FSB stoi za hakiem dekady? Interesujące wnioski Kaspersky'ego

11 stycznia 2021, 15:57
PUTIN_WLADYMIR1
Fot. Kremlin.ru/Domena publiczna

Grupa hakerów, która stoi za światową kampanią szpiegowską odkrytą w zeszłym miesiącu używała narzędzi, które przypominają te wykorzystywane przez rosyjskich hakerów – poinformował Kaspersky w swoim komunikacie.

Śledczy z rosyjskiej firmy Kaspersky zajmującej się cyberbezpieczeństwem stwierdzili, że backdoor, który został wykorzystany do przełamania zabezpieczeń ponad 18 tys. użytkowników oprogramowania SolarWinds przypomina złośliwe oprogramowanie używane przez grupę hakerską Turla (Snake, Krypton). Według władz Estonii jest to ugrupowanie pracujące dla FSB, które działa od 2008 roku i atakuje przede wszystkim cywilne cele rządowe oraz obiekty wojskowe. Wśród zaatakowanych obiektów znalazły  się misje dyplomatyczne w Europe Wschodniej, ministerstwa spraw zagranicznych Niemczech i Finlandii, instytucje w Korei Południowej (tuż przez spotkaniem Donalda Trumpa z Kim Dzong Unem) czy szwajcarskie ministerstwo obrony.

Informacje opublikowane przez Kaspersky to pierwsze publicznie dostępne dowody, mogące potwierdzić amerykańskie oskarżenia zarzucające Rosji udział w tzw. haku dekady, który doprowadził do przełamania zabezpieczeń wielu agencji federalnych. Kampania jest jedną z najbardziej, kiedykolwiek ujawnioną, tak ambitną operacją w cyberprzestrzeni.Przedstawiciele rosyjskiej władzy jak i  FSB odmówiły komentarza.

Costin Raiu, szef światowej jednostki badawczej i analitycznej w Kaspersky powiedział, że jest wiele podobieństw pomiędzy backdoorem SolarWinds i narzędziem hakerskim Kazuar używanym przez Turla. Podobieństwa obejmują między innymi część kodu, który jest używany do ukrywania swoich funkcji przed analitykami ds. bezpieczeństwa,  sposobu w jaki hakerzy identyfikują swoje ofiary oraz formuły używanej do obliczenia czasu, kiedy wirus znajduje się w uśpionym stanie, aby uniknąć wykrycia. Według Raiu tego typu podobieństwo nie może być przypadkowe. Jednocześnie jednak podkreślił, że nie jest to równoznaczne z przypisaniem odpowiedzialności grupie Turla za SolaWinds, ale raczej wskazuje na pewne powiązanie pomiędzy narzędziami używanymi do hakowania i wyjaśnienia dalszego związku.

Należy jednak podkreślić, że może to być również operacja tzw. fałszywej flagi. Tego typu przypadki są bardzo często spotykane w cyberprzestrzeni. W 2015 roku francuska telewizja Le Monde została sparaliżowana przez cyberatak, który początkowo przypisano hakerom z ISIS. Dogłębna analiza wykazała jednak, że jego autorem byli Rosjanie. Podobna sytuacja miała miejsce w 2018 roku w trakcie Zimowych Igrzysk Olimpijskich, kiedy rosyjscy hakerzy podszywali się pod grupę z Korei Północnej.  Dlatego nie można wykluczyć, że hakerzy odpowiedzialni za atak na SolarWinds inspirowali się działalnością grupy Turla lub to, że narzędzia były zakupione od tego samego producenta szpiegowskiego oprogramowania.

Zespoły ds. bezpieczeństwa ze Stanów Zjednoczonych i innych państw cały czas badają incydent tak, aby ocenić pełny zakres tzw. haku dekady. Eksperci podkreślają, że miesiące zajmie zrozumienie pełnej skali ataku. 

KomentarzeLiczba komentarzy: 13
Tomek72
wtorek, 12 stycznia 2021, 22:49

Polska MUSI pracować nad WŁASNYMI rozwiązaniami ... inaczej prędzej czy później staniemy się ofiarami ataku, który będzie rykoszetem ataku za kogoś zupełnie innego ...

Andrettoni
wtorek, 12 stycznia 2021, 17:26

Przestańcie używać słowa haker w zły kontekście. Nie każdy kto dobrze się zna na komputerze to przestępca. To był po prostu cyberatak cyberprzestępców. Jeżeli zrobił to rząd jakiegoś kraju to proponowałbym określenie cyberagentów. Dlaczego? Cyberprzestępcę można np. deportować. Cyberagent jest w zasadzie bezkarny. Pracuje dla swojego rządu i ten go nie wyda. Wykrycie go i zaoczne skazanie nic nie da. Trzeba go zaatakować bezpośrednio i o ile się da fizycznie, a nie prawnie.

Edmund
wtorek, 12 stycznia 2021, 13:55

Kaspersky, jakby ktoś nie wiedział, jest powszechnie używa się w ministerstwach, także tych związanych z bezpieczeństwem i służbami.

Wasko
wtorek, 12 stycznia 2021, 11:32

Rosjanie mając możliwość kontrolowania Kasperkyego nigdy by z tego nie zrezygnowali .

Komentator
wtorek, 12 stycznia 2021, 10:16

Ale numer, firma która według administracji Trumpa jest przedłużeniem rosyjskich służb specjalnych, na co podobno były niezbite dowody, wskazuje rosyjskie służby jako sprawców ostatniego cyberataku na USA. Czy ci którzy formułują takie wnioski zapomnieli co pisali kilka dni temu?

Fanklub Daviena
wtorek, 12 stycznia 2021, 11:14

Analfabetyzm funkcjonalny to niemożność zrozumienia przeczytanego tekstu. Nic takiego co bredzisz Kaspersky nie wskazuje. Wskazuje, że użyto oprogramowania spokrewnionego z innymi rosyjskimi atakami, co w świecie IT nic nie znaczy, bo elementów amerykańsko-żydowskiego wirusa użytego do ataku na Iran używali potem hackerzy z całego świata do ataku na najróżniejsze cele. I twoje "niezbite dowody" USA są takie jak na broń masowego rażenia w Iraku, masowe groby 140000 Albańczyków wymordowanych w Kosowie przez Serbów, "mikrochipy szpiegujące" wlutowane w płyty serwerowe sprzedawane przez chińskiego producenta itp. Realne to są za to backdoory w infrastrukturze Cisco, którą się teraz w Polin montuje zamiast 15 lat nowocześniejszego Huawei, bo tak nakazał Wielki Wuj. Jak zauważyłeś ostatnio drastyczny spadek sieci szkieletowych to właśnie dlatego, że Polin przechodzi z nowoczesnego Huawei na zabytkowe Cisco. Jak się na czymś nie znasz - nie komentuj, bo się kompromitujesz! :D

Tweets CyberDefence24