Google обяви, че е идентифицирал нов вид зловреден софтуер, наречен „LOSTKEYS“, който се свързва с руската хакерска група Cold River — известна с атаките си срещу високопоставени цели в Запада и подозирана за връзки с руската Федерална служба за сигурност (ФСБ).

Откритието е публикувано в блог от Google Threat Intelligence Group (GTIG) и показва как Cold River продължава да усъвършенства своите тактики за шпионаж. Новият зловреден софтуер позволява кражба на файлове и системна информация от компрометирани устройства, което значително увеличава ефективността на групата при разузнавателни операции.

Cold River, позната още като Callisto Group или Seaborgium, е активна и през 2025 г., като последните кампании през януари, март и април са били насочени към:

• Настоящи и бивши съветници на западни правителства и военни;
• Журналисти;
• Изследователски центрове и мозъчни тръстове;
• Неправителствени организации;
• Лица с връзки с Украйна.

Тези действия, според експертите от GTIG, обслужват стратегическите интереси на Русия.

През 2022 г. Cold River беше замесена в атаки срещу три американски ядрени изследователски лаборатории, както и в операция, при която бяха публикувани лични имейли на бившия шеф на MI6 Ричард Дирлав и други известни про-Brexit фигури — част от по-широка кампания за дезинформация в Обединеното кралство.

Изображение: Freepik

Констатациите са първите публично достъпни доказателства в подкрепа на твърденията на Съединените щати, че Русия е организирала хак, който компрометира редица чувствителни федерални агенции и е сред най-амбициозните кибер операции, разкривани някога.

Москва многократно отрече обвиненията, а от ФСБ не отговорят на искането за коментар.

Костин Райу, ръководител на глобални изследвания и анализи в Kaspersky, е на мнение, че има три различни прилики между случилото се със SolarWinds и хакерския инструмент, наречен „Kazuar“, който се използва от Turla.

Приликите включват начина, по който и двата зловредни софтуера се опитват да скрият функциите си от анализаторите на сигурността, как хакерите идентифицират жертвите си и формулата, използвана за изчисляване на периоди, когато вирусите са в латентно състояние, за да избегнат откриването.

“Една такава констатация може да бъде отхвърлена”, каза Райу. “Две неща определено ме карат да повдигам вежда. Три е повече от съвпадение.“

Увереното приписване на отговорност на кибератаки е изключително трудно и обсипано с възможни клопки. Когато руските хакери нарушиха церемонията по откриването на зимните олимпийски игри през 2018 г., те умишлено имитираха севернокорейска група, за да се опитат да отклонят вината, съобщават от Reuters.

Райу казва, че разкритите от неговия екип цифрови улики не намесват пряко “Turla”, но показват, че има все още нерешена връзка между двата хакерски инструмента.

Екипите за сигурност в САЩ и други страни все още работят, за да определят пълния обхват на хакерството на SolarWinds. Разследващите заявиха, че може да отнеме месеци, за да се разбере мащабът на компрометирането и дори повече време, за да се изгонят хакерите от мрежите на жертвите.

Американските разузнавателни агенции заявиха, че хакерите са “вероятно руски по произход” и са насочени към малък брой високопоставени жертви като част от операция за събиране на разузнавателна информация.

Разбира се, в изявление, направено във Facebook, руското външно министерство определи обвиненията като поредния неоснователен опит Русия да бъде обвинена в кибератаки и кибер заплахи срещу американската администрация.

Все пак съществува сериозно притеснение, че хакерите, насочени към Министерството на финансите и Националната администрация за телекомуникации и информация на Министерството на търговията, са използвали подобен инструмент за проникване в други правителствени агенции, а въпросното проследяване на имейли най-вероятно датира още от лятото.

“Това е много по-голям случай отколкото само една агенция,” споделя запознат със случая. “Това е огромна кампания за кибершпионаж, насочена към правителството на САЩ и неговите интереси”.

Атаката представлява предизвикателство за входящата администрация на новоизбрания президент Джо Байдън, тъй като служителите разследват каква информация е открадната и се опитват да установят за какво ще бъде използвана. Не е необичайно широкомащабните кибер разследвания да отнемат месеци или години.

Смята се, че шпионите са се намесили чрез тайно подправяне на актуализации, публикувани от ИТ компанията SolarWinds, която обслужва държавни клиенти в изпълнителната власт, военните и разузнавателните служби, съобщават от Ройтерс. Самата методика е скриване на злонамерен код в легитимни софтуерни актуализации, предоставени на целеви обекти от трети страни.