С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
Вход | Регистрация
12 29 яну 2016, 17:32, 12983 прочитания

Кой е главният заподозрян за интернет-атаките срещу референдума

Следите водят към руската хакерска група Sofacy

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg

Илюстрация

Когато на 10 ноември миналата година лидерите на водещите български политически сили се събраха на поредния Консултативен съвет по национална сигурност (КСНС) при президента, една от основните теми, които те обсъждаха, беше вълната от масирани кибератаки срещу референдума за онлайн гласуване. Тогава управляващите и опозицията се разбраха, че по най-бърз начин трябва да се създаде специална координираща мрежа, която да защитава информационната и комуникационната инфраструктура на държавата. И че България трябва да има детайлно разписан план за действие в случай на целенасочена хакерска офанзива.

Това, което обаче не стана публично известно, беше обстоятелството, че по време на КСНС представители на българските специални служби са изнесли информация за най-вероятния източник на кибератаките срещу миналогодишния референдум. И че следите водят към Русия, като дори е посочена конкретната хакерска група, която е използвана за нападението срещу българската телекомуникационна инфраструктура. Разговорът по темата тогава е провокирал гнева на представителите на БСП и "Атака", които са поискали конкретни преки доказателства по темата. По неофициална информация на "Капитал", потвърдена от два независими източника, данните по темата са подадени от партньорска спецслужба, а основният заподозрян е хакерската група Sofacy, известна още с наименованията APT28, Pawn Storm, Fancy Bear, Strontium и Sednit. За нея се смята, че поддържа тесни връзки с руските официални власти и че се занимава с кибершпионаж срещу специфични, предварително набелязани цели. Приоритетни мишени в повечето случаи са високопоставени политици, чужди правителства, военни структури, организации в сферата на сигурността и фирми от отбранителния сектор.


Въпреки твърдението на чуждите спецслужби специалисти в сферата на мрежовата сигурност изразиха известен скептицизъм относно вероятността именно Sofacy да седи зад киберофанзивата срещу референдума. Причината за това е, че атаката беше от типа DdoS, което всъщност е задръстване на мрежи с фашив трафик, а не хакване. За подобно не се изискват някакви специфични познания, а просто наемане на ботнет мрежа, изградена от зомбирани машини. Според експертите това е много под нивото на Sofacy и не се вписва в почерка й. Въпросните експерти обаче не са запознати с подробностите по атаката, нито с доказателствата на службите.

От Русия - без любов

Първите официални доказателства за хакерските действия на Sofacy датират от средата на 2007 г. Най-известните й операции, за които се знае, са срещу Белия дом, НАТО, германския парламент (с продължителност около половин година), бившата "частна армия" Blackwater (в момента преименувана на Academi) и френската телевизионна мрежа TV5Monde.



Индикаторите за връзки на Sofacy/APT28 с руски държавни структури са по-скоро косвени. Според доклад на компанията за мрежова сигурност FireEye въпросната група, за разлика от китайските хакери, не се занимава с кражба на интелектуална собственост с цел икономическа изгода или пък с източване на финансови данни и банкови сметки. За сметка на това събира информация от разузнавателно, отбранително и геополитическо естество, от която полза може да извлече само дадено правителство. Групата използва основно три вектора на атака, за да разпространява своя шпионски софтуер: фишинг писма с прикачени файлове, клонинги на популярни сайтове и пробиви в сигурността на Java и Flash. Според специалистите по компютърна сигурност от 2007 г. насам Sofacy/APT28 систематично е подобрявала версиите на своите вредителски софтуери (malware), като повече от половината от тях съдържат елементи на руски език. Също така около 89% от засечените хакерски продукти на групата са компилирани в рамките на стандартното работно време в часовата зона, в която се намират Москва и Санкт Петербург.

Действията на Sofacy/APT28 винаги са строго целенасочени. Знае се, че групата проявява специфичен интерес към точно определени групи мишени – Кавказкия регион и най-вече Грузия, правителствени и военни структури в Източна Европа, NATO и други европейски организации за сигурност. Според FireEye обект на атаки е било грузинското МВР и поне две правителствени агенции от Източна Европа, една от които най-вероятно е полска. Също така хакерската група е имитирала легитимни сайтове, разпространявайки чрез клонингите им свои шпионски софтуери до всички, които ги отварят. И тук идва първата любопитна изненада – освен имитации на интернет страници на NATO, OSCE, унгарското и полското правителство, както и на полското военно министерство, FireEye са се натъкнали на фалшиви версии на българските онлайн медии standartnews.com и novinite.com. Sofacy също така са засечени да изпращат фишинг мейли до поименни списъци с американски, британски, канадски и турски офицери и военни аташета.

