Кой е главният заподозрян за интернет-атаките срещу референдума
Следите водят към руската хакерска група Sofacy
Момчил Неделчев
Вечерни новини
Всяка делнична вечер получавате трите най-четени статии от деня, заедно с още три, препоръчани от редакторите на "Капитал"
Когато на 10 ноември миналата година лидерите на водещите български политически сили се събраха на поредния Консултативен съвет по национална сигурност (КСНС) при президента, една от основните теми, които те обсъждаха, беше вълната от масирани кибератаки срещу референдума за онлайн гласуване. Тогава управляващите и опозицията се разбраха, че по най-бърз начин трябва да се създаде специална координираща мрежа, която да защитава информационната и комуникационната инфраструктура на държавата. И че България трябва да има детайлно разписан план за действие в случай на целенасочена хакерска офанзива.
Това, което обаче не стана публично известно, беше обстоятелството, че по време на КСНС представители на българските специални служби са изнесли информация за най-вероятния източник на кибератаките срещу миналогодишния референдум. И че следите водят към Русия, като дори е посочена конкретната хакерска група, която е използвана за нападението срещу българската телекомуникационна инфраструктура. Разговорът по темата тогава е провокирал гнева на представителите на БСП и "Атака", които са поискали конкретни преки доказателства по темата. По неофициална информация на "Капитал", потвърдена от два независими източника, данните по темата са подадени от партньорска спецслужба, а основният заподозрян е хакерската група Sofacy, известна още с наименованията APT28, Pawn Storm, Fancy Bear, Strontium и Sednit. За нея се смята, че поддържа тесни връзки с руските официални власти и че се занимава с кибершпионаж срещу специфични, предварително набелязани цели. Приоритетни мишени в повечето случаи са високопоставени политици, чужди правителства, военни структури, организации в сферата на сигурността и фирми от отбранителния сектор.
Въпреки твърдението на чуждите спецслужби специалисти в сферата на мрежовата сигурност изразиха известен скептицизъм относно вероятността именно Sofacy да седи зад киберофанзивата срещу референдума. Причината за това е, че атаката беше от типа DdoS, което всъщност е задръстване на мрежи с фашив трафик, а не хакване. За подобно не се изискват някакви специфични познания, а просто наемане на ботнет мрежа, изградена от зомбирани машини. Според експертите това е много под нивото на Sofacy и не се вписва в почерка й. Въпросните експерти обаче не са запознати с подробностите по атаката, нито с доказателствата на службите.
От Русия - без любов
Първите официални доказателства за хакерските действия на Sofacy датират от средата на 2007 г. Най-известните й операции, за които се знае, са срещу Белия дом, НАТО, германския парламент (с продължителност около половин година), бившата "частна армия" Blackwater (в момента преименувана на Academi) и френската телевизионна мрежа TV5Monde.
Индикаторите за връзки на Sofacy/APT28 с руски държавни структури са по-скоро косвени. Според доклад на компанията за мрежова сигурност FireEye въпросната група, за разлика от китайските хакери, не се занимава с кражба на интелектуална собственост с цел икономическа изгода или пък с източване на финансови данни и банкови сметки. За сметка на това събира информация от разузнавателно, отбранително и геополитическо естество, от която полза може да извлече само дадено правителство. Групата използва основно три вектора на атака, за да разпространява своя шпионски софтуер: фишинг писма с прикачени файлове, клонинги на популярни сайтове и пробиви в сигурността на Java и Flash. Според специалистите по компютърна сигурност от 2007 г. насам Sofacy/APT28 систематично е подобрявала версиите на своите вредителски софтуери (malware), като повече от половината от тях съдържат елементи на руски език. Също така около 89% от засечените хакерски продукти на групата са компилирани в рамките на стандартното работно време в часовата зона, в която се намират Москва и Санкт Петербург.
Действията на Sofacy/APT28 винаги са строго целенасочени. Знае се, че групата проявява специфичен интерес към точно определени групи мишени – Кавказкия регион и най-вече Грузия, правителствени и военни структури в Източна Европа, NATO и други европейски организации за сигурност. Според FireEye обект на атаки е било грузинското МВР и поне две правителствени агенции от Източна Европа, една от които най-вероятно е полска. Също така хакерската група е имитирала легитимни сайтове, разпространявайки чрез клонингите им свои шпионски софтуери до всички, които ги отварят. И тук идва първата любопитна изненада – освен имитации на интернет страници на NATO, OSCE, унгарското и полското правителство, както и на полското военно министерство, FireEye са се натъкнали на фалшиви версии на българските онлайн медии standartnews.com и novinite.com. Sofacy също така са засечени да изпращат фишинг мейли до поименни списъци с американски, британски, канадски и турски офицери и военни аташета.
