"Энергетический русский медведь" наводит ужас на западные корпорации

Повсеместные атаки

Манера атаки дает возможность хакерам из России контролировать системы управления промышленности удаленно, во многом таким же образом, как Израиль и США использовали компьютерный червь Stuxnet в 2009 году для управления компьютерами Иранского ядерного комплекса, что дало им возможность уничтожить пятую часть снабжения ураном в стране.

Атаки российских хакеров на более чем 1000 организаций в более чем 84 странах, были впервые замечены в августе 2012 года исследователями компании CrowdStrike из Ирвина в Калифорнии, занимающейся компьютерной безопасностью. Специалисты фирмы обратили внимание на необычно изощренно работающую и агрессивную группу из России, которая избрала своей целью сектор энергетики, помимо здравоохранения и подрядчиков правительственных учреждений и оборонных ведомств.

Осторожный "Энергетический медведь"

Группу назвали "Энергетический медведь", так как большинство ее жертв были нефтяные и газовые компании. Представители CrowdStrike считают, что хакеры работают с ведома и при поддержке российского правительства, принимая во внимание ресурсы и изощренность, а также то, что атаки совершались в рабочие часы по московскому времени.

В прошлый понедельник еще одна компания компьютерной безопасности Symantec из Mountain View в Калифорнии выпустила отчет, содержащий подобные выводы, а также дополнительно новый элемент - наличие функции удаленного управления, подобной Stuxnet.

Помимо обычных хакерских методов, как массовое отправление электронных писем с вредоносными ссылками и прикреплениями, группа заражала веб-сайты, посещаемые работниками и инвесторами энергетического сектора способом, известным как Watering hole. В данном типе атаки вместо того, чтобы иметь своей целью напрямую сеть компьютера жертвы, хакеры заражают вредоносными программами веб-сайты, которые их подопечные посещают наиболее часто, вроде онлайн меню китайского ресторана. Ничего не подозревающий служащий нужного предприятия посещая указанный сайт непреднамеренно скачивает стороннюю программу, давая хакеру доступ в сеть компьютеров данного работника.

Исследователи отмечают тщательность, с которой хакеры из России заметают следы. Они скрывают свои программы специальной кодировкой, затрудняющей обнаружение их инструментария и источник происхождения. В некоторых случаях, отмечают исследователи, хакеры пытаются вторгнуться в центральную часть машин жертвы, ту часть, которая известна под названием BIOS или другими словами основную систему ввода/вывода. В отличие от программного обеспечения, которое можно пролечить или апдейтить-обновить, при заражении аппаратного обеспечения компьютера, последний обычно выходит из строя.

Русские трояны?

Фирма компьютерной безопасности из Финляндии F-Secure на прошлой неделе также поставила в известность своих клиентов о российской хакерской группе, которую Symantec окрестила "Dragonfly" ("Стрекоза"). В последние полгода деятельность группы стала особенно агрессивной и изощренной.

Российские хакеры вламываются в сети программного обеспечения промышленного контроля или сокращенно I.C.S., вживляя, так называемых Троянов в программы, используемые многими нефтяными и газовыми компаниями, позволяющими служащим управлять промышленным производством удаленно. В подобных случаях, когда нефтяные и газовые компании обновляют программное обеспечение, чтобы получить новейшую версию, они одновременно скачивают, ничего не подозревая, заодно и хакерскую программу.

Не менее трех разработчиков программного обеспечения промышленного контроля были подвергнуты нападению, сообщают Symantec, F-Secure и CrowdStrike. Один из них - изготовитель инструментов удаленного доступа для промышленных систем управления; второй - Европейский изготовитель специализированных средств промышленного контроля и третий - Европейская компания, разрабатывающая системы управления ветряными двигателями, установками переработки природного газа и другими энергетическими инфраструктурами.

По оценке работников исследовательских компаний, более 250 организаций загрузили зараженные обновления программного обеспечения.

"Подобные внедрения не только позволяют хакерам закрепиться в компьютерных сетях указанных организаций, но также дали им в руки средства осуществлять операции саботажа в зараженных компьютерах сети I.C.S. (программного обеспечения промышленного контроля) ", пишет в своем отчете Symantec.

Цели хакеров

Данные действия не указывают на то, что российская группа намеревалась использовать плацдарм в некоторых компьютерных сетях для нанесения ущерба вроде подрыва нефтепромысловой площадки или электростанции, говорит директор отдела реагирования Symantec Кевин Хейли в своем интервью. Очевидный мотив хакеров был узнать побольше об операциях в энергетических компаниях, их стратегических планах и используемых технологиях, продолжает г-н Хейли. "Однако наличие потенциальной возможности саботажа налицо", - подчеркивает специалист.

В последнее время "Энергетический медведь" нацелился на компании финансовой сферы, говорит начальник отдела разведки угроз компании CrowdStrike Адам Майерс. В особенности группа атаковала с помощью метода Watering hole некоторые веб-сайты, посещаемые сотрудниками фирм, занимающимися инвестициями в сектор энергетики.

Стоит только посетить зараженный сайт, говорит г-н Мейерс, атакующие вирусы проникают в систему, сканируют устройство на предмет стоит ли его взламывать и затем внедряют изощренный хакерский инструментарий. В тех компьютерах, где их ничего не заинтересовало, хакеры просто вычищают следы своих инструментов и двигаются дальше.

"Работают чрезвычайно агрессивно", продолжает Майерс, "И так же тщательно заметают следы".