«Cлед ведет в Россию»: российских хакеров обвинили во взломе систем НАТО

    «Меня больше беспокоят русские», — заявил недавно на форуме в Техасском университете директор национальной разведки США Джеймс Клэппер, говоря о кибератаках китайских хакеров. Большую статью с таким лейтмотивом и броским заголовком «Хакерский след ведет в Россию» опубликовал сегодня The Wall Street Journal. Возможно, китайцы занимаются кибершпионажем и чаще, но Россия действует эффективнее, считает Клэппер.



    Поводом для статьи стало недавнее расследование ведущей компанией Кремниевой Долины FireEye Inc взлома компьютерной системы неназванной американской фирмы, деятельность которой закрыта грифом «Совершенно секретно».

    Эксперты обнаружили там, по их словам, «мощное кибероружие», которое может поражать компьютеры внутренних сетей, переходя от одного к другому безо всякого интернета. При этом, его очень трудно обнаружить, поскольку украденные данные хорошо замаскированы под почтовый трафик очередной жертвы. Более того, код шпионского инструмента был написан, по данным FireEye, на русскоязычных машинах и «в рабочие часы по московскому времени».

    Вердикт доклада FireEye по итогам расследования однозначен: кибершпионаж был спланирован правительственными структурами в Москве.

    Доклад стал одним из четырех недавних исследований различных фирм по компьютерной безопасности, в том числе принадлежащих Google и разведуправлению США, которые указывают на российское спонсорство крупнейших кибератак, происходивших в период с 2007 года. Их целями стали, в частности, правительства соседних с Россией государств, крупнейшие подрядчики оборонной промышленности США, такие как Science Applications International Corp и Academi LLC, государственная фирма по информационной безопасности Blackwater и структуры НАТО.

    Как пишет The Wall Street Journal, все эти факты говорят только об одном – «командой А» интернет-противников управляет Москва.

    Глава американской разведки отметил, что идентифицировать криминальную или государственную принадлежность хакеров трудно, поскольку органы используют инструменты, созданные преступными группами, и наоборот, криминальные хакеры имеют в своем арсенале наработки специальных киберподразделений. Например, до сих пор не ясно, кто стоит за нашумевшей инфильтрацией в секретную американскую военную систему в 2008 году, криминалитет или хакеры-шпионы, поскольку обнаруженный инструмент наблюдения используют и те, и другие.



    Директор Национальной разведки США Джеймс Клэппер

    Между тем, эксперты FireEye и военные сверили свои данные и пришли к выводу, что охотятся за одной и той же группой, главный инструмент которой для шпионажа получил у них кодовое название «Sofacy».

    Данные остальных исследований также говорят о «почерке» одной и той же группы, хотя 41-страничный доклад Google, предоставленный в Департамент внутренней безопасности в прошлом месяце прямо Россию шпионской деятельности не обвиняет, обходясь формулировкой «управляемой государственными структурами группы». Однако, в нем также отмечается, что компьютеры, на которых было создано «кибероружие» были русифицированными.

    Материал написан по просьбе VCStart.com
    VCStart.com
    44.23
    Company
    Share post

    Comments 74

      +62
      которое может поражать компьютеры внутренних сетей, переходя от одного к другому безо всякого интернета

