаборатория Касперского".
"Лаборатория Касперского" сообщила Би-би-си, что обратила внимание на опасные вирусы семейства Dukes в 2013 году.
В апреле 2015 года "Лаборатория" назвала Россию в числе стран, атакованных хакерами из The Dukes.
Анализ хакерских программ позволил аналитикам сделать вывод, что авторы вирусов говорят по-русски.
"Уязвимость нулевого дня"
Хорошо организованная, обладающая мощными ресурсами и целеустремленная группировка кибершпионов работает в интересах Российской Федерации как минимум с 2008 года, предполагает финская компания F-Secure. Ее предположения изложены в 34-страничном докладе “The Dukes. Семь лет российского кибершпионажа”, опубликованном в четверг.
Финны считают, что хакерская группировка The Dukes занимается сбором разведданных, которые используются российскими властями при принятии решений в сфере внешней политики и безопасности.
Доклад анализирует серию кибератак, предположительно проведенных The Dukes с 2008 по 2015 год. В качестве кибероружия использовались вирусные программы PinchDuke, MiniDuke, CozyDuke, HammerDuke и другие.
Авторы документ неоднократно ссылаются на материалы "Лаборатории Касперского".
"Мы начали исследование вредоносных программ, созданных этой группой (The Dukes – ред.), в начале 2013 года", - сообщил Би-би-си по электронной почте ведущий антивирусный эксперт "Лаборатории Касперского" Игорь Суменков. В феврале 2013 года российские специалисты опубликовали описание шпионского вируса MiniDuke, который использует PDF-файлы для проникновения в правительственные компьютеры.
"Первая вредоносная программа этой группы, которую мы обнаружили - MiniDuke - отличалась удивительно малым по современным меркам размером, была написана на ассемблере (признак авторов "старой школы" из 90-х) и использовала twitter в качестве управляющего канала. Кроме того, при распространении авторы использовали уязвимость нулевого дня", - рассказал Игорь Суменков.
Выбор цели
Первые нападения хакеров финские аналитики (и специалисты "Лаборатории Касперского") относят к 2008 году. Тогда вирусными программами PinchDuke были атакованы информационные интернет-ресурсы чеченской военно-политической эмиграции в Турции.
Особый интерес хакеры проявили к планам создания ракетного щита в Европе
В следующем 2009 году последовала серия ударов с использованием PinchDuke по западным целям. Хакеры The Dukes проявляли интерес к внешней и оборонной политике США и НАТО. В частности, их интересовала информация о размещении элементов противоракетной обороны США в Польше и Чехии.
Атакам подверглись неназванный аналитический центр в США, правительственные учреждения в Польше и Чехии, МИДы Турции и Уганды. Еще одной целью стал Информационный центр НАТО в Грузии.
Весной 2010 года, утверждают финские эксперты, хакеры продолжили операции с использованием PinchDuke против Турции и Грузии. Одновременно проводились кампании против стран СНГ – Казахстана, Киргизии, Узбекистана и Азербайджана.
С какой целью проводились операции в отношении этих стран, не указывается. Отмечается только, что хакеры начали использовать новый инструмент для похищения информации – CosmicDuke.
Хакеры продолжали наращивать арсенал вредоносных вирусов, получивших названия GeminiDuke, CozyDuke, HammerDuke и другие.
Год Украины
В 2013 году The Duke нацелились на Украину, говорится в докладе F-Secure. Они использовали вирусы в форме фальшивых документов-ловушек, созданных в виде PDF-файлов.
"Лаборатория Касперского" опубликовала примеры таких вирусов в феврале 2013 года. Внешне документы-ловушки скрупулезно имитировали официальные бумаги, а содержание их точно соответствовало политической повестке дня.
Один из таких вирусов-фальшивок назывался "Дебаты о плане действий для Украины по членству в НАТО".
Финны отмечают, что "украинские" вирусы появились задолго до Евромайдана. После начала акций протеста в Киеве и по мере развития кризиса активность The Dukes на украинском направлении начала спадать.
"Как только Россия перешла от дипломатии к прямым действиям, Украина утратила прежнюю релевантность для The Dukes”, - утверждают аналитики F-Secure.
