Według grupy śledczej firmy Kaspersky, zajmującej się cyberbezpieczeństwem, podczas niedawnego cyber-ataku SolarWinds w USA wykorzystano kod, który częściowo pokrywa się z kodem użytym podczas wcześniejszego ataku. Miała go dokonać grupa hakerska z Rosji. Kaspersky zwraca jednak uwagę także na inne możliwości.

Według moskiewskiej firmy Kaspersky, zajmującej się cyberbezpieczeństwem, część złośliwego kodu wykorzystanego podczas cyber-ataku na rząd USA w ubiegłym miesiącu pokrywa się z kodem, który został wcześniej zastosowany przez podejrzanych rosyjskich hakerów. Śledczy z tej firmy zastrzegają jednak, że podobieństwo kodu nie potwierdza, że za oboma atakami stoi ta sama grupa.

Brytyjski „The Guardian” pisze, że odkrycie śledczych firmy Kaspersky może być pierwszym, publicznym dowodem na poparcie oskarżeń Waszyngtonu wobec Moskwy. USA twierdzą, że to Rosja odpowiada za największy cyber-ataku przeciwko amerykańskiemu rządowi od lat. Dotknął on 18 tys. użytkowników oprogramowania wyprodukowanego przez SolarWinds, w tym również amerykańskie agencje rządowe.

Jak podają eksperci Kasperskiego, rodzaj „tylnych drzwi” o nazwie Sunburst, użyty do komunikowania się z serwerem kontrolowanym przez hakerów, przypomina inne narzędzie hakerskie o nazwie Kazuar. To ostatnie zostało już wcześniej przypisane grupie Turla, uznawanej za zaawansowane i uporczywe źródło zagrożenia (tzw. APT – advanced persistent threat). Cyber-ataki dokonywane przez tę grupę są odnotowywane co najmniej od 2008 roku, gdy miała ona zinfiltrować amerykańskie Dowództwo Centralne (Central Command).

Później z grupą Turla łączono również cyber-ataki na ambasady w różnych krajach, a także na ministerstwa czy podmioty świadczące usługi zdrowotne. Kilka firm zajmujących się cyberbezpieczeństwem twierdzi, że to grupa rosyjska. W raporcie estońskiego wywiadu z 2018 roku napisano, że jest ona związana z rosyjską FSB.

W ubiegłym tygodniu amerykańskie agencje wywiadowcze opublikowały wspólne oświadczenie, w którym oskarżyły Moskwę o cyber-atak. Amerykańskie służby twierdzą, że trwał on dłużej niż miesiąc po tym, jak upubliczniono wiadomości o nim. Moskwa zaprzecza, że ponosi jakąkolwiek odpowiedzialność za ataki.

Dzięki narzędziu Sunburst, cyber-przestępcy otrzymywali raporty dotyczące zainfekowanych komputerów, na podstawie których brano na cel te, który wydawały się interesujące i badano ich zawartość. Ponieważ znacząca większość z 18 tys. zarażonych komputerów nie została do tego celu wytypowana, przyjmuje się, że atak miał być bardzo ukierunkowany.

Cyberataki te trwały od wiosny 2020 roku. Jak pisaliśmy w grudniu ub. roku, kilka tygodni temu wykryły je prywatne firmy. Dziennik „New York Times” pisał, że amerykańskie służby wywiadowcze  poinformowały Kongres, że ich zdaniem za atakiem stoi rosyjska Służba Wywiadu Zagranicznego (SWR).

Samo narzędzie hakerskie Kazuar ma mieć z kolei wyraźne związki z funkcjami, które tygodniami utrzymywały złośliwe oprogramowanie w stanie uśpienia oraz z tym, w jaki sposób kodowało ono informacje o potencjalnych celach.

Śledczy Kasperskiego zwracają zarazem uwagę, że osoby odpowiedzialne za ostatni atak w USA mogli zainspirować się kodem Kazuar. Widzą też inne możliwości: grupy odpowiedzialne za oba ataki były różne i pozyskały złośliwe oprogramowanie z tego samego źródła; były członek Turla dołączył do nowej grupy i wziął z sobą kod; kod został wykorzystany jako „fałszywa flaga”, żeby specjalnie skierować podejrzenia na Moskwę.

„Niemniej jednak, są to interesujące zbiegi okoliczności. Jeden zbieg okoliczności nie byłby tak tak niezwykły, dwa zdecydowanie wzbudziłyby zainteresowanie, natomiast trzy zbiegi okoliczności są dla nas trochę podejrzane” – zaznacza grupa ekspertów firmy Kaspersky.

Według niektórych źródeł, za atakiem SolarWinds miała stać rosyjska cyber-grupa APT29, znana też jako Cozy Bear. Jest ona zwykle łączona z rosyjską służbą wywiadu zagranicznego SWR, podczas gdy Turla kojarzona jest z FSB.

Czytaj także: Norweski kontrwywiad podejrzewa rosyjską grupę Fancy Bear o cyberatak na parlament w Oslo

Pod koniec maja 2020 roku kanclerz Niemiec Angela Merkel obciążyła Rosję odpowiedzialnością za cyberatak na Bundestag sprzed pięciu lat. Podczas pytań poselskich w niemieckim parlamencie powiedziała, że ślady prowadzą do rosyjskiego wywiadu wojskowego GRU.

Zobacz również: Wielka Brytania, USA i Kanada oskarżają Rosję o cyberatak mający na celu wykraść informacje o szczepionce na COVID-19

theguardian.com / cyberscoop.com / Kresy.pl

0 odpowiedzi

Zostaw odpowiedź

Chcesz przyłączyć się do dyskusji?
Nie krępuj się!

Leave a Reply