      Уж не про уборщицу — иммигрантку из России со шваброй идет речь? =)
        +29
        Молодцы — американцы — главные аргументы для обвинения в шпионаже — «компьютеры были русифицированы» и «рабочие часы по московскому времени». С тем же успехом apple можно обвинить в шпионаже на китайцев, потому что все айфоны и айпады собирают в Китае
        • UFO just landed and posted this here
            +10
            Океания всегда воевала с Евразией, ну так ж.
              +27
              Океания всегда воевала с Остазией, прекратите вводить окружающих в заблуждение.
              0
              способы введения в заблуждения одинаковы, просто на этот раз была страна Х, а не У, а в следующий раз будет У.
              +19
              Согласен, вообще использование русскоязычных устройств" — похоже на примитивную попытку сбить со следа, из дешевых шпионских романов
                +10
                Бог с ней с русификацией. Доставляют именно «рабочие часы». То есть наши хакеры трудятся как любой полноправный гражданин 8 часов в дневное время суток с перерывом на обед и перекурами?) Самое забавное на этом фоне — фильмы, где хакеры всегда представляются в работе ночью)
                  +6
                  Так можно и Израиль обвинить: разница во времени с Москвой 1 час, русскоязычных машин тоже навалом.
                    +6
                    Наши хакеры трудятся согласно КЗОТ, ТК, с обеденными перерывами на чай из самовара.
                      0
                      А зимой у них спячка с перерывами на балалайку
                      +1
                      Вспоминается, что в России 11 часовых поясов… И в любом могли находиться разрабы.
                        +1
                        (с последними изменениями поясов у нас сейчас 11? я запутался с нашим правительством)
                        Оставшиеся 13 часов: террористы, Америка (шпионы внутри страны), Тихий океан. И ведь как возразить? Это часовая география обвинений американцев: русские, террористы, шпионы)
                        0
                        Так у них там и так ночь — когда ниши хакеры работают.
                      +13
                      Однако, в нем также отмечается, что компьютеры, на которых было создано «кибероружие» были русифицированными.

                      Ну тут хоть прямо Россию не обвиняют. А на других ресурсах прямо говорят про Россию, ибо обнаружились каменты на русском.
                      А вообще, меня всегда удивляло как любят делать далеко идущие выводы из косвенной инфы.
                      Т.е. если кто-то, при взломе, поставит какую нибудь итальянскую локаль и напишет пару каментов в коде на итальянском. Они что, Италию обвинят в шпионаже?
                        +17
                        кто бы поделился способом, как можно обнаружить комменты, часы написания и географические зоны в декомпилированном коде. или им туда исходники вместе с вирусами поставили?
                          +22
                          Если бы вы знали как часто остаются пути к PDB-файлам вида "...\Вадим\Для Кремля\Троян1\....pdb" внутри исполняемых файлов… А еще остается информация об именах переменных, например «adresStranici». Если автор ее не затер и исследователь знает что искать — будет информация.
                            +1
                            Если автор ее не затер и исследователь знает что искать — будет информация.


                            Тонкий намек.
                              0
                              тут скорее всего ресурсы pe exe рассматривали, чем пути pdb, да и опытные вирусописатели редко оперируют кириллицей в структуре каталогов
                              0
                              Это мог быть код на скриптовых языках. А про рабочее время, наверное, решили по времени создания/изменения файлов. Что тоже легко подделывается.
                                0
                                Они забыли подтереть папочку .git
                              +5
                              <sarcasm>там обвинили, здесь наградили...</sarcasm>
                              
                                +18
                                «в рабочие часы по Московскому времени», это видимо, из атрибута времени модификации файла взяли?
                                читаю и плАчу.
                                  –2
                                  Вроде как все лазерные принтеры при печати оставляют метки, невидимые глазу, по которым можно определить на каком принтере был напечатан лист

                                  возможно компиляторы при компиляции вбивают в код определенные маркеры

                                  Это только догадки, но наличие скрытых атрибутов в бинарнике вполне логично

                                    +6
                                    Формат MZPE хорошо описан. Вы можете провести эксперимент сами — собрать с промежутком в несколько часов простейший «Hello World» и посмотреть какие поля меняются. Да, метка времени создания файла в заголовке MZPE-файла есть, но подделать ее не составляет никакого труда.
                                      –3
                                      ну это были всего лишь догадки )
                                        0
                                        Я вам подсказал тему интересного исследования. Некоторые компиляторы действительно оставляют недокументированные метки ;-)
                                        • UFO just landed and posted this here
                                            –1
                                            Гыгы :-) Под сертифицированные ОС на сертифицированных языках. И по этой причине ПО устаревает еще в процессе написания лет на 30 :-)
                                            • UFO just landed and posted this here
                                                +1
                                                Предлагаю вам писать сразу «30-ридцать» и «15-ятнадцать».
                                        0
                                        Подделать можно все. Но серьезная программа — далеко не «Hello World». Обычно в ней есть ресурсы, GUIDы и прочие источники дополнительных утечек информации.
                                      +2
                                      Не, ну это правда офигенно! с 9-00 до 18-00 пон-пятн. Таких ушей еще ни разу по-моему не торчало :-)

