Rosyjscy hakerzy szpiegują komputery zachodnich instytucji

Złośliwe oprogramowanie zostało dostosowane przez przestępców do szpiegowania komputerów przez kradzież e-maili i dokumentów.

Hakerzy stworzyli takie oprogramowanie, które wykorzystuje lukę w zabezpieczeniach – praktycznie we wszystkich nowoczesnych wersjach systemu operacyjnego Windows: Vista, 7, 8 i 8.1. Luka jest także obecna w wersjach systemu operacyjnego dla serwerów używanych przez firmy i rządy.

Jak obliczył serwis internetowy NetMarketShare, prawie 68 proc. komputerów używanych obecnie na świecie jest podatnych na ataki wykorzystujące ten błąd systemu.

Pustynny czerw

– Złożoność i niepowtarzalność ataku doprowadziły nas do przekonania, że odpowiedzialni za niego są rosyjscy hakerzy powiązani z rządem – powiedział Stephen Ward, zastępca szefa w iSight Partners telewizji CNN. – To atak typu zero-day (w ten sposób identyfikowane są rodzaje ataków, które pojawiają się po raz pierwszy z wykorzystaniem luk, które wcześniej nie były znane). – Tego typu działania są bardzo kosztowne, a to jest zazwyczaj domeną zespołów cyberszpiegów sponsorowanych przez rządy państw.

Ward podkreśla, że o sponsorowaniu przez państwo rosyjskie tych przestępczych działań świadczy także rodzaj celów. Wszystkie mają jakieś powiązania z wojskiem, polityką zagraniczną i są istotne dla gospodarki rosyjskiej.

Najnowszą działalność hakerów z grupy nazwanej Sand Worm specjaliści z firmy iSight Partners z Dallas w Teksasie śledzą od 2009 roku. Jesienią 2013 roku odnotowano ataki przeciw NATO.

Grupa zyskała nazwę Sand-?Worm, ponieważ kod, którym posługiwali się przestępcy, często odnosił się do klasycznej powieści science fiction „Diuna". Stada potworów – robaków SandWorm (czerwi pustynnych) – odgrywają istotną rolę w fabule.

W czerwcu 2014 roku zaatakowane zostały rządy państw zachodnich, polska firma energetyczna (iSight nie podał jej nazwy) oraz francuskie przedsiębiorstwo telekomunikacyjne.

Pod koniec sierpnia i na początku września specjaliści zauważyli wysyłanie e-maili z próbą wyłudzania poufnych informacji do ukraińskich urzędników. Wiadomości e-mail zawierały złośliwe oprogramowanie w załącznikach w PowerPoincie. Specjaliści dostrzegli też podobne działania skierowane przeciw amerykańskim instytucjom naukowym zajmującym się studiowaniem kultury i polityki Rosji.

Zgubna pewność siebie

Firma Microsoft jako jedna z pierwszych spośród partnerów firmy iSight dowiedziała się o przestępstwie. Od pięciu tygodni programiści ściśle współpracowali ze specjalistami od zabezpieczeń przy analizie błędu systemowego, który wykorzystali przestępcy.

Chociaż występował we wszystkich wersjach systemu Microsoft Windows, a co za tym idzie, dotyczył ogromnej liczby użytkowników, nie był wcześniej znany, a lukę wykorzystali hakerzy z SandWorm.

W trakcie prac Microsoft i iSight przygotowali poprawkę dla systemu Windows. Wprowadzenie jej przez administratorów systemów opartych na serwerach z systemem operacyjnym Windows specjaliści zalecili zastosować najszybciej, jak to możliwe.

Eksperci ostrzegają, że przestępcy mogą ciągle wykorzystywać błąd do cyberszpiegostwa i innych przestępstw.

Microsoft wydał już niezbędną poprawkę systemów operacyjnych i zachęca administratorów systemów do szybkiego działania. Szczegóły można znaleźć na stronie www. isightpartners.com. Na dzisiejsze popołudnie firma zapowiedziała konferencję, gdzie podane zostaną szczegóły ataku.

Działalność hakerów we wrześniu zauważyła również firma F-Secure. Robaka nazwała Quedach, ale była w stanie rozpoznać tylko niektóre elementy intrygi hakerów. Dopiero dzwonek alarmowy – coraz częstsze ataki – zdopingował specjalistów do działania.

– Mimo że widziałem wiele ataków z użyciem Quedagh w Polsce i na Ukrainie, nie mogliśmy tego wytłumaczyć – powiedział Mikko Hypponen z firmy F-Secure. – Złośliwe oprogramowanie uchodziło niezauważone przez wiele lat, ponieważ wykorzystywało błąd, który był obecny jeszcze w starszych wersjach systemu Windows.

Hakerów zgubiła pewność siebie lub zwykłe niedopatrzenie: serwery komputerowe, z których wysyłane były wiadomości do ofiar ataku, pozostawały widoczne w Internecie. A na nich były przechowywane dokumenty napisane w języku rosyjskim – w tym instrukcje, jak korzystać ze złośliwego oprogramowania.