"Свободные АРТисты", или Новая германская гастроль российских хакеров
Пока специалисты выясняют, какая именно группа российских хакеров стоит за атакой на правительство Германии, список целей растет. Подробности - в материале DW.Новость о том, что предположительно российские хакеры атаковали два министерства Германии, остается в СМИ одной из главных. По данным на пятницу, 2 марта, известно о внедрении неизвестных кибер-шпионов в Министерство иностранных дел и Минобороны. При этом пострадала правительственная сеть Бонн-Берлин, которая считается хорошо защищенной. Взлом был осуществлен в конце 2016, обнаружен в конце 2017 года, локализован, но пока не ликвидирован. Сообщается, что обнаружить проблему Германии помогла спецслужба партнерского государства.
Новые подозрения
По-прежнему приоритетной остается версия о российских хакерах. В начале предполагалось, что речь идет о группе, известной под названиями APT28, Fancy Bear или Sofacy Group. Это одна из двух групп (вторую называют APT29), которые спецслужбы и эксперты в США обвиняют во взломе сети руководства Демократической партии перед выборами президента 2016 года.
По новым данным СМИ, структуры правительства ФРГ взломали хакеры из другого коллектива. Сначала его называли Snake, теперь - Turla, и его также связывают с российскими спецслужбами. Но и хакеры из APT28 не раз засветились в Германии. Как пишет в пятницу сайт SPIEGEL Online, помимо прочего эта группа в 2016 году взломала аналитический центр "Фонд Наука и политика" (SWP), который консультирует правительство. Также на их счету якобы взлом Международного Параолимпийского комитета, штаб-квартира которого расположена в Бонне на западе Германии.
Россия последовательно отрицает причастность государства к хакерским атакам, но президент ранее не исключил, что ими из патриотических соображений могут заниматься отдельные граждане. "Хакеры - люди свободные, как художники", - сказал Владимир Путин.
Что такое APT
APT - английская аббревиатура Advanced Persistent Threat, что можно перевести как "продвинутая, длительная угроза". Так называют хакерские атаки на критичные и чувствительные цели, например, правительства.
По оценкам Германского ведомства по защите конституции, деятельность группы APT28 прослеживается "как минимум с 2004 года". По данным других источников - с 2007 года. Американские компании по кибер-безопасности, CrowdStrike и FireEye, знакомы с этой группой по расследованиям, заказанным их клиентами, среди которых крупные концерны из аэрокосмической области, обороны и энергетики, а также правительства. Обе фирмы полагают, что APT28 связана с российской военной разведкой - ГРУ МО РФ.
Дмитрий Гальперович, член совета директоров компании CrowdStrike, в июне 2016 года описывал обе группы, APT28 и APT29, как "одного из лучших противников" среди государственных, преступных и террористических хакерских групп, с которыми его компании ежедневно приходится иметь дело. По его словам, их методы работы разведки "превосходны", а "операционная безопасность не имеет равных". Вывод: "Оба противника занимаются масштабным политическим и экономическим шпионажем в пользу правительства РФ".
От Грузии до Германии
Бенджамин Рид, менеджер по анализу шпионажа компании FireEye, говорит, что его фирма отслеживает APT28 около пяти лет. По его словам, есть несколько аспектов, указывающих на российский след. "Мы считаем, что они получают государственную поддержку, потому что создание их шпионских программ требует значительных ресурсов, - говорит Рид. - Кроме того, на это указывает выбор целей - МИДы, министерства обороны, НАТО, ОБСЕ. В ранних версиях вирусов мы обнаружили следы русского языка, поэтому можно предположить, что их авторы были русскими. Наконец, их условия работы в основном совпадают по времени с Москвой".
Как это делается
По данным американских компаний по кибер-безопасности, хакерские группы обладают широким набором инструментов, среди которых - шпионские программы для разных операционных систем, в том числе Linux, OSX, iOS, Android и Windows. "Часто они используют так называемый фишинг, отправляя электронное письмо с прикрепленным шпионским файлом", - говорит Бенджамин Рид из FireEye. - Такие письма содержат темы, интересные для жертвы, например, торговое соглашение". По словам Рида, после установки на компьютер жертвы программа незаметно и методично ищет нужную информацию, отправляя ее хакерам.
В докладе FireEye описана атака на МВД Грузии в 2013 году. Хакеры из APT28 замаскировали шпионскую программу под документ в формате Excel, содержащий список автомобильных номеров. Затем программа пыталась установить контакт с внутренним почтовым сервером министерства, чтобы использовать его для отправки данных через менее защищенный канал. При этом в заглавии на грузинском языке речь шла об автономерах.
Уловимые, но с трудом
Вольфганг Кляйнвехтер (Wolfgang Kleinw?chter) отмечает, что, несмотря на якобы российский след, о котором пишут СМИ Германии, доказать его будет сложно. "Любой может создать сеть ботов и сделать так, будто это кто-то другой", - говорит немецкий эксперт по интернету, бывший профессор университета в датском Орхусе. Кляйнвехтер отмечает, что, когда в атаке подозревают россиян, китайцев или северокорейцев, этому склонны быстро верить. Но, по его словам, это может быть и кто-то другой.
Даже если предположить, что за атаками в ФРГ стоят россияне, то "они будут это отрицать", как отрицали хакерские атаки в 2007 году в Эстонии, говорит Кляйнвехтер. Эксперт отмечает, что атаковать через интернет относительно легко, а защищаться - "трудно и дорого". По его словам, это "было и остается игрой в кошки-мышки" и напоминает времена холодной войны.