                                      Т.е. люди приходят к 9 на работу, пропуска там проштамповали — режимный объект. В 18: кончил — не кончил, собрался пошел домой. Блин, класс :-) Тоже плачу.
                                        +2
                                        Вы не плачьте. На этом вся криминалистика построена. Мелочей всяких — десятки. Каждую из них подчистить преступнику элементарно, подчистить всё — не реально. Мелких зацепок всегда уйма — надо просто уметь их искать.
                                        • UFO just landed and posted this here
                                            0
                                            Если бинарник хорошим скребком не почистить, то много где. Посмотрите сами любую нетривиальную программу.
                                            0
                                            Мой коммент не про это. Мой коммент про работу с 9 до 18 с перерывом на обед. Рутина. Ты просто идешь на работу.
                                        +11
                                        Воу-воу, ждем следующего обвинения в срыве программы обогащения урана разработок сланцевого газа по причине того, что эти разработки невыгодны Москве и в момент аварии в РФ было светло.
                                        • UFO just landed and posted this here
                                          +1
                                            0
                                            даешь ссылку на статью The Wall Street Journal!
                                            +3
                                            Это предыстория к новой Call of Duty: Modern Warfare?
                                              0
                                              Ага. Новая технология, с полным погружением.
                                                +1
                                                C погружением что то вроде уже было, что то про подводную лодку…
                                                А Activision молодцы, грамотная пиар компания к новой игре.
                                                • UFO just landed and posted this here
                                                    0
                                                    Я конечно про другую клюкву хохмил, но книжку прочитаю, спасибо.
                                                      0
                                                      Ее не имеет смысла читать саму по себе, т.к. она входит в цикл «Тайный город»(городское фэнтези, не окончен) и является 20-й книгой ) Тут уж лучше сначала читать. У него есть не менее интересные циклы «Анклавы»(киберпанк, 5 книг, окончен) и «Герметикон»(стимпанк, 4 книги, не окончен). Сам же считаю, что наиболее сильное его произведение, все-таки «Анклавы».
                                                        0
                                                        Спасибо за наводку, обязательно изучу, последнее время стал привлекать киберпанк.
                                                          0
                                                          Еще тогда посоветую вам такое вот: Шелли Мерси — Паутина
                                              0
                                              Клюква
                                                +1
                                                А что значит — Материал написан по просьбе VCStart.com?
                                                  +1
                                                  Видимо, автор не работает в этой компании.
                                                  +1
                                                  sarcasm mode on:
                                                  Пока не найдут шапку-ушанку, матрёшку, початую бутылку водки или партбилет сотрудника КГБ — не поверю.

                                                  sarcasm mode off:
                                                  Крайне странная логика, конечно. Даже если предположить, что это были дисциплинированные русские хакеры. Но где доказательства, хотя бы и выдуманные? Это же публично говорит не кто-нибудь, а директор национальной разведки США.
                                                  Кроме того речь шла о «кибератаках китайских хакеров», при чём тут русские? Наверное, очередной способ выбить бюджет всё же.
                                                    0
                                                    Учитывая формулировки, ничего никому доказывать не надо. Дурак такой репорт не напишет.

