Эстонский политический журнал Diplomaatia рассказал о преступной деятельности банды ФСБ в киберпространстве:
- Обнаружение Полицией безопасности Эстонии (сокращенно эст. КаПо) вируса CosmicDuke, как одной из сложных постоянных угроз, которая в 2014 году повлияла на государственную безопасность страны, оказался актуальным и интригующим.
Обнаруженный на минувшей неделе SeaDuke, который имеет некоторое сходство с CosmicDuke, мотивирует пристальнее взглянуть на киберугрозы, исходящие от вредоносных программ семейства Duke, а также на тех, кто за ними стоит.
С точки зрения функциональности CosmicDuke — это троян, который может фиксировать ваши нажатия на клавиши, красть пароли вашей электронной почты, экспортировать ваши криптографические сертификаты, анализировать ваши файлы и переносить наиболее интересную информацию из вашего компьютера на свой дистанционный командно-контрольный сервер.
Вредоносная программа загружается в компьютеры, выбранные в качестве мишени, используя ”фишинг”. Например, пользователь открывает приложение в электронном письме, которое по виду поступило из надёжного источника, близкого к профессиональным интересам пользователя.
В этот момент одновременно открывается документ-приманка и загружается вредоносный код. Кроме того, CosmicDuke защищает себя разными уровнями шифра, он запрограммирован избегать антивирусной обработки и препятствовать мануальному анализу.
Рядовой пользователь может никогда не узнать о его присутствии. Однако CosmicDuke не выбирает рядового пользователя в качестве мишени. Это часть сложной, многолетней шпионской кампании, направленной на правительства евроатлантического региона, исследовательские институты, корпорации и фонды.
Те, кто стоит за CosmicDuke и его ”родственниками” MiniDuke, OnionDuke и CosyDuke, действуют по меньшей мере с 2011 года.
Помимо Эстонии, их мишенями стали правительственные учреждения в Украине, Бельгии, Португалии и других европейских странах. Кроме того, сообщается, что в 2014 году вирус атаковал госдеп США и белый дом. Обнаружение SeaDuke наглядно демонстрирует тот факт, что люди, стоящие за этими программами, не показывают признаков замедления атак.
Кто или что стоит за этой серией шпионских кампаний, которые активизируют программы Duke? Исследователи компаний по компьютерной безопасности, таких как F-Secure, Symantec и BitDefender, годами следили за программами семейства Duke. Они отмечают сходство в функциональности вредоносных программ, векторах инфицирования, часах работы, командно-контрольной инфраструктуре и явных русскоязычных шаблонах, используемых при кодировании.
Выбор стратегических целей высокого профиля в НАТО и странах ЕС, равно как и обнаружение в 2014 году OnionDuke, свидетельствуют о том, что вредоносная программа применялась российской группой в целях поддержки стратегических интересов России.
Кроме того, сложность и продолжительность кампаний подчёркивают большой объём ресурсов, как в плане технических навыков, так и отработанных часов, которые были необходимы для ведения шпионажа на таком уровне. Накопившиеся улики привели аналитиков к заключению наиболее вероятной теории, что эта группа одно из подразделений ФСБ России.
Не нужно много усилий, чтобы вообразить разные сценарии того, как безопасность национального государства может быть подорвана при помощи шпионажа вредоносных программ семейства Duke.
Если хотите, представьте себе европейскую страну, которая в ближайшем будущем хочет стать членом НАТО. Высокопоставленный чиновник из влиятельной и оказывающей поддержку страны-партнёра невольно заражает рабочий компьютер CosmicDuke и отдел по информационной безопасности этой организации не обнаруживает и не предотвращает вторжение.
Затем чиновник использует ставшую небезопасной электронную почту, чтобы сообщить о планах активной поддержки расширению НАТО за год до следующего саммита.
CosmicDuke немедленно доставляет эту информацию до человека, который стоит за вредоносной программой и который осознаёт, что для предотвращения этого нежелательного результата время имеет важное значение.
Он мобилизует прочие ресурсы, дабы немедленно разрушить и, в конечном счёте, предотвратить расширение. В этих целях используются агрессивные шпионские операции, информационная война, которая подрывает общественную поддержку, а также угрозы прекратить энергоснабжение, что отбивает у бизнес-элиты желание поддерживать членство в НАТО.
И это только один из бесчисленных способов того, как программы Duke могли бы подвергнуть риску безопасность и солидарность евроатлантического региона.
Отдел мониторинга
Кавказ-Центр