Българската следа
По-притеснителна информация за България обаче присъства в последния доклад на компанията за компютърна сигурност Bitdefender. Той е съвсем нов и датира от декември 2015 г. Въпросната фирма е базирана в Румъния и работи в тясно сътрудничество с правителствения CERT център – структура към Министерство на транспорта, която се занимава със сигурността на несекретните държавни компютърни мрежи у нас. Публично достъпният документ на Bitdefender съдържа данни, които доказват, че Sofacy/APT28 най-вероятно активно оперира в България доста преди DdoS-атаките срещу сайтовете на ЦИК и правителствените институции от октомври.
Bitdefender описват инцидент, при който ботове на Sofacy, инсталирани на девет машини, извършват сканиране на над 8.7 млн. мрежови устройства по IP адрес за потенциални пробиви в сигурността. Около 1.7 млн. от тези адреси са маркирани като "уязвими", като почти всички са в Украйна. Другите засечени потенциални цели са в Русия, Румъния, България, САЩ, Канада и Италия. Всичко това се случва в периода 10-14 февруари 2015 г., точно когато се провеждат преговорите в Минск за спирането на бойните действия в Донбас. По-притеснителният момент в случая е, че три от деветте бота, които извършват въпросното сканиране, са засечени на машини в България (останалите са във Великобритания и САЩ). Веднага след края на преговорите в Минск операцията по сканиране на IP адреси от страна на Sofacy се пренасочва приоритетно към Испания, Великобритания, Португалия, САЩ и Мексико.
"Настоящото ни разследване на операциите, провеждани от Sofacy, разкрива, че кибергрупата е изключително активна и фокусирана върху специфични региони. Основните цели са потенциални жертви в няколко държави, като например Украйна, Испания, Русия, Румъния, САЩ и Канада", обобщават от Bitdefender. И продължават: "За момента не е ясно по какви критерии операторите определят целите си, но изследването ни сочи, че те се избират от лист с уязвими IP адреси, подготвен предварително. Всички цели обаче попадат в няколко категории: политика, борба с онлайн престъпления, телекомуникации и аерокосмическа индустрия."
Друг индикатор, че Sofacy/APT28 не са просто хакери аматьори, е фактът, че групата разработва шпионски софтуери за преодоляване на т.нар. air-gap, или физическото отделяне на индустриалните мрежи от комерсиалния интернет. В този случай заразяването и пренасянето на информацията обикновено става чрез флашки или други преносими USB устройства. По подобен начин известният вирус Stuxnet успя да зарази инсталации от иранската ядрена програма, където се обогатяваше уран, и да повреди част от апаратурата.
Именно air-gap защитата е едно от нещата, които българските енергийни фирми изтъкват, когато обясняват колко са обезопасени срещу хакерски атаки. Индустриалните стандарти в енергетиката обаче, изглежда, не са помогнали много на техните украински колеги от "Прикарпаттяобленерго". На 23 декември миналата година те се превърнаха в първата електроцентрала в човешката история, успешно извадена от строя чрез кибератака. И то именно от руски хакери...
12 коментара
с две думи ... Долу Обама
За АПТ28 отдавна има данни, è са шпионирали български държавни учреждения, даже се знае и как - с фалшиви сайтове: http://questona.com/ruskite-hakeri-otapt28-shpioni
Виновни са, добре! А утре дали няма пак същите да саботират и електронни избори? И кво парим ако същите хакери вдигнат електрония резултат на Атака с 30 депутатски места?А ако рпеид това някой предвидливо напазарува проучавания, на социологически проучвания в същата посока? Защото на родна земя вече се е случвало както поръчкова социология, така и съчетаването и' с подмяна на изборни резултати(в някакво граници)
Това че е установено - много добре, много добре е също така, че се предприемат стъпки за отстраняването на такива атаки при едно толкова важно мероприятие като изборите.
А са ли в състояние специалистите да влязат в дирите на инфантилното същество, което тероризира вече повече от седмица форума на "Дневник" с милиардите си минуси към коментарите на форумците?
Имаме талантливи хора в ИТ? Как позволяват рашките да вуршеят у нас. Да заседнат при комовете и да им вурнат рестото...
И защо тъпите ни телевизии мълчаха като .асрани ? Единствен президентът се осмели да го каже и всички тролчета скочиха срещу него.Сакън нещо лошо да не се каже срещу Русия , ще им секне спонсорството .
До коментар [#1] от "Петър Иванов":
С една дума - идиот!
Алф - оти не плащат , сакат да платят на Америко а не на булгарско ит
Момче, първо се вика стой и тогава се стреля , т.е. първо се мисли и тогава се вика едната дума. У нас ка
квото и да стане Путин е света вода ненапита...
По-горе някой много адекватно попита, какво става, ако същите хакери компрометират електронния вот? Обаче всички го даунвотвате, щото не може да го осмислите това - наумили сте си, че електронния вот е хубаво нещо, и сте дотам с разсъжденията.
А за да атакуват така сайта на ЦИК, може би само демонстират какъв прекрасен хаос ще настъпи, ако се въведе електронно гласуване.
Нов коментар
За да публикувате коментари,
трябва да сте регистриран потребител.