"Российский след"
Финские эксперты повторяют в заключительной части доклада, что, по их мнению, The Dukes финансирует правительство России, для которого хакеры и собирают разведданные. Кто входит в состав группировки, они не знают. Это может быть "команда или отдел в составе государственного органа", "внешний подрядчик", криминальная группировка, имеющая покровителей на самом верху", или "объединение технически подкованных патриотов".
Гипотеза о том, что The Dukes работают на российские власти, по мнению финских специалистов, подтверждается объектами атак – это правительства стран Восточной Европы, государственные органы и аналитические центры Запада и даже говорящие по-русски наркоторговцы.
Авторам доклада "Семь лет кибершпионажа" не известно о нападениях хакеров на российские правительственные компьютеры. "Лаборатория Касперского" говорит, что целями The Dukes оказались более 59 "жертв" в 23 странах, в том числе в России.
Аналитики F-Secure также обнаружили сообщения, написанные по-русски: "Ошибка названия модуля! Название секции данных должно быть 4 байта!"
Финны обратили внимание на то, что время компиляции файлов соответствуют стандартным часам работы - с 09.00 до 17.00 по Московскому времени. В этом часовом поясе, напоминают они, находятся Москва и Санкт-Петербург.
"Мы также публиковали информацию о распределении времени компиляции файлов в материале о другой вредоносной программе группы, CosmicDuke (6AM-4PM GMT, т.е. с 9 утра до 17.00 по Московскому времени – ред.). […] Мы приводим артефакты, указывающие на явную русскоязычность авторов - упоминание сайтов в зоне .ru и русские слова, "забытые" в теле программы", - рассказал Би-би-си эксперт "Лаборатории Касперского" Игорь Суменков.
"Мы считаем, что шпионские инструменты созданы и управляются людьми, говорящими по-русски", - приводит сайт "Лаборатории Касперского" слова своего ведущего исследователя проблем безопасности Курта Баумгартнера в заметке "The Duke вернулся", датированной 22 апреля 2015 года. В заметке говорилось, что атакам подверглись Белый дом и Госдепартамент США, а также организации в Германии, Южной Корее и Узбекистане
Комментарии
Поэтому, док-вом это никак не может считаться.
Во-вторых, я говорю несколько о другом. Тот код, что эксперты получил в распоряжение, его авторы писали так, чтобы отвлечь от себя подозрения. Поэтому, сообщения писа́ли не на своём родном языке. Это очень легко сделать. Поэтому, такой признак, как язык сообщений, нельзя считать бесспорным док-вом.
«Ареал обитания» вирусов определяется не географической близостью к авторам, а задачами, которые они решают. У тех же американцев, к примеру, есть интересы по всему миру, в т.ч. и в Восточной Европе.
В общем, нормальных док-в «явной русскоязычности авторов», у экспертов, на самом деле, нет.
===
Вы не с той стороны смотрите, с идеологической, а с практической посмотрите. Представьте, вы наняли эксперта для сравнения продукции своего завода и конкурента. А он вам говорит - покажите мне которое изделие ваше, и я скажу что оно лучше. Нужен вам такой эксперт, будете вы ему платить? Нет, конечно, вы его выгоните и телефоны удалите, а пригласите другого.
И так на западе продолжается не год, не два, и даже не сто, а уже пять веков как минимум. Ну откуда там возьмутся предвзятые эксперты, если сама среда обитания их уничтожает. Конкуренция - это вещь очень скользкая, с ней нельзя шутить, раз соврал - и конкуренты сразу всех собак спустят. У нас все по-другому, поэтому люди и считают что везде одни брехуны живут и кормятся подачками. Но с точки зрения западного человека это равносильно антисанитарии, зачем быть богатым, если ты прихвостень. Это неинтересно.
«Объективность» западных экспертов мы прекрасно наблюдаем на примере войны на Украине или сбития Боинга.
Комментарий удален модератором
Эксперты не только приводят факты, но и делают из них выводы: «Финские эксперты повторяют в заключительной части доклада, что, по их мнению, The Dukes финансирует правительство России, для которого хакеры и собирают разведданные». Хотя уж экспертам-то, казалось бы, должно быть ясно, что русский текст в программе и московское время не означают, что автор – русский.
А вот почему они делают недостаточно обоснованные выводы – это лучше у них самих спросить. Мне даже интересно, как они будут отмазываться )
Если же эксперты о чём-то не упомянули в своём докладе, я не собираюсь за них фантазировать аргументы
В моём первом комменте не было политики.