«Российские хакеры» шпионят за западными правительствами 7 лет

Финские исследователи заявили об обнаружении «новой хакерской группировки из России, действующей в интересах российского правительства» не менее семи лет.

Финские исследователи заявили об обнаружении «новой хакерской группировки из России, действующей в интересах российского правительства» не менее семи лет.

«Пророссийские хакеры»

Эксперты из финской компании F-Secure сообщили об обнаружении группировки хакеров, «работающих на правительство России» как минимум с 2008 г., то есть не менее, чем на протяжении семи лет. Этой находке посвящен доклад, опубликованный на сайте F-Secure.

По словам исследователей, группировка носит название «the Dukes» (возможно, от английского «герцог» или от имени персонажа Duke Nukem) и представляет собой высокоорганизованную группу глубоко посвященных своему делу хакеров, специализирующихся на кибер-шпионаже и имеющих хорошую базу ресурсов для проведения атак.

В инструментарий «Герцогов» входит большое разнообразие вредоносных приложений, включая PinchDuke, GeminiDuke, CosmicDuke MiniDuke, CozyDuke, OnionDuke, SeaDuke, HammerDuke (другое название — Hammertoss) и CloudDuke (или MiniDionis).

Цели группы

Данные, которые «Герцогам» (другое название группировки — APT29) удается заполучить в результате кибер-шпионажа, помогают правительству России формировать внешнюю политику и политику национальной безопасности, утверждают в F-Secure.

В основном атаки проводятся на страны Запада и западные организации, такие как министерства и агентства, политические научно-исследовательские центры и организации, оказывающие услуги правительственным органам.

Среди целей группировки также — правительства стран СНГ, азиатских, африканских и ближневосточных государств; организации, причастные к экстремизму в Чечне, и лица, связанные с незаконным оборотом контролируемых веществ и наркотических средств.

Тактика атакующих

В последние несколько лет «Герцоги» проводят крупные атаки два раза в год. При этом в течение одной атаки нападению подвергаются сотни и в некоторых случаях даже тысячи организаций, утверждают авторы доклада.

Атаки происходят «налетом» — быстро и в то же время открыто. После взлома хакеры стараются как можно быстрее собрать столько данных, сколько удастся. Если выясняется, что атакуемый объект представляет серьезный интерес, атакующие переключаются на менее заметные методы, позволяющие скрытно выкачивать информацию в течение длительных периодов времени.

Аналитики добавили, что по времени некоторые атаки совпадают с важными событиями в политике России, предшествуя принятию новых решений.

Вредоносный узел Tor и спам во «ВКонтакте»

Исследователи F-Secure утверждают, что хакеры группировки «Герцоги» использовали вредоносный выходной узел анонимной сети Tor для заражения передаваемых через него бинарных файлов. Речь идет об узле, существование которого в октябре 2014 г. обнаружила компания Leviathan Security Group. По словам представителей F-Secure, узел Tor был использован не для того, чтобы проводить атаки, а для формирования ботнета из зараженных компьютеров. Данный ботнет использовался для проведения DDoS-атак (атак типа «отказ в обслуживании»).

Кроме того, один из используемых хакерами вредоносных модулей был предназначен для автоматического постинга сообщений и рассылки спама в социальной сети «ВКонтакте».