«Российские хакеры» снова атакуют немецких политиков: группировку Snake, также известную как Turla, подозревают во взломе электронной почты нескольких депутатов и атаке на посольства Германии и Вооруженные силы, пишет Spiegel со ссылкой на заявление ведомства по защите Конституции и борьбе с терроризмом. Сообщается, что атака произошла еще 14 ноября, но удалось ли хакерам похитить какие-то данные, неизвестно.
Фото: Евгений Павленко, Коммерсантъ
За деятельностью злоумышленников уже несколько лет пристально следит компания ESET. Ее специалисты регулярно публикуют отчеты о выявленных методах взлома и атаках Turla. Удалось выяснить, что группировка существует как минимум с 2008 года, рассказал руководитель отдела сопровождения технических продуктов компании ESET Сергей Кузнецов: «Они взломали несколько защищенных объектов, включая центральное командование Вооруженных сил США. Группировка всегда занималась кибершпионажем — это их основное направление деятельности. И именно поэтому они всегда были нацелены либо на какие-то крупные компании, в основном в Европе, либо на государственные учреждения, на оборонные предприятия.
Но принадлежность хакеров к той или иной национальности определить сложно, а уж их местоположение — практически нереально.
Они могут сидеть где угодно и далеко не вместе, не в одном кабинете, но заниматься той или иной атакой. Понятно, что это не один человек, потому что используемый хакерами инструментарий требует абсолютно разных компетенций достаточно высокого уровня, в том числе и в программировании на разных языках. Одному человеку это просто не под силу. Во-первых, довольно сложно в сжатые сроки написать инструментарий столь высокого класса на абсолютно разных языках программирования. Во-вторых, сама техника внедрения атаки подразумевает использование распространенной сети».
Группировка Snake или Turla уже не первый раз появляется в немецких СМИ. Ее считают причастной к атакам, случившимся в феврале и марте этого года. Эти хакеры примечательны тем, что используют необычные и очень хитрые методы взлома, рассказала руководитель группы исследования сложных угроз Group IB Анастасия Тихонова. Компания также пытается отслеживать и расследовать деятельность Turla. По словам госпожи Тихоновой, в последнее время группировка стала более скрытной: «Они используют следующий метод — вживление вредоносного кода в какие-то легитимно используемые приложения, которые как-то модифицируют код и уже могут осуществлять выполнение вредоносных функций: слежку за пользователями, сбор всех скрытых данных.
Например, они используют Flash Player, то есть довольно распространенный инструмент.
Кроме того, у них есть свой бэкдор, который общается с их управляющим сервером с помощью PDF-вложений. Для обычного пользователя это выглядит совершенно легитимным, но внутри такого PDF-документа зашифрованы команды, которые отправляют злоумышленникам ваши данные и все скрытые документы. Также в своих атаках хакеры также часто используют социальные сети. Так, в Instagram-аккаунте Бритни Спирс они считывали комментарии к постам, расшифровывали их и преобразовывали в короткую ссылку, которая позволяла им связываться со своим серверным управлением. С помощью такого метода можно также скрыть свои вредоносные действия, потому что для кодов антивирусов общение в соцсетях не влечет какой-либо изначальной вредоносной активности».
Сообщения о хакерских атаках приходят на фоне грядущей встречи Путина и Мерель: лидеры должны провести переговоры на саммите G20 в Аргентине. Но тема хакеров вряд ли появится в повестке этой встречи. Между странами накопилось достаточное количество более важных проблем, которые требуют скорейшего разрешения, считает политолог Александр Гусев: «Владимир Путин и федеральный канцлер Германии Ангела Меркель в Буэнос-Айресе будут, конечно, обсуждать целый ряд проблем. Я полагаю, что тема хакерской атаки не поставлена в повестку дня. Дело в том, что совершенно не обязательно, что они идут из России. Кроме того, у лидеров Германии и России накопилось достаточно проблем для обсуждения. Это и ситуация на Украине, и в Донбассе. Процесс этот нужно как-то выводить из тупика, в который мы зашли: ситуация с арестом кораблей в Черном и Азовском морях, конечно, очень серьезная. Думаю, что Путин и Меркель будут обсуждать строительство "Северного потока-2", потому что это жизненно необходимо как для России, так и для Германии. Хакерское движение пока не настолько серьезно, чтобы тратить на него время».
Одна из последних кибератак, которую связывают с российскими хакерами, произошла в июне. Злоумышленники пытались взломать компьютерные сети немецких энергетических компаний. Россия обвинения в кибератаках на другие страны отрицает.