Швейцарська компанія стверджує, хакери були надзвичайно організованими, писали російською мовою, але не атакували цілі в Росії чи Україні.
Компанія зі Швейцарії, яка спеціалізується на кібербезпеці, заявила, що отримала доступ до серверів, які були використані групою хакерів для проникнення в програмне забезпечення компанії SolarWinds. Це дозволило з’ясувати деталі про те, як були проведені операції й проти кого.
Як пише Bloomberg, компанія PRODAFT запевняє, що хакери продовжували свою шкідливу роботу навіть цього місяця. Загалом, швейцарські експерти кажуть, що змогли проникнути в комп’ютерну інфраструктуру зловмисників і отримати докази про масивну кампанію, яка розгорталася з серпня до березня. Тоді постраждали тисячі компаній й урядових організацій по всій Європі й в США.
У своєму звіті PRODAFT зазначили, що метою хакерської групи, яку експерти називають SilverFish, було шпигувати за своїми жертвами й красти дані. SilverFish провела “надзвичайно складну” кібератаку проти щонайменше 4720 цілей включно з державними органами, глобальними постачальниками IT-послуг, десятками банківських установ у США і ЄС. Також жертвами хакерів стали великі консалтингові фірми, один з найбільших у світі виробників тестів для виявлення COVID-19, а також авіаційні й оборонні компанії.
Швейцарські дослідники кажуть, що хакери використовували не лише уразливі місця програмного забезпечення від SolarWinds, щоб атакувати своїх жертв. SilverFish наразі не пов’язують з жодною відомою хакерською організацією чи країною. Однак, експерти називають її “APT-групою”. APT – це абревіатура, яка означає “передова стійка загроза” (advanced persistent threat). Зазвичай групи, які називають цим терміном, пов’язують з державними організаціями.
У PRODAFT кажуть, що хакери SilverFish мають деякі ознаки організації, яку фінансує держава. Зокрема, про це говорить те, що вони атакували критично важливу інфраструктуру й не були мотивовані грошима. Однак, потрібно провести додатковий аналіз, щоб підтвердити зв’язки з урядовими структурами.
Тому наразі звіт PRODAFT не дає чіткої відповіді на питання, чи SilverFish якось пов’язана з урядом Росії. А влада США й інші компанії з кібербезпеки вказують пальцем саме на Москву як найбільш вірогідного винуватця атак проти SolarWinds. Про цю кібератаку стало відомо в грудні. Хакери додали злоякісний код до оновлень популярного програмного забезпечення від техаської компанії SolarWinds Corp.
Таким чином, 18 тисяч клієнтів SolarWinds отримали це шкідливе оновлення. З них лише невелика кількість стали цілями для подальшого хакерського проникнення. У Білому домі повідомляли про приблизно 100 приватних компаній і 9 державних відомств постраждали від кібератаки.
Чиновники Швейцарії з питань кібербезпеки кажуть, що підтримують контакт з PRODAFT. Однак, поки відмовляються коментувати нову інформацію “з міркувань безпеки”. ФБР теж не прокоментував швейцарський звіт. Дослідники у сфері кібербезпеки в США поставилися дещо скептично до звіту PRODAFT. Вони переконані, що кібератаки були шпигунською операцією РФ. Хоча висновки швейцарців відкрито вони теж не критикують.
У всякому разі, звіт швейцарської компанії проливає світло на діяльність хакерської групи. Учасники SilverFish працювали строго за графіком з понеділка до п’ятниці. Вони виходили на роботу о 8:00 ранку і припиняли діяльність о 20:00 вечора (тільки не уточнили: за Московським чи Київським часом, – ред.))).
“Хакери керували серверами в Росії й Україні. А також використовували деякі спільні сервери з горезвісною російською злочинною групою Evil Corp“, – йдеться в звіті швейцарської компанії.
У PRODAFT зауважують, що хакери були “надзвичайно добре організованою групою кібер-шпіонажу”. Вони ділилися на чотири групи, які називалися 301, 302, 303 і 304. Хакери зосередилися на атаках державних структур і великих корпорацій зі списку Fortune 500.
“Група SilverFish не проводила атаки проти жертв, які походили з Росії, України, Грузії й Узбекистану, йдеться в звіті. США стали регіоном, який найчастіше був ціллю для хакерів“, – йдеться в статті.
Всього хакери провели 2465 атак в США. На другому місці опинилися Європа. Тут жертвами SilverFish стали 1466 організацій з Італії, Нідерландів, Данії, Австрії, Франції й Великої Британії. Хакери писали коментарі “російським сленгом і простою мовою”. Англійська була другою мовою, яку вони теж часто використовували. Код містить також ID-номери і псевдоніми, серед яких “new hacker,” “cyberbro netsupport” і “walter”. Їх використовували 14 людей, які працювали під керівництвом чотирьох груп.
“Напевне, найбільш вражає в цьому звіті – це надзвичайно добре організований професіоналізм загрози”, – сказав віце-президент з питань досліджень безпеки в компанії Trend Micro Inc Рік Фергюсон.
За його словами, очевидно, що хакери були висококваліфіковані, добре профінансовані й діють з чітко визначеними цілями місії.
Масштабна кібератака на США
- 13 грудня 2020 року видання Reuters повідомило, що хакери зламали систему Міністерства фінансів США та Національного управління з телекомунікацій та інформації та викрали дані.
- Злом відбувся через сервер оновлень системи управління продуктами SolarWinds Orion Platform (її версії 2019.4 – 2020.2.1 HF1). Постраждали майже всі Державні установи США. Суб’єктам господарювання, які використовують цей продукт, рекомендують перевірити свої мережі на наявність показників компрометації. Інформацію про те, як виявити загрозу в продуктах SolarWinds Orion можна завантажити за посиланням.
- Атаку пов’язують з діяльністю хакерської групи APT29 або Cozy Bear, яку частково звинувачують у зв’язках зі Службою зовнішньої розвідки РФ.