// // «Лаборатория Касперского» не подтверлила причастность американской спецслужбы к созданию вируса

«Лаборатория Касперского» не подтверлила причастность американской спецслужбы к созданию вируса

1017

Компьютеры россиян заражало не АНБ

Виталий Камлюк - ведущий антивирусный эксперт "Лаборатории Касперского"
Виталий Камлюк - ведущий антивирусный эксперт "Лаборатории Касперского"
В разделе

17 февраля компания «Лаборатории Касперского» сообщила об обнаружении «самого сильного на данный момент игрока в мире кибершпионажа». По данным компании, некая группа хакеров под названием Equation Group в течение многих лет вела шпионскую работу в отношении пользователей в 30 странах мира. При этом наибольшее количество жертв было зафиксировано в России и Иране.

Хакеров интересовали данные, размещаемые в компьютерах работников правительственных органов и дипломатических структур, военных ведомств, финансовых институтов, предприятий телекоммуникационной, аэрокосмической, энергетической, ядерной, нефтегазовой и транспортной отраслей, компании, занимающиеся разработкой криптографических и нанотехнологий, а также СМИ.

При этом особенно любопытным и сенсационным стало заявление о том, что экспертам компании впервые в своей практике удалось обнаружить модули, которые позволяют перепрограммировать операционную систему жестких дисков. Таким образом вирус-«зловред» остается в компьютере навсегда – его невозможно ни обнаружить, ни избавиться от него, не помогает даже полное форматирование диска. В свою очередь червь Fanny позволяет получать данные с компьютера, даже если он отключен от Интернета. Для этого червя поселяют в USB-флешке, он создает на ней скрытый сектор, в который собирает информацию.

Естественно, что в связи с текущими политическими событиями, новость о попытках взятия под контроль российских компьютеров оказалась особенно актуальна. МИА «Россия сегодня» сообщило, что производители жестких дисков могли работать с американским Агентством национальной безопасности. Для прояснения ситуации «Наша версия» обратилась к ведущему антивирусному эксперту "Лаборатории Касперского" Виталию Камлюку.

- Когда ваша компания начала заниматься отслеживанием деятельности EquationGroup и входила ли данная группа прежде в список основных субъектов киберугроз? Проявляла ли EquationGroup наибольшее внимание к России и Ирану на всё протяжении своего существования, или же оно стало активным только в последние годы?

- Несмотря на то, что отдельные образцы вредоносного ПО, используемого EquationGroup, были задетектированы «Лабораторией Касперского» еще 2008 году, эксперты вышли на след группы и начали пристальное ее изучение в 2014 году. На сегодняшний день обнаружено больше 500 жертв, при этом большая часть в России и Иране. При этом EquationGroup, ведет свою деятельность на протяжении почти двадцати лет, и за это время ее действия могли затронуть тысячи, а возможно и десятки тысяч пользователей в более чем 30 странах мира.

- Можно ли по полученным вашей компанией данным понять, какая именно информация интересовала EquationGroup?

- Кампания EquationGroup относится к категории кибершпионажа. Атакующие осуществляли кражу важной и конфиденциальной информации с компьютеров жертв.

- В сообщении компании говорится буквально следующее: «Лаборатория Касперского» впервые в своей практике обнаружила модули, которые позволяют перепрограммировать операционную систему жестких дисков 12 основных производителей». Имеется ли в виду, что данные модули предустанавливались непосредственно по время производства жестких дисков или же они появлялись на них позже?

- Атакующие из EquationGroup занимаются перепрограммированием операционной системы жесткого диска на компьютере жертвы. Заражение пользователя, как правило, начинают с эксплойтов, которые попадают в компьютер либо через заражённую веб-станицу, либо через рекламный баннер на одном из популярных веб-сайтов (подобная схема атак была обнаружена экспертами «Лаборатории Касперского» на Ближнем Востоке). К примеру, пользователь заходит на один из исламских форумов. Страница этого форума содержит специальный скрипт РНР, который определяет, соответствует ли этот юзер тем параметрам, которые интересуют атакующих, в частности проверяет его IP-адрес. В случае если пользователь потенциально интересен EquationGroup, он атакуется эксплойтом. В результате на компьютер жертвы попадает троянская программа DoubleFantasy, с помощью которой атакующие понимают, что данный пользователь действительно является их целью. Только после этого на компьютер жертвы внедряется сложная платформа, состоящая из целого набора вредоносного ПО, в частности, содержащая модуль, с помощью которого осуществляется перепрограммирование жесткого диска.

По теме

Также важно понимать, что Equation – это очень сложная целевая атака, направленная на определенные организации. Соответственно атакующие заражают конкретные компьютеры сотрудников этих организаций, обладающий важной информацией. Мы не можем исключать, что обычные пользователи тоже могли случайно подвергнуться заражению, однако массовых атак на рядовых пользователей не было.

- Каким образом полученная информация будет использована для обеспечения безопасности киберпространства в государственном секторе России?

- Этот вопрос находится уже не в нашей компетенции.

- В сообщениях изданий и информагентств со ссылкой на вашу компанию указывается, что слежкой за пользователями занималось американское Агентство национальной безопасности, разработка вируса также приписывается ему. Насколько это соответствует действительности? Кто в принципе может стоять за EquationGroup?

- Мы не можем наверняка подтвердить те выводы, к которым пришли журналисты. Эксперты «Лаборатории Касперского» занимаются технологическим анализом вредоносного ПО, используемого группировкой, и у нас нет твёрдых доказательств, позволяющих с уверенностью говорить о происхождении EquationGroup. Кибергруппировки такого уровня действуют крайне профессионально, именно поэтому установить, кто именно стоит за атаками, очень сложно. Однако мы видим явную связь между Equationgroup, Stuxnet и Flame.

Справка

Stuxnet —червь, поражающий компьютеры под управлением операционной системы Windows. Был обнаружен в 2010 году не только на компьютерах рядовых пользователей, но и в промышленных системах, управляющих автоматизированными производственными процессами. Может быть использован в качестве средства несанкционированного сбора данных и диверсий на промышленных предприятиях, электростанциях, аэропортах и т.п. Способен физически разрушать инфраструктуру. Как сообщала газета New York Times, программа была разработана совместно разведывательными службами США и Израиля. Более того, им была успешно заражена компьютерная система ядерной программы Ирана.

Опубликовано:
Отредактировано: 18.02.2015 18:23
Копировать текст статьи
Комментарии 0
Еще на сайте
Наверх