                                                    The activity that we profile in this paper
                                                    appears to be the work of a skilled team of
                                                    developers and operators collecting intelligence
                                                    on defense and geopolitical issues – intelligence
                                                    that would only be useful to a government
                                                    . We
                                                    believe
                                                    that this is an advanced persistent
                                                    threat (APT) group engaged in espionage
                                                    against political and military targets including
                                                    the country of Georgia, Eastern European
                                                    governments and militaries, and European
                                                    security organizations since at least 2007.
                                                    They compile malware samples with Russian
                                                    language settings during working hours
                                                    consistent with the time zone of Russia’s major
                                                    cities, including Moscow and St. Petersburg.
                                                    +5
                                                    Да врут он все, я вообще с русифицированного компьютера никогда не работаю.
                                                      +1
                                                      Ха, интересно. Если винда, то что стоит в настройках Language for non-unicode programs?
                                                        –1
                                                        По результатам опроса, более ⅓ читателей Хабрахабра положительно относятся к аниме-культуре.

                                                        Следовательно, в настройках «Language for non-Unicode programs» может стоять японский язык — для установки и настройки не полностью прошедших локализацию японских визуальных романов.
                                                          0
                                                          А мне интересно, что degs ответит
                                                            0
                                                            Если честно, чувство юмора отказало, напрочь.
                                                            Познания в винде у меня самые базовые и про такую кнопку в настройках я услышал от вас. Огромное спасибо от имени всей родни и знакомых, которые теперь будут иметь правильные настройки.
                                                            ПС: авторитетными инстанциями принято решение в рабочие часы не работать, так что скорых ответов не ждите.
                                                      +2
                                                      Почему-то сразу вспомнилось недавнее заявление министра обороны США — Чака Хэйгла:
                                                      Угроза со стороны террористов и мятежников будет существовать для нас еще долгое время, но мы также должны иметь дело с ревизионистской Россией, с ее современной и боеспособной армией, стоящей на пороге НАТО.
                                                        +3
                                                        — стоящей на пороге НАТО.

                                                        Тут главное порог к РФ поближе поттянуть.
                                                          +2
                                                          Угу. Как они посмели расположилить территорию своей страны так близко к нашим системам ПРО?
                                                            0
                                                            Как они посмели расположить территорию своей страны так близко к нашей Аляске?
                                                        –2
                                                        «рабочие часы по московскому времени»

                                                        А адреса, по которым были созданы файлы, как в «Зимнем Солдате», они не нашли?
                                                          –2
                                                          Когда люди начинают путать комиксы и реальную жизнь — начинается подобная ересь.
                                                            0
                                                            Вот очень интересно было бы посмотреть, как автор коммента ведет аргументированную дискуссию с авторами доклада
                                                              0
                                                              Если бы услышал хоть один внятный аргумент от автора доклада — была бы почва для дискуссии. Пока же на фоне всех остальных политически-ангажированных обвинений это ничем не выделяется.
                                                                0
                                                                а ты читал сам доклад?
                                                                  0
                                                                  Да, в докладе написано, что малварь был скомилирован во время, которое можно считать «рабочими часами в часовом поясе GMT +4» — офигенная зацепка, то есть на основании того, что время компиляции малваря попадает в 8-и часовое окно рабочего дня в часовой зоне +4 делаются такие интересные выводы.
                                                                  Вообще малварю уже 7 лет, он не один раз переписывался и согласно докладу время от времени использовался компилятор с русской локалью. То есть это вполне может быть солянка, которую делали всем миром и потом кто-то просто использовал для атаки.
                                                                  0
                                                                  stackoverflow.com/questions/17212518/get-compilation-date-time-from-exe
                                                                  PeStudio winitor.com показывает не только дату изменения файла, но и дату создания (см. file headers). Не то?
                                                              +1
                                                              Заявления уровня обнаружения российской подводной лодки в Швеции. Аргументы уровня той мутной фотки. Такое ощущение что все как сговорились. Может пора начать копать бомбоубежище в погребе?
                                                                0
                                                                Копать бомбоубежища во дворах — это их тема.
                                                                0
                                                                Они и китайский Хуавей обвиняли, пока не выяснилось, что они-же им жучков и засовывали.

                                                                Only users with full accounts can post comments. Log in, please.