Българската следа

По-притеснителна информация за България обаче присъства в последния доклад на компанията за компютърна сигурност Bitdefender. Той е съвсем нов и датира от декември 2015 г. Въпросната фирма е базирана в Румъния и работи в тясно сътрудничество с правителствения CERT център – структура към Министерство на транспорта, която се занимава със сигурността на несекретните държавни компютърни мрежи у нас. Публично достъпният документ на Bitdefender съдържа данни, които доказват, че Sofacy/APT28 най-вероятно активно оперира в България доста преди DdoS-атаките срещу сайтовете на ЦИК и правителствените институции от октомври.

Bitdefender описват инцидент, при който ботове на Sofacy, инсталирани на девет машини, извършват сканиране на над 8.7 млн. мрежови устройства по IP адрес за потенциални пробиви в сигурността. Около 1.7 млн. от тези адреси са маркирани като "уязвими", като почти всички са в Украйна. Другите засечени потенциални цели са в Русия, Румъния, България, САЩ, Канада и Италия. Всичко това се случва в периода 10-14 февруари 2015 г., точно когато се провеждат преговорите в Минск за спирането на бойните действия в Донбас. По-притеснителният момент в случая е, че три от деветте бота, които извършват въпросното сканиране, са засечени на машини в България (останалите са във Великобритания и САЩ). Веднага след края на преговорите в Минск операцията по сканиране на IP адреси от страна на Sofacy се пренасочва приоритетно към Испания, Великобритания, Португалия, САЩ и Мексико.

"Настоящото ни разследване на операциите, провеждани от Sofacy, разкрива, че кибергрупата е изключително активна и фокусирана върху специфични региони. Основните цели са потенциални жертви в няколко държави, като например Украйна, Испания, Русия, Румъния, САЩ и Канада", обобщават от Bitdefender. И продължават: "За момента не е ясно по какви критерии операторите определят целите си, но изследването ни сочи, че те се избират от лист с уязвими IP адреси, подготвен предварително. Всички цели обаче попадат в няколко категории: политика, борба с онлайн престъпления, телекомуникации и аерокосмическа индустрия."

Друг индикатор, че Sofacy/APT28 не са просто хакери аматьори, е фактът, че групата разработва шпионски софтуери за преодоляване на т.нар. air-gap, или физическото отделяне на индустриалните мрежи от комерсиалния интернет. В този случай заразяването и пренасянето на информацията обикновено става чрез флашки или други преносими USB устройства. По подобен начин известният вирус Stuxnet успя да зарази инсталации от иранската ядрена програма, където се обогатяваше уран, и да повреди част от апаратурата.

Именно air-gap защитата е едно от нещата, които българските енергийни фирми изтъкват, когато обясняват колко са обезопасени срещу хакерски атаки. Индустриалните стандарти в енергетиката обаче, изглежда, не са помогнали много на техните украински колеги от "Прикарпаттяобленерго". На 23 декември миналата година те се превърнаха в първата електроцентрала в човешката история, успешно извадена от строя чрез кибератака. И то именно от руски хакери...
  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Прочетете и това

Разходите за труд в България растат с втория най-висок темп в ЕС Разходите за труд в България растат с втория най-висок темп в ЕС

Работодателите са заделили средно с 12.3% повече за персонал през първото тримесечие спрямо година по-рано

18 юни 2019, 422 прочитания

България се завръща на пазара на дълг с емисии ДЦК за 400 млн. лв. България се завръща на пазара на дълг с емисии ДЦК за 400 млн. лв.

Министерството на финансите изненадващо обяви два аукциона за дългосрочни облигации след година и половина пауза

18 юни 2019, 1189 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "България" Затваряне
Малки черни дупки

Общинските дружества продължават да задлъжняват, като най-голяма част от сметката е за софийските

Частните парчета от парка

Устройственият план на Борисова градина осветли няколко съмнителни сделки, останали под радара на общественото внимание 20 години

На върха на рекламната стълбица. Отново

guts&brainsDDB стана агенция на годината за шести път в творческия рекламен конкурс ФАРА

"Слънчо" поглежда отвъд хоризонта

С проект по "Конкурентоспособност" за 1.6 млн. лв. компанията ще започне да изнася детски храни в региона

Миролио продаде дела си в "Булгартабак" за 26.6 млн. лв.

През фондовата борса бяха прехвърлени 7.22% от капитала, които отговарят точно на дела на италианския бизнесмен

Маша Гесен, журналистка: "Политиката трябва да е визия, не компетентност"

"Фашизмът е мечтата по въображаемото минало. Това е основната му характеристика."

Ядрен резонанс: на какво се дължи безпрецедентният успех на сериала "Чернобил"

Сериалът е смразяващо актуален днес, когато темата за размитите граници между истинно и лъжливо вълнуват обществото