Случаят SolarWinds се свързва с познати руски инструменти за шпионаж

11 януари, 2021

Няма коментари

Групата зад глобалната кампания за кибершпионаж, открита миналия месец, използва злонамерен компютърен код с връзки към шпионски инструменти, използвани преди от предполагаеми руски хакери, съобщиха изследователи по случая SolarWinds. От Kaspersky заявиха, че “задната врата”, използвана за компрометирането на около 18 000 клиенти на SolarWinds, наподобява зловреден софтуер, свързан с хакерска група, известна като “Turla”, която според естонските власти работи от името на руската Федерална служба за сигурност.

Констатациите са първите публично достъпни доказателства в подкрепа на твърденията на Съединените щати, че Русия е организирала хак, който компрометира редица чувствителни федерални агенции и е сред най-амбициозните кибер операции, разкривани някога.

Москва многократно отрече обвиненията, а от ФСБ не отговорят на искането за коментар.

Костин Райу, ръководител на глобални изследвания и анализи в Kaspersky, е на мнение, че има три различни прилики между случилото се със SolarWinds и хакерския инструмент, наречен „Kazuar“, който се използва от Turla.

Приликите включват начина, по който и двата зловредни софтуера се опитват да скрият функциите си от анализаторите на сигурността, как хакерите идентифицират жертвите си и формулата, използвана за изчисляване на периоди, когато вирусите са в латентно състояние, за да избегнат откриването.

“Една такава констатация може да бъде отхвърлена”, каза Райу. “Две неща определено ме карат да повдигам вежда. Три е повече от съвпадение.“

Увереното приписване на отговорност на кибератаки е изключително трудно и обсипано с възможни клопки. Когато руските хакери нарушиха церемонията по откриването на зимните олимпийски игри през 2018 г., те умишлено имитираха севернокорейска група, за да се опитат да отклонят вината, съобщават от Reuters.

Райу казва, че разкритите от неговия екип цифрови улики не намесват пряко “Turla”, но показват, че има все още нерешена връзка между двата хакерски инструмента.

Екипите за сигурност в САЩ и други страни все още работят, за да определят пълния обхват на хакерството на SolarWinds. Разследващите заявиха, че може да отнеме месеци, за да се разбере мащабът на компрометирането и дори повече време, за да се изгонят хакерите от мрежите на жертвите.

Американските разузнавателни агенции заявиха, че хакерите са “вероятно руски по произход” и са насочени към малък брой високопоставени жертви като част от операция за събиране на разузнавателна информация.